1 31 Table of Contents 33 132

Segurilatam 013

32 Primer cuatrimestre 2020 Seguridad en Entidades Financieras L a industria bancaria es de carác- ter estratégico para México y, por ende, una de las más regu- ladas. En el caso de la continuidad de negocio, no es la excepción. Y, concep- tualmente, la idea es que, independien- temente del origen de la amenaza, con- temos con los procedimientos y herra- mientas necesarios para salvaguardar la continuidad de las operaciones críticas dentro del banco. Objetivo apetecible Tradicionalmente, las amenazas se han relacionado con fenómenos naturales como sismos, inundaciones, huraca- nes, etc. Y también con incendios o fe- nómenos socio-organizativos. Pero, hoy en día, deben considerarse otras ame- nazas en las que quiero ahondar: los ci- berataques. Sobre todo en la banca, hemos sido testigos de ataques como robos de in- formación; secuestros de servidores, computadoras y bases de datos; ata- ques de denegación de servicio a las páginas web de las entidades bancarias; suplantación de identidad; fraudes mi- llonarios derivados de brechas de segu- ridad del sistema de pagos interbanca- rio (SWIFT) o del Sistema de Pagos Elec- trónicos Mexicano (SPEI); manipulación remota de cajeros automáticos para despachar efectivo sin necesidad de utilizar tarjetas de débito o crédito, etc. Los bancos son especialmente sus- ceptibles de sufrir ataques cibernéticos, puesto que la materia prima con la que hacen negocio es el dinero, uno de los bienes más apetecibles para cualquier criminal. Prácticas del DRI Hablando de una metodología formal de continuidad de negocio, podemos comenzar con lo que cualquier banco ha definido como su metodología pro- cesal documentada. Y que, en caso de auditoría interna o externa, o por parte de la Comisión Nacional Bancaria y de Valores (CNBV), deberá ser mostrada y verificada. Nosotros hemos elegido las 10 prác- ticas que recomienda el Disaster Reco- very Institute International (DRI), uno de los organismos más prestigiosos a nivel mundial: 1. Inicio y administración del programa. 2. Evaluación de riesgos. 3. Análisis de impacto al negocio. 4. Estrategias de continuidad de ne- gocio. 5. Respuesta a incidentes. 6. Desarrollo del plan. 7. Concientización y entrenamiento. 8. Ejercicio, evaluación y manteni- miento del plan. 9. Comunicación de crisis. 10. Coordinación con dependencias ex- ternas. Dentro de la práctica 2 es donde eva- luamos todos los tipos de riesgos que sean probables y costo-efectivos de co- locar en un plan. Y en este caso nos re- feriremos al riesgo de ciberataque. Evi- dentemente, la probabilidad de ocu- rrencia de una amenaza como esta es alta, con todo lo que se ha mencio- nado. Y adicionando la cantidad de malware que circula por nuestras redes sería imposible pensar que es algo que no vamos a enfrentar, por lo que para toda empresa actual, y en especial las dedicadas a las finanzas, es necesario considerar dicho riesgo en sus planes y estrategias de continuidad. ¿Cómo responder? Ahora, en referencia a la práctica 5, ahondaremos un poco más en cómo responder a incidentes de ciberseguri- dad como parte de la continuidad de negocio de un banco. Se empezará re- visando cómo abordar un incidente de ciberseguridad de acuerdo a alguna artículo técnico Fernando Martín Gómez Villarreal Director de Seguridad de Gentera Continuidad de negocio relacionada con ciberataques a la banca

RkJQdWJsaXNoZXIy ODM4MTc1