La seguridad informática en el sistema bancario panameño

La banca es uno de los sectores económicos que más regulaciones ha tenido en nuestro país en los últimos años. La rápida evolución de la tecnología, el robustecimiento de los controles internos y los nuevos mecanismos de seguridad que se requieren para prevenir los riesgos al realizar transacciones financieras, son esenciales para crear valor y brindar confianza en la actividad bancaria.

Cuando nos referimos a la seguridad en el ámbito de la informática, nos viene a la mente muchos conceptos que se prestan a confusión: seguridad informática, seguridad de la información, ciberseguridad, entre otros.

La seguridad informática es una disciplina que se encarga de proteger la disponibilidad, confidencialidad e integridad de la información que es almacenada en un sistema informático; puede ser lógica (procedimientos que permiten resguardar datos, programas o aplicaciones) o física (cuando aplicamos barreras físicas o procedimientos de control ante amenazas físicas). La seguridad de la información se ocupa de la protección de la información independientemente de su formato, y abarca los documentos en papel, digital y la propiedad intelectual en la mente de las personas, y las comunicaciones verbales y visuales. Y la ciberseguridad trata de proteger todos los activos digitales, desde las redes, el hardware y la información que se procesa, almacena o transporta por los sistemas de información interconectados.

En la actualidad, se toma muy en serio la seguridad informática como un aspecto altamente estratégico, de manera que si no es administrada correctamente cualquier riesgo crítico para un banco puede ser muy grande y crear gran repercusión en el sector financiero. Cuando la seguridad informática no se evalúa desde un enfoque holístico (como un todo) y se enfoca en procesos muy puntuales, se pierde de vista el control interno, es por ello que se deben gestionar los riesgos de manera integral.

La Superintendencia de Bancos de Panamá ha elaborado una serie de acuerdos relacionados con temas de tecnología que regulan la actividad bancaria. Estos acuerdos se muestran en la Figura No. 1, y uno de los más importantes a considerar es el Acuerdo Nº. 3-2012 del 22 de mayo de 2012, por el cual se establecen los lineamientos para la gestión del riesgo de la tecnología de la información.

Figura No. 1

Acuerdos bancarios de la Superintendencia de Bancos

Sobre este acuerdo resaltamos el Artículo Nº 2 que trata sobre el gobierno de TI, que dicta así: “Los bancos deberán contar con una estructura organizacional acorde a su tamaño, complejidad de sus operaciones y perfil de riesgo, que les permita gestionar la TI (tecnología informática) y sus riesgos asociados. El gobierno de TI deberá establecer políticas, planes estratégicos y procedimientos, así como la asignación de recursos necesarios para la gestión de TI, que serán revisadas de manera permanente y continua…”

El gobierno de TI es una parte del Gobierno Corporativo. Pero, ¿qué es el Gobierno Corporativo? Es el conjunto de reglas que guían las relaciones entre la administración, junta directiva, accionistas y los grupos de interés con la finalidad de proporcionar una estructura, objetivos y forma de monitorear una empresa. El Gobierno de TI reúne las mejores prácticas, metodologías, normativas y estándares internacionales que permiten gestionar correctamente la TI.

El COBIT es un estándar internacional y su implementación le permite a la organización construir un marco efectivo para un gobierno de TI. Hoy en día, el COBIT es utilizado por varias entidades gubernamentales entre ellas: la Superintendencia de Bancos de Panamá, la Contraloría General de la República y la Autoridad de Innovación Gubernamental, y muchos bancos en Panamá han adoptado el uso del COBIT como marco de referencia, su correcta implementación les garantiza el camino hacia el éxito. 

La Superintendencia de Bancos de Panamá cuenta con un cuerpo especializado de auditores en riesgo tecnológico quienes realizan inspecciones a los bancos y fiduciarias en materia de tecnología y cuyo objetivo principal es evaluar la gestión de sus controles y la gestión del riesgo en las instituciones reguladas bajo la ley bancaria panameña.

Con las nuevas tendencias tecnológicas nos enfrentamos a nuevos retos y nuevos esquemas de fraudes que los delincuentes utilizan para cometer delitos cada vez más sofisticados.

De acuerdo con una encuesta elaborada a 900 expertos en seguridad informática denominado “Estudio de seguridad de pagos móviles del 2015” y coordinado por la asociación global ISACA (Asociación de Auditoría y Control de Sistemas de Información, www.isaca.org) se clasificaron las principales vulnerabilidades asociadas con los pagos móviles de la siguiente manera:

1. Uso del WiFi público (26%).
2. Pérdida o robo de dispositivos (21%).
3. Phishing (fraude electrónico por correo electrónico) / SMiShing (fraude electrónico por mensaje de texto) (18%).
4. Contraseñas débiles (13%).

En otro estudio realizado sobre el estado de la ciberseguridad en 2016, realizado por la ISACA en la Conferencia RSA, se estima que 82% de las juntas directivas se encuentran muy preocupadas por los temas de ciberseguridad; 6 de cada 10 empleados piensan que no podrán manejar incidentes relacionados con ciberseguridad; 74% tiene expectativas de que existan ciberataques en 2016; 30% experimenta ataques de phishing cada día; y 27% considera que les toma hasta 6 meses cubrir una posición en la que se requiera experiencia en temas de ciberseguridad. En esta encuesta se resalta que las empresas aún consideran la ciberseguridad más un tema tecnológico que un aspecto del negocio. Esto nos indica que los bancos y los grupos bancarios en Panamá deben prepararse ante la realidad que se avecina. Además de toda la tecnología móvil, las conexiones inalámbricas, la integración del Internet de las cosas y la inteligencia artificial aumentarán el riesgo si no se administran correctamente.

[email protected]