Un ataque cibernético puede afectar a una empresa a nivel financiero, operativo y reputacional. Generalmente los mismos pueden producirse por fallas en los sistemas de información, errores humanos o influencias externas, lo que significa que pueden ser causados por brechas de seguridad involuntarias o creadas por intrusos y por riesgos operativos de tecnologías de la información mal gestionados.
En todo caso, las empresas deben contar con un sistema de ciberseguridad que prevenga dichos intentos de invasión a sus sistemas informáticos. Sobre el tema, la subgerente de Sistemas e Innovación Tecnológica del Banco Central, Fabiola Herrera, participó en una sesión extraordinaria del Comité TIC de la Cámara Americana de Comercio de la República Dominicana (AMCHAMDR) para conversar sobre las funciones del Sistema de Pagos Respuesta de Incidentes de Ciberseguridad (SPRICS).
A juicio de Herrera, para enfrentar los riesgos informáticos que pueden sufrir las distintas entidades se debe: robustecer el marco regulatorio y normativo en materia de ciberseguridad; fortalecer controles administrativos y tecnológicos en materia de ciberseguridad, capacitar de forma constante del personal técnico de las entidades, intercambiar información constate entre las entidades y los reguladores a nivel local e internacional, y establecer mecanismos internos y sectoriales de respuesta a incidentes de ciberseguridad.
En ese sentido, citó que además de las Leyes Monetaria y Financiera, de Protección de Datos Personales y sobre Crímenes y Delitos de Alta Tecnología, al marco legal de la ciberseguridad del país se agrega el Reglamento de Seguridad Cibernética y de la Información.
Dicho reglamento, aprobado por la Junta Monetaria, se perfila como el principal instrumento para el desarrollo de capacidades en el sistema financiero para la mitigación del riesgo cibernético y su impacto en las infraestructuras tecnológicas de las entidades que forman el sistema financiero.
“Dada la naturaleza interconectada de la infraestructura financiera moderna, se requieren definir reglas comunes para la protección de los sistemas críticos de todas las entidades independientemente de su tamaño o importancia”, aseguró Herrera.
La funcionaria del Banco Central añadió que de la correcta aplicación de estas reglas dependerá que la integridad de la información se mantenga ya que “un sistema es tan fuerte como su eslabón más débil”.
Con este reglamento, las entidades financieras, que están interconectadas entre sí, se ven en la obligación de mantener la misma línea base de procesos, control y cumplimiento, ya que, si una es vulnerable, pone en riesgo a las demás.
“Desde marzo de este año se encuentra en funcionamiento SPRICS, cuyo sistema de correlación recibe informaciones de indicadores de compromiso que surgen en 81 entidades del sistema financiero. Con esta riqueza de indicadores se analizan los sistemas y cómo protegerse”, manifestó.
Mientras que la presidenta del Comité TIC de AMCHAMDR, María Waleska Álvarez, afirmó que la transformación digital tiene retos importantes asociados a la ciberseguridad, especialmente para las empresas.
Álvarez manifestó que desde el Comité TIC se trabaja para que exista un ciberespacio más seguro y se asuma la tecnología como una herramienta de productividad e inclusión.
¿Cómo funciona el SPRICS?
Durante su visita a la sesión extraordinaria, Herrera estuvo acompañada de Ruddy Simmons y César Novo, quienes abordaron cómo funciona el Sistema de de Pagos Respuesta de Incidentes de Ciberseguridad.
Según relata Rudy Simmons, la implementación de este sistema ha sido un desafío para fortalecer el sistema financiero.
“Se hace un reporte de incidentes y una base de análisis y correlación. Cuando se dispara una alarma, se verifica el tipo de incidente y la entidad donde sucedió, entonces el equipo de revisión interactúa con esos casos”, manifiesta.
Además, revela que cada institución se conecta al sistema de forma privada y entran a un portal donde se publican los indicadores de compromiso que pueden tener como insumo de información e inteligencia.
Simmons dice que buscan realizar ejercicios de ciberseguridad para poder transferir a las entidades buenas prácticas, certificaciones y entrenamientos específicos.
Mientras que César Novo destaca que dentro del sistema se ha diseñado una Herramienta de Evaluación de cumplimiento del Reglamento de Ciberseguridad, compuesta por 292 preguntas sobre si cumple total, parcialmente o no cumple los indicadores.
“La herramienta puede ser utilizada para múltiples factores de autenticación. Funciona como benchmarking de seguridad de sistema financiero y además nos ayuda a conocer el nivel de cumplimiento en una escala para saber la puntuación de cada entidad”, dice Novo.
El experto dice que también han sufrido un proceso de adaptación y reinvención, dado que notaron distintos patrones vinculados a ataques teledirigidos como campañas de phishing a los clientes de entidades bancarias.
Para contrarrestar estos ataques, dice, se tomaron medidas preventivas de control y conocimiento de los patrones de los ciberatacantes para que no puedan ser replicados a otras entidades.