La gestión de riesgo cibernético por las diferentes líneas de defensa

La ciberseguridad es un tema que a diario toma relevancia, ya que los ataques pueden representar un gasto oneroso para las empresas. Gustavo Díaz, socio de EY, conversó con La Estrella de Panamá sobre la gestión de riesgo cibernético por las diferentes líneas de defensa.

La entrevista inició con la interrogante de Díaz, ¿recuerda cuando un robo de los números de una tarjeta de crédito representaba la cumbre de la sofisticación en los crímenes cibernéticos?, a lo que él mismo respondió: ‘Ya eso es cosa del pasado. Ahora los ataques son complejos, duros de detectar y pueden tirar abajo no sólo una institución, sino también grandes partes del internet y de los mercados financieros'.

Para el experto ‘la seguridad cibernética ya no se trata solo de evadir a los atacantes. Hoy se trata de averiguar cómo gestionar y mantenerse adelante de los intrusos que ya están dentro de la organización'.

Según el representante de EY, en la actualidad los atacantes no buscan resultados rápidos; más bien intentan insertarse silenciosamente en las redes de una institución financiera buscando vulnerabilidades. Los delincuentes esperan el momento oportuno para atacar a sus objetivos o usar las conexiones confiables del host para infiltrar a otras instituciones que no lo sospechan. Estos ataques muchas veces ocurren durante varios meses o incluso años.

Las organizaciones deben responder a los criminales que están constantemente desarrollando nuevas y nefastas técnicas y métodos para lograr sus objetivos.

En cuanto a la variedad de motivos de los cibercriminales, algunos quieren dañar las reputaciones o marcas de sus objetivos. Otros buscan la información sensible de los clientes, que sirve para comprometer y robar diferentes tipos de activos. Y otros tienen motivos difíciles de discernir.

Las recientes preocupaciones sobre las amenazas cibernéticas sistémicas han elevado el riesgo cibernético a un mayor nivel en la agenda política y regulatoria.

Díaz explicó que luego de los recientes ataques cibernéticos, la industria empezó a considerar seriamente el daño que podrían causar los atacantes al infiltrarse en los grandes sistemas financieros, en vez de dañar las pequeñas firmas individuales.

Este ataque podría causar una disrupción importante a las transacciones financieras, detener mercados completos, y socavar la estabilidad y confianza en el sector de servicios financieros.

El consultor indicó que ante las amenazas, las empresas están respondiendo a un llamado a un mejor enfoque para abordar los riesgos cibernéticos, un enfoque que va más allá de ser la única preocupación del grupo de seguridad informática. Con este propósito, la industria de servicios financieros se ha embarcado en la implementación de un modelo de tres líneas de defensa (2LoD) para el riesgo cibernético.

La primera línea incluye unidades de negocios y equipos de seguridad de la información con responsabilidad directa sobre la posesión, entendimiento y gestión de riesgos cibernéticos

La segunda línea la incorporan los gerentes de riesgo responsables de peligros cibernéticos agregados a nivel de la empresa, quienes reciben autoridad independiente para desafiar efectivamente el enfoque de la primera línea para los riesgos cibernéticos

En la tercera línea está el equipo de auditoría interna, el cual ofrece seguridad general sobre el gobierno de riesgo cibernético para la empresa.

Estas tres líneas de defensa están guiadas por una junta directiva activa, calificada e involucrada, que aprueba y supervisa el enfoque que la empresa tiene para la seguridad cibernética, a la vez logrando un alineamiento por medio de un contrapeso creíble y efectivo a la administración.