Los bancos necesitan más guía del gobierno en temas de ciberataques y los reguladores deben analizar más información de TI, según informe
Brian Monroe
30 de septiembre, 2015
Los reguladores federales deben reforzar las habilidades virtuales de algunos examinadores, en particular aquellos encargados de revisar los protocolos de seguridad cibernética de las pequeñas y medianas instituciones, que, en algunos casos, tienen de «ninguna a muy poca formación en TI», de acuerdo con un grupo de vigilancia del gobierno. TI significa tecnología de la información o lo que en inglés se conoce como “information technology”.
Los resultados, publicados en julio por la Oficina de Rendición de Cuentas del Gobierno de EE.UU. (GAO), también se discutirá la próxima semana, en la cumbre sobre Crimen Cibernético que organiza la Asociación de Especialistas Certificados Financieros Crimen Cibernético Cumbre. Para obtener más información, por favor visite www.acfcssummit.com.
Las conclusiones del informe de la GAO adquieren una importancia mayor cuando se ponen en contexto de un importante aumento de ataques de hackers contra bancos, empresas y el propio gobierno de Estados Unidos. En los últimos años, estos grupos han hackeado a JPMorgan Chase, Target, Home Depot e incluso la Oficina de Administración de Personal, y se apoderaron de los datos personales de decenas de millones de personas, con un costo para las instituciones de miles de millones de dólares en pérdidas reales y de reputación.
A continuación una breve muestra de información muy útil que deja el informe, que puede ser visto haciendo clic aquí:
Formación del examinador: después de analizar más de una docena de exámenes en el área de TI por parte de los reguladores federales, incluyendo la Oficina del Contralor de la Moneda que depende a la Oficina del Tesoro, la National Credit Union Administration (NCUA) y otros, GAO concluyó que mientras que algunos examinadores cuentan con amplia experiencia en programas de seguridad cibernética, otros examinadores de bancos más pequeños tenían muy poca, o incluso inexistente, la capacitación formal de TI.
Como resultado, la GAO recomienda a los examinadores bancarios en general que obtengan una mayor capacitación, que es algo que los reguladores dijeron que estaban en el proceso de mejora.
Tendencias cibernéticas: La GAO encontró que en algunos casos, los examinadores bancarios estaban mirando programas informáticos de la institución de una manera muy individual, y no buscaban detectar tendencias más generales o huecos de seguridad cibernética a través de múltiples instituciones que podrían representar riesgos más grandes en el sistema financiero de Estados Unidos.
«A pesar de las normas federales de control interno exigen que las organizaciones cuenten con información relevante, confiable y oportuna sobre las actividades, los reguladores no estaban recolectando rutinariamente informes de TI sobre incidentes de seguridad ni deficiencias en los exámenes ni los estaban clasificando por categorías de la deficiencia», según el informe. «Contar con estos datos prepararía mejor a los reguladores para identificar y analizar las tendencias a través de las instituciones y utilizar este análisis para apuntar mejor a áreas de las instituciones que deban ser revisadas».
Brecha en las cooperativas de crédito: Los reguladores bancarios tienen autoridad para abordar directamente los riesgos que presentan terceros proveedores de servicios de tecnología para los bancos que supervisan, pero la NCUA «carece de esta autoridad».
Riesgos cibernéticos que afectan a las instituciones pueden surgir de «las debilidades en las prácticas de seguridad de terceros que procesan la información o prestan otros servicios de TI para la institución», según la GAO, que está recomendando al Congreso que otorgue tal autoridad a la NCUA.
Detección de amenazas: Representantes de más de 50 instituciones financieras dijeron a la GAO que la obtención de «información adecuada sobre las amenazas informáticas de fuentes federales era difícil», según el informe, que incluiría los bancos que puedan obtener información clave por parte de agencias de investigación del gobierno sobre cómo evaluar las amenazas y proteger a los sistemas, como por ejemplo cómo los hackers están atacando bancos y cuáles son las vulnerabilidades.
Para presentar mejor información a los bancos, el Departamento del Tesoro de Estados Unidos dijo a los funcionarios de la GAO que había «formado un grupo especial que trabaja con otras agencias policiales y de inteligencia para obtener información desclasificada y compartirla con las instituciones financieras en una serie de circulares».
El personal del Tesoro también participa en grupos del Departamento de Seguridad Nacional que monitorean los incidentes cibernéticos y trabajan con un centro que proporciona información sobre la amenaza cibernética a miles de instituciones financieras e intentará mejorar en conseguir esa información a un universo más amplio de los bancos, según el informe.