A partir del año de la pandemia, la tecnología ha resaltado su papel catalizador para enfrentar la acelerada dependencia de la infraestructura digital en ámbitos como salud, economía, empleo, educación y finanzas.
El resultado de esa transición ha sido un extraordinario aumento de la superficie de ataques cibernéticos. En el contexto del ecosistema digital de vulnerabilidades ya amplificadas, hay más de 20 mil millones de dispositivos de Internet de las cosas (IoT, en inglés) conectados en todo el mundo.
Sin embargo, antes del 2020, las brechas de seguridad y las filtraciones de datos ya se venían convirtiendo en los principales obstáculos de la economía digital. El informe más reciente de Riesgos Globales 2020, del Foro Económico Mundial (FEM), a cargo de Nayia Barmpaliou, esta práctica criminal se clasificó entre los 10 principales riesgos con mayores probabilidad de ocurrir. En el marco del Covid-19, el foro identificó los ciberataques como la tercera mayor preocupación debido a la actual y sostenida transición hacia los patrones de trabajo digital.
Lo anterior genera desconfianza en los usuarios con acceso a Internet. Las encuestas del FEM, encuentran que menos del 50% confía en que la tecnología mejorará sus vidas, lo cual evidencia una profunda desconfianza respecto a la privacidad de los datos.
De acuerdo con el informe ese organismo, en los últimos años, en América Latina y el Caribe se ha experimentado una enorme expansión en el uso de las tecnologías de la información y la comunicación (TIC). Y en la medida en que la región avanza hacia la economía digital, aumenta la necesidad de garantizar confianza digital.
Por lo tanto, los protocolos de gestión de riesgos de seguridad digital y protección de la privacidad constituyen responsabilidades compartidas por los gobiernos, sector privado y usuarios individuales en una economía impulsada cada vez más por los datos.
Por lo mismo, mantener el ritmo de las tendencias mundiales es un poco fuerte para las entidades en estos tiempos. Los usuarios realizan gran cantidad de sus transacciones en la aplicación móvil, las empresas utilizan las páginas web de los bancos para realizar sus transacciones y relacionarse con otras compañías, evitando a toda costa hacer presencia en las agencias bancarias.
Estrategias y monitoreo
Por eso, las entidades financieras tuvieron que cambiar sus estrategias y acelerar todos sus proyectos de digitalización. Esto también ha dado lugar al incremento de la superficie de ataque. La cantidad de servicios digitales que antes de la pandemia tenía un determinado banco era uno, pero ahora se ha más que duplicado, lo cual significa que, a más presencia en Internet, más exposición. Por consiguiente, se necesitan más controles.
Esta adaptación llevó a la creación de estrategias de ciberseguridad bastante ágiles, que tienen un enfoque moderno para soportar la transformación digital y mejorar la experiencia del usuario.
Sin embargo, a nivel local, la información disponible a nivel de incidentes cibernéticos que hay en Guatemala, se trata con confidencialidad. Primero porque no existe una normativa que ayude a tener una visibilidad sobre la situación que se vive en el sistema financiero. Segundo, porque solo los ministerios de la Defensa y de Gobernación tienen acceso a la información, indica Armando Monzón, investigador asociado y presidente del Instituto Nacional de Ciberseguridad (Incibe).
En tal sentido, y con el objetivo de fortalecer la normativa aplicable a la gestión del riesgo tecnológico, la Superintendencia de Bancos (SIB) promueve constantemente su actualización. De ahí que, en los años 2020 y 2021, mediante resoluciones de la Junta Monetaria, 42-2020 y 104-2021, se incorporaron al Reglamento para la Administración del Riesgo Tecnológico, JM102-2011, disposiciones relativas a la gestión de la ciberseguridad y fortalecimiento de las capacidades de ciber resiliencia, entre otras disposiciones.
En ese marco, se establecen lineamientos a las entidades supervisadas para que formen una estructura organizacional específica para la gestión de la ciberseguridad. Entre esos lineamientos, se considera la implementación de un Oficial de Seguridad de la Información (Ciso por sus siglas en inglés); Equipo de Respuesta ante Incidentes Cibernéticos (CSIRT); y un Centro de Operaciones de Seguridad Cibernética (SOC), con la finalidad de realizar un monitoreo continuo de este tipo de riesgos, contener y mitigar su impacto, así como promover los procesos de recuperación y resiliencia ante dichos eventos e incidentes relacionados.
