Edson Villar
Líder de Consultoría en Riesgo Cibernético de Marsh Advisory
Es indiscutible que la pandemia de la COVID-19 ha generado grandes cambios en los modos de vivir y trabajar. Además de la afectación en la salud y economía de las personas, también ha provocado efectos terribles para las empresas.
De acuerdo al último estudio realizado por Marsh y Microsoft, 1 de cada 3 empresas latinoamericanas percibió un incremento de los ciberataques como consecuencia de la pandemia. La banca ha sido el sector que más ha detectado este crecimiento (52%), seguido el de energía e hidrocarburos (50%) y otras entidades financieras (44%).
Para la banca, el riesgo con mayor incremento es el phishing, seguido de los ataques a aplicaciones web; mientras que en el resto de entidades financieras, el primer lugar se mantiene, pero el segundo, corresponde a los ataques a aplicaciones móviles. Si bien el malware se ha incrementado para todas las industrias en conjunto, la percepción sólo de la banca o entidades financieras no sobrepasa el 5%.
Estos resultados muestran cómo el cibercrimen ha ido evolucionando, evidenciando así la pertinencia de la nueva reglamentación para la Gestión de la Seguridad de la Información y Ciberseguridad para las entidades financieras planteada por la SBS.
Este nuevo reglamento incluye una serie de aspectos que las organizaciones deben tener en cuenta, tanto a nivel de sus capacidades, como del gobierno y responsabilidades que las entidades financieras deben ejercer de cara a la Seguridad de la Información y Ciberseguridad. Además, brinda un foco importante en las capacidades que estas instituciones deben contar para identificar y proteger activos de información, detectar eventos de seguridad, así como responder y recuperarse ante incidentes de seguridad. Si bien todas las empresas del sector deben cumplir el reglamento, esto deberá aplicarse de manera proporcional al tamaño, naturaleza y complejidad de cada empresa.
¿Cuáles son los 02 principales desafíos de este reglamento?
· Estructura de Gobierno, un equipo interdisciplinario
El apoyo e involucramiento del Directorio, la alta gerencia y las tres líneas de defensa son indispensables para una implementación adecuada y oportuna. Además, el reglamento recalca la importancia de los gerentes de las unidades de negocios y de apoyo, en la gestión de la seguridad de la información y ciberseguridad.
Hoy en día, la ciberseguridad no sólo depende de un área específica, sino que requiere del liderazgo de la alta gerencia y el soporte de todas las áreas de la organización, desde sus diferentes responsabilidades.
· Definir una estrategia de ciberseguridad con la premisa que un ataque es inminente
No podemos seguir pensando en una estrategia de ciberseguridad sin estructurar objetivos considerando la alta probabilidad de ser víctimas de un ciberataque. Es así que las organizaciones deberían definir estrategias que reflejen el sentido de urgencia ante un ciberataque inminente. Para ello, una estrategia de ciberseguridad debe incluir capacidades para enfrentar lo peor, incidentes de ciberseguridad graves que requieran una respuesta coordinada y oportuna, así como una pronta recuperación.
El presente reglamento tiene como objetivos mejorar los niveles de ciberseguridad de las entidades financieras en el Perú frente a las ciberamenazas; por más que sea complejo y tenga diversas actividades u obligaciones, también es una oportunidad de implementar nuevas capacidades en un contexto donde hay mayor vulnerabilidad y reforzar la ciberseguridad del sector financiero peruano.