Continuidad de negocio relacionada con ciberataques a la banca

La industria bancaria es de carácter estratégico para México y, por ende, una de las más reguladas. En el caso de la continuidad de negocio, no es la excepción. Y, conceptualmente, la idea es que, independientemente del origen de la amenaza, contemos con los procedimientos y herramientas necesarios para salvaguardar la continuidad de las operaciones críticas dentro del banco.

Objetivo apetecible

Tradicionalmente, las amenazas se han relacionado con fenómenos naturales como sismos, inundaciones, huracanes, etc. Y también con incendios o fenómenos socio-organizativos. Pero, hoy en día, deben considerarse otras amenazas en las que quiero ahondar: los ciberataques.

Sobre todo en la banca, hemos sido testigos de ataques como robos de información; secuestros de servidores, computadoras y bases de datos; ataques de denegación de servicio a las páginas web de las entidades bancarias; suplantación de identidad; fraudes millonarios derivados de brechas de seguridad del sistema de pagos interbancario (SWIFT) o del Sistema de Pagos Electrónicos Mexicano (SPEI); manipulación remota de cajeros automáticos para despachar efectivo sin necesidad de utilizar tarjetas de débito o crédito, etc.

Los bancos son especialmente susceptibles de sufrir ataques cibernéticos, puesto que la materia prima con la que hacen negocio es el dinero, uno de los bienes más apetecibles para cualquier criminal.

Prácticas del DRI

Hablando de una metodología formal de continuidad de negocio, podemos comenzar con lo que cualquier banco ha definido como su metodología procesal documentada. Y que, en caso de auditoría interna o externa, o por parte de la Comisión Nacional Bancaria y de Valores (CNBV), deberá ser mostrada y verificada.

Nosotros hemos elegido las 10 prácticas que recomienda el Disaster Recovery Institute International (DRI), uno de los organismos más prestigiosos a nivel mundial:

1. Inicio y administración del programa.
2. Evaluación de riesgos.
3. Análisis de impacto al negocio.
4. Estrategias de continuidad de negocio.
5. Respuesta a incidentes.
6. Desarrollo del plan.
7. Concientización y entrenamiento.
8. Ejercicio, evaluación y mantenimiento del plan.
9. Comunicación de crisis.
10. Coordinación con dependencias externas.

Dentro de la práctica 2 es donde evaluamos todos los tipos de riesgos que sean probables y costo-efectivos de colocar en un plan. Y en este caso nos referiremos al riesgo de ciberataque. Evidentemente, la probabilidad de ocurrencia de una amenaza como esta es alta, con todo lo que se ha mencionado. Y adicionando la cantidad de malware que circula por nuestras redes sería imposible pensar que es algo que no vamos a enfrentar, por lo que para toda empresa actual, y en especial las dedicadas a las finanzas, es necesario considerar dicho riesgo en sus planes y estrategias de continuidad.

Los bancos son especialmente susceptibles de sufrir ciberataques, puesto que la materia prima con la que hacen negocio es el dinero

¿Cómo responder?

Ahora, en referencia a la práctica 5, ahondaremos un poco más en cómo responder a incidentes de ciberseguridad como parte de la continuidad de negocio de un banco. Se empezará revisando cómo abordar un incidente de ciberseguridad de acuerdo a alguna metodología reconocida. En este caso vamos a utilizar la que nos marca ISC2, una prestigiosa asociación internacional especializada en ciberseguridad. La metodología marca los siguientes pasos a seguir:

