Ciberseguridad y mitigación del riesgo: ¿qué están haciendo las entidades financieras?

Para Santiago Castro, presidente de Asobancaria, la gestión de la ciberseguridad debe ocupar un lugar primordial en la estrategia de gestión de riesgos de las entidades financieras, para así salvaguardar el funcionamiento de sus canales y servicios junto a la información de sus clientes.

En su informe Semana Económica del 29 de octubre, Asobancaria publica el discurso de clausura del 17 Congreso de Riesgo Financiero, en el que su presidente, Santiago Castro, dedicó parte de su intervención a las medidas que se están tomando para afrontar el cibercrimen. Desde su punto de vista, la banca ha enfocado su atención a la gestión de los riesgos de carácter financiero como el de crédito, mercado, liquidez o tipos de interés. Sin embargo, durante las últimas décadas han nacido una serie de riesgos no financieros, que en su mayoría no son estrictamente nuevos, pero que sí suponen una amenaza creciente para las instituciones financieras.

«Dentro de estos podemos encontrar el riesgo legal, el de conducta, el climático, el reputacional, el estratégico, el de modelo, el tecnológico y el relacionado con la ciberseguridad, entre otros. En este sentido, uno de los principales desafíos para el sistema financiero durante los próximos años será la gestión de los riesgos no financieros y su articulación con el apetito de riesgo de la entidad», dijo Castro en su discurso.

La rápida expansión de la economía digital y las nuevas herramientas como la inteligencia artificial, el machine learning, el big data y el blockchain, son un importante complemento para el proceso de inclusión financiera, sobre todo en países en vía de desarrollo en donde todavía segmentos de la población no cuentan con un acceso efectivo al sistema financiero. Sin embargo, la implementación de estas herramientas y soluciones digitales, necesarias para estar a la vanguardia y competir con nuevos esquemas de negocio como las Fintech; ha elevado la exposición de las entidades al riesgo cibernético durante los últimos años.

«La gestión de la ciberseguridad debe ocupar un lugar primordial en la estrategia de gestión de riesgos de las entidades para salvaguardar el funcionamiento de sus canales y servicios y la información de sus clientes. Esto cobra gran relevancia, ya que mientras los impactos de carácter financiero son fácilmente cuantificables, aspectos como la pérdida de confianza del cliente y los efectos reputacionales son intangibles y difíciles de medir, con el agravante de que la probabilidad de propagarse y generar consecuencias sistémicas es alta debido a la importancia de las instituciones afectadas y a la magnitud de las pérdidas incurridas», afirmó Castro en su intervención.

Cabe agregar que la gestión del riesgo cibernético y su vinculación con las estrategias globales de riesgo operacional es trascendente para que las entidades, aprovechando de la mejor manera las oportunidades que ofrecen las nuevas tecnologías, mitiguen otros riesgos latentes.

¿Qué está haciendo Colombia para frenar los riesgos financieros?

Uno de los aspectos que las instituciones deben analizar es la utilidad que tiene la gestión de la ciberseguridad sobre la mitigación del riesgo de Lavado de Activos y Financiación del Terrorismo (LA/FT) y la detección y reducción en tiempo real de los delitos que de este se derivan.

Colombia no ha sido ajena a esta dinámica. En junio de este año, la Superfinanciera expidió la Circular Externa 7 que contiene los requerimientos mínimos para la gestión del riesgo cibernético, y en noviembre entrará en funcionamiento el primer Equipo de Respuesta a Incidentes Cibernéticos para el sector financiero −CSIRT−.

Castro también hizo referencia a las pruebas de resistencia, una de las herramientas más poderosas con las que cuenta el sector financiero para anticipar sus riesgos.

Estas pruebas permiten determinar la capacidad real de la entidad para afrontar escenarios adversos y juegan un papel primordial a la hora de:

• Mejorar el entendimiento del perfil de riesgo de la entidad y facilitar la fijación de su nivel de tolerancia.
• Evaluar los riesgos de forma prospectiva.
• Suplir las carencias de los modelos y los datos históricos.
• Mejorar los procesos de planificación de capital y liquidez.
• Facilitar el desarrollo de planes de contingencia ante diversas situaciones de tensión.

«En este punto, es indispensable que las entidades sean conscientes de todas las posibilidades que ofrecen estas pruebas y fortalezcan su capacidad para traducir la velocidad de simulación a la hora de ejecutarlas, en precisión y ganancias para la institución», dijo Castro.

Material relacionado

• [Análisis] Empresas pueden llegar a perder entre uno y dos millones de dólares al día por ataques cibernéticos
• [Análisis] Equipo de respuesta a incidentes cibernéticos, respuesta del sector bancario contra ciberataques
• [Análisis] Entidades financieras y redes de pago, actores responsables de combatir el cibercrimen electrónico