Regulador Financiero de EE.UU. señala que los bancos enfrentan desafíos de cumplimiento y de ciberseguridad
La Oficina del Contralor de la Moneda dice que los desafíos para los bancos incluyen los riesgos de ciberseguridad y el cumplimiento de sanciones
La Oficina del Contralor de la Moneda (OCC por sus siglas en inglés) dijo en su informe semestral de riesgo que los bancos enfrentan una serie de desafíos este año, incluido el cumplimiento de sanciones más complejas y una mayor rotación de personal, dijo la Oficina del Contralor de la Moneda.
La OCC, que regula los bancos nacionales y las asociaciones federales de ahorro, dijo en su informe de riesgo semestral publicado la semana pasada que los bancos han seguido enfrentando los desafíos relacionados con la pandemia de Covid-19. Los eventos geopolíticos, como la invasión rusa de Ucrania, la inflación y las tasas de interés más altas están presentando más obstáculos, dijo la OCC, pero los bancos son lo suficientemente fuertes financieramente para enfrentar los desafíos.
Los bancos también enfrentan crecientes desafíos operativos y de cumplimiento, dijo el regulador. Las instituciones financieras están logrando cumplir con las complejas sanciones a Rusia impuestas por los EE.UU. y sus aliados luego de la invasión de Ucrania por parte de Rusia, mientras enfrentan una creciente competencia por profesionales de cumplimiento, tanto a nivel gerencial como de personal, según el informe. En particular, más empresas de criptomonedas buscan contratar personal de cumplimiento con experiencia, incluso mediante la contratación directa del sector financiero tradicional, para ayudarlos a navegar por un panorama regulatorio en evolución.
La OCC también notó un aumento en los ataques cibernéticos en el sector de servicios financieros, y agregó que la situación geopolítica destaca la importancia del monitoreo y la defensa de las amenazas cibernéticas.
Según la OCC las amenazas cibernéticas son elevadas y continúan evolucionando, con un aumento observado en los ataques a la industria de servicios financieros. La situación geopolítica actual aumenta aún más la importancia del monitoreo de amenazas cibernéticas y las capacidades defensivas efectivas. La creciente dependencia de los bancos de las relaciones con terceros, el desarrollo y la adopción de productos, servicios y tecnologías innovadores, y los cambios continuos en el personal de los bancos y el entorno operativo aumentan el riesgo operativo.
El riesgo operativo sigue siendo elevado a medida que los ataques cibernéticos evolucionan, se vuelven más sofisticados e infligen daños a la economía de EE.UU., señala el reporte. Además, las tensiones geopolíticas recientes han aumentado aún más los riesgos cibernéticos y han resaltado la importancia de un mayor monitoreo de amenazas, un mayor intercambio de información del sector público y privado y la protección contra ataques disruptivos dirigidos al sector financiero. Dado el aumento de los riesgos operativos, incluidos los riesgos de las amenazas geopolíticas, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) publicó una página web «Shields-Up» (https://cisa.gov/shields-up) para promover el conocimiento de las amenazas de ciberseguridad actuales y mitigaciones En este entorno de amenazas intensificadas, CISA ha fomentado umbrales de informes más bajos sobre actividades de intercambio de información, pruebas de planes de respuesta organizacionales y un enfoque continuo en la continuidad y resiliencia del negocio.
Según el reporte de la agencia se han observado ataques de ransomware que afectan a los servicios financieros. Estos ataques aprovechan los correos electrónicos de phishing que se dirigen a los empleados con el objetivo de comprometer las credenciales para obtener acceso a las redes. Después de obtener acceso, los delincuentes realizan ataques de ransomware y otras campañas de extorsión.