• Detección. Es la etapa donde hacemos toda la planeación de herramientas y procesos que sistemáticamente detecten posibles incidentes de seguridad. Aquí nos damos cuenta de que algo ha ocurrido. Ejemplos en esta fase pueden ser las alertas derivadas de un sistema de prevención de pérdida de datos (DLP, por sus siglas en inglés), de un sistema de gestión de información y eventos de seguridad (SIEM, por sus siglas en inglés) o de un centro de operaciones de seguridad (SOC, por sus siglas en inglés).
• Respuesta. Es la fase de acciones inmediatas para impedir que el problema se propague o afecte más o a mayor cantidad de computadoras, servidores, aplicativos, bases de datos, etc. Algunas acciones típicas de esta etapa son aislar el segmento de red, bloquear la IP, aislar la computadora o incluso desconectar algún servidor o endpoint.
• Mitigación. Una vez entendido el origen del incidente y/o las causas que lo originaron, en esta etapa procedemos a aplicar las acciones que mitigan el incidente en cuestión. Esta fase es únicamente inicial y comprende acciones muy básicas encaminadas a reestablecer la normalidad lo antes posible.
• Reportar. En esta etapa se debe decidir a qué organismos internos y externos se comunicará que ha ocurrido un incidente de seguridad. En muchos casos, en los países existen requerimientos por parte de la autoridad, para estar enterada, que pueden conllevar multas y/o sanciones, así como posibles auditorías de seguimiento.
• Recuperar. Aquí se establecen las medidas necesarias para que los servicios y la operación vuelvan a la normalidad, aunque podría suceder que las causas raíz aún no se hubieran atacado y que implicasen establecer herramientas o procesos adicionales cuya implementación llevase algo de tiempo.
• Remediación. En esta etapa se han realizado todas aquellas tareas que impiden que un incidente de ciberseguridad en particular vuelva a ocurrir. En esta fase no sólo ya se tienen operando todos los procesos críticos que fueron afectados por el incidente en cuestión, sino que, además, estamos mejor preparados para impedir que esto pase de una forma similar en el futuro.
• Lecciones aprendidas. Por último, se analiza cómo se atendió el incidente de seguridad, qué estuvo bien y qué pudo haberse hecho de una mejor forma. Esta etapa es una crítica constructiva al proceso de respuesta a incidentes que se siguió. Todas aquellas acciones que se detecten en esta etapa deberán ser incorporadas a nuestros protocolos y herramientas de respuesta a incidentes.

Como parte fundamental de nuestro sistema de respuesta a incidentes, debemos contar con un equipo de respuesta que sea multidisciplinario y que se encargue en lo táctico/operativo de considerar todas las aristas derivadas de un incidente de ciberseguridad. Por ejemplo, en un caso de robo de información confidencial de clientes, qué acciones legales, regulatorias, reputacionales, etc., se tendrán que ejecutar de manera inmediata y subsecuente. Por lo tanto, gente experta en estos campos deberá ser parte del equipo para que cada acción sea analizada desde todos los ángulos.

Por sus siglas en inglés, el equipo se denomina CSIRT y suele estar integrado por profesionales de las siguientes áreas de un banco: Relaciones Públicas, Legal, Cumplimiento, Sistemas, Ciberseguridad y Operaciones.

Conclusiones

Concluyendo, dentro de un banco se han de mantener mecanismos para asegurar la continuidad del negocio considerando las posibles amenazas a las que puede estar sujeta. Entre ellas, una de las más probables es un ciberataque. Por dicha razón, es importante considerar un protocolo de respuesta a incidentes acorde a alguna metodología reconocida que tenga en cuenta desde el momento en que se detecta un incidente hasta cuando haya sido totalmente remediado. También es básico contar con un equipo multidisciplinario que haga posible atender el incidente de una manera rápida, eficiente y holística.

En los próximos años, las industrias, y en particular la banca, tendrán que asignar cada vez más recursos para mitigar el riesgo de un ciberataque que pueda ocasionar un daño a su operación y/o reputación. Y que llegue a dejarla fuera del negocio.

La amenaza de ciberataque llegó para quedarse y, a nivel mundial, constituye una de las diez preocupaciones más grandes que las empresas tienen y tendrán que aprender a manejar de una manera costo-efectiva a través de una mayor conciencia de su impacto.