Ciberseguridad, mitigar riesgos con FFIEC-CAT

Al decidirse a abordar y enfrentar el asunto de la ciberseguridad, muchas empresas realizan una análisis inicial de su estado del arte (Análisis GAP), lo cual me parece perfecto. Sin embargo este “análisis” es en verdad recomendable hacerlo al menos una vez por año, para ver como nuestra exposición va variando.

Las empresas modernas, son esencialmente dinámicas, es por eso que su exposición va modificándose en el tiempo, el perfil de riesgo inherente y los niveles de madurez de una institución cambian con el tiempo.

En Octubre del 2018 la OEA publicó su reporte llamado “Estado de la Ciberseguridad en el Sector Bancario en América Latina y el Caribe” acerca de la ciberseguridad, estándares, mejores prácticas y marcos metodológicos implementados por bancos de la región. El reporte mostró un hallazgo significativo sobre la seguridad digital en las entidades del sector bancario en América Latina y el Caribe: “El 73% de los bancos considerados grandes, el 47% de bancos considerados medianos, y el 21% de los bancos considerados pequeños, realizó una evaluación de madurez y está adelantando actualmente las acciones correspondientes”. El reporte identificó también que las normas ISO 27001 y COBIT son utilizadas en el 68% y 50% de entidades bancarias, respectivamente.

El Consejo Federal de Examinación de las Instituciones Financieras (FFIEC por sus siglas en inglés) es un órgano interinstitucional del gobierno de los Estados Unidos que incluye cinco agencias reguladoras de la banca. En Junio de 2015, el FFIEC publicó una herramienta llamada “Cybersecurity Assessment Tool” (CAT por sus siglas en ingles) que permite a instituciones financieras planificar y adoptar un enfoque rentable, no intrusivo, escalable, y sostenible a largo plazo, para mitigar los riesgos cibernéticos. La herramienta CAT se basa en reconocidos marcos de tecnología y de seguridad cibernética, tales como los manuales de tecnología del FFIEC y el Instituto Nacional de Estándares y Tecnología (NIST por sus siglas en ingles), sin embargo, el CAT es mucho más amplio y está dirigido especialmente a instituciones financieras. La evaluación consta de dos partes:

1. Perfil de riesgo inherente de la institución en las siguientes cinco áreas:
– Tecnologías y conexión
– Canales de entrega
– Productos en línea, móviles, y servicios de tecnología
– Características de organización
– Amenazas externas

2. Grado de madurez de ciberseguridad en factores de evaluación, componentes, y declaraciones de intenciones (controles y procesos) agrupados en los siguientes cinco dominios:
– Gestión de riesgos y control de ciberseguridad
– Inteligencia de amenaza y colaboración
– Controles de ciberseguridad
– Gestión de la dependencia externa
– Gestión de incidentes cibernéticos y resistencia

La implementación de la herramienta CAT ofrece los siguientes beneficios:

  • Ayuda a determinar si las prácticas de gestión de riesgos y controles son suficientes para lograr el nivel de maduración deseado.
  • Permite identificar y priorizar oportunidades de mejora con el contexto de un proceso continuo y repetible.
  • Ayuda a determinar la propensión al riesgo, tolerancia, y cómo manejar la respuesta de riesgos (mitigar, transferir, evitar, o aceptar).
  • Ayuda a implementar y mejorar procesos y controles de ciberseguridad que profundicen el concepto de defensa en capas.
  • Crea un lenguaje común para la discusión de ciberseguridad, basado en la gestión del riesgo.
    Amplía el alcance de ciberseguridad a las unidades de negocio.

Al evaluar la madurez de seguridad digital de manera periódica con la ayuda de agentes externos capacitados, los bancos de Latinoamérica y el Caribe identificarán oportunidades de mejora más fácilmente y podrán priorizar y actualizar sus planes y estrategias de seguridad digital, incluyendo aspectos de seguridad de la información, ciberseguridad, y prevención del fraude usando medios digitales.

Referencia

Spread the word. Share this post!