Las pruebas serán
voluntarias y el supervisor nacional elegirá a los bancos participantesLas
entidades afrontarán ataques tecnológicos de terceros en un ciberespacio
controlado.
Pasada la crisis
financiera, que propició fijar los grandes pilares de la supervisión bancaria
europea, apoyados en los test de estrés a las entidades para conocer su
capacidad de resistencia para absorber pérdidas en un escenario adverso, el BCE
da un paso más y comienza a poner la lupa sobre la ciberseguridad. El
supervisor bancario europeo prepara unos nuevos exámenes para las entidades de
la zona euro, aún sin fecha de partida, con el objetivo de medir su resistencia
y su resilencia ante los ataques cibernéticos.
La aventura se
engloba dentro del marco europeo constituido para hacer pruebas controladas
denominado TIBER-UE (Threat Intelligence-based Ethical Red Teaming /
Inteligencia de amenazas basadas en equipos rojos éticos). El término equipos
rojos viene de la dialéctica militar y consiste en un grupo de atacantes con
intenciones desconocidas para el contrario, aunque controlado por un tercer
jugador neutro que conoce sus objetivos.
De momento, los
nuevos test del BCE para la banca serán voluntarios y, en el caso de los países
que quieran participar, serán las autoridades supervisoras nacionales, en el
caso de España, el Banco de España, quiénes elijan a las entidades que entren
en el experimento. No obstante, el supervisor europeo incide en que habrá mayor
insistencia hacia la participación de unas determinadas entidades que de otras.
Los participantes en
esta caja de pruebas ciberespacial serán cinco: las autoridades responsables de
aplicar le marco TIBER-UE, las entidades que sirvan de ratones de laboratorio,
los supervisores nacionales y europeos que controlarán el espíritu ético de la
prueba, los proveedores de equipos rojos (que serán los que lleven a cabo el
ciberataque simulado) y los proveedores externos de información sobre amenazas.
El informe del BCE sobre estas pruebas incide en la necesidad y relevancia de
que estos últimos sujetos sean externos e independientes porque aportarán una
perspectiva fresca y pueden disponer de recursos más avanzados que resulten
útiles a las entidades.
Los resultados que se
deriven de estas pruebas no supondrán el aprobado o el suspenso de las
entidades, sino una fuente de información para conocer los puntos fuertes y
débiles de las mismas. Desde mismo modo, también serán útiles para los propios
bancos ya que les permitirá autoevaluarse a nivel de personal, tecnología y
procesos para proteger, detectar y responder a los ataques.
Cabe destacar que las
pruebas también supondrán un coste a las entidades participantes, que tendrán
que tomar medidas preparatorias como la obtención de proveedores de servicios
adecuados con arreglo a las normas específicas de cada prueba.
Objetivo:
mejorar la resistencia cibernética y compartir información para protegerse
El objetivo de estas
pruebas es mejorar la resistencia cibernética de los bancos, orientar a las
autoridades sobre la forma de establecer, aplicar y gestionar esta forma de
ensayo a nivel nacional y europeo y además, crear una colaboración con
autoridades transfronterizas para intercambiar resultados.
No obstante, estos
ataques cibernéticos controlados no se van a quedar sólo en el entorno de las
entidades financieras. La intención de Europa es que estas pruebas también se
realicen a agencias de calificación crediticia, bolsas, compañías de seguros,
empresas de sistemas de pago, sociedades de gestión de activos o cualquier otro
proveedor de servicios considerado críticos para el funcionamiento del sector
financiero.
La
participación lleva tres pasos: preparación, ataque y fase de cierre
La participación en
estos test de ciberseguridad lleva tres fases. La primera etapa consiste en la
preparación de la entidad para someterse a la prueba, lo que incluye la
adquisición de los servicios necesarios exigidos por el marco TIBER-UE para
afrontar el test. La segunda fase es la del ataque, y establece una hoja de
ruta para que el equipo rojo se dirija a las zonas más vulnerables con el
objetivo de probar la resistencia del banco en un escenario de ruptura del
negocio. Finalmente, la última parte, conocida como fase de cierre, incluye la
compilación de un informe del equipo rojo sobre las vulnerabilidades
encontradas y la forma de remediarlas, un informe de la entidad y un tercero
elaborado de manera conjunta.
El BCE recuerda que
estas pruebas se realizarán siempre bajo el principio de la confidencialidad y
también de la ética en los ciberataques. De hecho, guarda el derecho a que el
supervisor competente de cada banco invalide el examen si considera que no se
ha realizado desde unos principios honestos.
Hasta el momento, el
gran paso dado por Europa en materia de ciberseguridad ha sido la directiva NIS
que tiene como objetivo impulsar el desarrollo de las capacidades de seguridad
cibernética de los Estados miembro. Uno de los grandes hitos consiste en que
las empresas deben reportar a la autoridad nacional los incidentes cibernéticos
que detecten con el objetivo de garantizar el intercambio de información y
cooperación. España registró 120.000 incidentes el año pasado, 5.000 más que en
el ejercicio anterior.
Fuente: El
Economista.es