De la misma forma, se dan lineamientos para el fortalecimiento de prácticas relativas a la gestión de la continuidad del negocio. Es decir, políticas y procedimientos que las entidades deben considerar en su Plan de Recuperación Ante Desastres, orientadas a resistir, responder y recuperarse, de manera efectiva, de los incidentes cibernéticos. Aspectos que deben de considerar como mínimo, la identificación, protección, detección, respuesta y recuperación a dichos incidentes.
Competencia de las instituciones
Los bancos tienen sus propias plataformas para monitorear todos los eventos a los cuales están expuestos y una de las estrategias es seguir un programa de ciberseguridad, el que incluye metas de corto y mediano plazo que, de manera ordenada, les indica cómo ejecutarlo.
“A una persona que va al gimnasio a entrenarse por su cuenta, lograr resultados le va a costar más. Pero si se acompaña con un entrenador personal quien le va dando instrucciones de cuánto tiempo, esfuerzo y momento realizar correctamente cada ejercicio, será más fácil. Un programa de ciberseguridad funciona de esa manera, es una estructura que mide el ciber riesgo y luego, toma las medidas y controles para su mitigación, lleva de la mano a la institución en la ejecución de todos los planes establecidos con un nivel de riesgo aceptable”, ilustra Jose Amado, director de Ciberseguridad Outsourcing para Sistemas Aplicativos (SISAP).
De acuerdo con Eli Faskha, CEO de la firma Soluciones Seguras, en el marco de una estrategia de seguridad, tener un inventario de los activos y procesos importantes del banco es el primer paso. Eso incluye dónde se amacena la información, cómo se usa, qué sistemas tienen los clientes, cuáles son los puntos de entrada y de salida de la red.
Después hay que analizar qué protección existe y cuales capas hacen falta para ir reforzando las débiles e ir cubriendo las necesidades detectadas. “Por supuesto, el equipo humano es lo más importante en ciberseguridad, por lo que crear concienciación dentro de los usuarios, tener un monitoreo proactivo, y programar ejercicios y planes de contingencia al respecto, es muy valioso”, indica.
Entre las recomendaciones de Soluciones Seguras se menciona invertir en detección y protección en el Endpoint; seguridad de trabajo en la nube (Iaas, Paas); filtrado y monitoreo de email; firewall y web filtering; habilitar doble factor de autenticación que permita el acceso solamente a los recursos que se necesitan, así como en el tema de soluciones de SASE, el cual brinda acceso a servicios basados en la nube y recursos locales a través de un enfoque centralizado simplificado, para optimizar la conectividad y asegurar servicios SaaS; monitoreo de las herramientas, así como hacer ejercicios y definiciones de continuidad de negocios.
Por aparte, la SIB, que también forma parte del Conciber, se encuentra en proceso de crear el Centro Estratégico de Monitoreo donde se proveerá de inteligencia al país, para aumentar la capacidad en aspectos de ciberseguridad y riesgos tecnológicos, indica el presidente del Comité de seguridad cibernética.
Pieza clave en el manejo de riesgos
Una valiosa herramienta en la prevención y detección de incidentes de seguridad es conocido en la jerga informática como SOC (Centro de Operaciones de Seguridad).
Es una instalación física integrada por un equipo de profesionales en ciberseguridad, responsables de monitorear, gestionar y mejorar continuamente la seguridad de una organización por medio de procesos y tecnologías de punta. Son los encargados de prevenir, detectar, analizar y responder a incidentes en el ámbito informático. “Estamos en un punto de inflexión y debemos actuar ya para proteger los activos digitales”, explica Josué Gómez, gerente de servicios Administrativos de Tigo Business.
Su establecimiento es algo que, entre los lineamientos para las entidades financieras supervisadas, tiene normado la Superintendencia de Bancos en sus resoluciones de Junta Monetaria, 42-2020 y 104-2021.
Su papel es crítico en la práctica para asegurar una detección y respuesta oportunas de los incidentes de seguridad. El monitoreo se realiza todo el tiempo (24/7), lo cual lo convierte en una ventaja para defenderse sin importar la fuente, hora o tipo de ataque.