También se ha observado un aumento en los ataques de denegación de servicio distribuido (DDoS). Además, los actores cibernéticos continúan explotando las vulnerabilidades de software fechadas y conocidas públicamente y la autenticación débil contra conjuntos amplios de objetivos, incluidos bancos y proveedores de servicios financieros. Para mitigar los riesgos cibernéticos, es importante que los bancos mantengan procesos elevados de monitoreo de amenazas y vulnerabilidades e implementen medidas de seguridad más estrictas, incluido el uso de autenticación multifactor, el fortalecimiento de las configuraciones de los sistemas y la administración oportuna de parches. Los bancos también deben considerar cómo implementar, probar regularmente y aislar de manera efectiva las copias de seguridad del sistema de las conexiones de red para proporcionar resiliencia operativa.
El riesgo para las operaciones de gestión de la cadena de suministro continúa aumentando y evolucionando a medida que los ataques apuntan a vulnerabilidades en los sistemas de software comúnmente utilizados por un gran número de organizaciones. Los delincuentes explotan cada vez más las vulnerabilidades en los sistemas de TI y el software de terceros para realizar actividades cibernéticas maliciosas mientras negocian pagos de rescate. Estos ataques demuestran la importancia de que los bancos evalúen los riesgos que emanan de sus terceros, incluida la cadena de suministro, y desarrollen un enfoque integral para la resiliencia operativa, señala el reporte.
En noviembre de 2021, la OCC, la Reserva Federal y la Corporación Federal de Seguros de Depósitos (FDIC) publicaron una regla final para establecer los requisitos de notificación de incidentes de seguridad informática para las organizaciones bancarias y sus proveedores de servicios bancarios. La normativa exige que un banco notifique a la OCC lo antes posible y a más tardar 36 horas después de que el banco determine que se ha producido un incidente de seguridad informática que alcanza el nivel de incidente de notificación. La regla también requiere que un proveedor de servicios bancarios notifique lo antes posible al menos a un punto de contacto designado por el banco en cada cliente afectado cuando determine que ha experimentado un incidente de seguridad informática que ha interrumpido o que es probable que interrumpa los servicios prestados al banco durante cuatro horas o más. Se requiere que los bancos y los proveedores de servicios bancarios cumplan con la nueva regla desde el 1 de mayo de 2022.
Gestion de riesgo de terceros
La gestión de riesgos de terceros sigue siendo un área de gran atención por parte de los reguladores. Antes de comprometerse con un tercero, es importante que los bancos lleven a cabo la diligencia debida adecuada, señala el reporte de la OCC. El alcance y la profundidad de la debida diligencia realizada deben ser proporcionales a los riesgos que plantea cada relación con terceros y la naturaleza y la importancia de la actividad propuesta. Del mismo modo, los terceros están sujetos a los mismos riesgos cibernéticos y muchos otros riesgos que experimentan los bancos. Es importante que los bancos comprendan bien cómo los terceros gestionan estos riesgos.
Activos digitales en el sector bancario
El sector financiero ha mostrado un interés creciente en las oportunidades relacionadas con los activos digitales a medida que la adopción de varios criptoactivos por parte de los clientes aumentó drásticamente. El crecimiento de la adopción de criptoactivos ha llevado a la creación de varios productos y servicios relacionados con criptografía, incluida la prestación de servicios de custodia de criptoactivos, facilitando el acceso a terceros para comprar y vender criptoactivos y productos derivados basados en criptografía.
Señala la OCC que si bien los productos y servicios de criptoactivos pueden crear oportunidades para los bancos y sus clientes. También pueden amplificar los riesgos existentes e introducir nuevos riesgos.
En consecuencia, es importante que los bancos lleven a cabo la debida diligencia adecuada, incluida una evaluación de riesgos del producto o servicio y los proveedores de servicios aplicables que respaldarán la actividad, y garanticen procesos de gestión de riesgos acordes. Este trabajo puede incluir garantizar el conocimiento y la experiencia suficientes en los productos y servicios y la tecnología subyacente, incluidos los riesgos financieros, operativos, de cumplimiento, estratégicos, de reputación y otros. Los criptoactivos y la tecnología subyacente aún son relativamente nuevos, al igual que los productos y servicios que se están desarrollando para que los usuarios interactúen con esta clase de activos.