La EBA supervisa la gestión del riesgo TIC en las entidades financieras (II)

Tal y como adelantamos en el post anterior, la EBA (European Banking Authority) en su guía Directrices sobre la evaluación del riesgo de TIC en el marco del proceso de revisión y evaluación supervisora, incluye un apartado donde se describe cómo inspeccionar la gestión del riesgo tecnológico dentro del marco de gestión global de riesgo operacional.
Dicha evaluación se obtendrá a partir de distintas fuentes entre las que se encuentran actividades, informes y resultados de la gestión de riesgos de la entidad, autoevaluaciones del riesgo y de controles de TIC, informes periódicos sobre el riesgo de TIC, información específica de incidentes, y resultados de las auditorías internas y externas relacionadas con las TIC.
La EBA define su propia metodología para evaluar el riesgo tecnológico basándose en controles provenientes de otros marcos de seguridad de la información, pero adaptándose a las características específicas de las entidades financieras. Para lo cual establece 4 etapas:
1.- Revisión del perfil de riesgo de TIC de la entidad
Obtiene una primera aproximación del impacto producido por el riesgo TIC en la disponibilidad y continuidad del sistema financiero estudiando de una forma general aspectos como la indisponibilidad de la infraestructura de TI,  la dependencia de Internet, la complejidad o la naturaleza obsoleta de las TIC, la contratación de servicios externos TIC, y  la ubicación de las instalaciones, o aspectos sociopolíticos.
2.- Revisión de los sistemas y servicios de TIC críticos 
Se trata de realizar un inventario de lo sistemas y servicios de TIC esenciales para la organización. Los cuales deben cumplir al menos una de las siguientes condiciones:
• Dar soporte a las principales operaciones del negocio (cajeros automáticos, banca online, y banca móvil)
• Soportar los procesos de gobierno y las funciones corporativas esenciales (gestión de riesgos, gestión de tesorería. 
• Estar sujetos a requisitos jurídicos o regulatorios especiales con exigencias de disponibilidad, resiliencia, confidencialidad, o seguridad  
• Procesar o almacenar datos confidenciales o sensibles cuyo acceso no autorizado podría afectar a la reputación de la entidad, los resultados financieros o solidez del negocio. 
• Proporcionar funcionalidades básicas vitales para el funcionamiento de la entidad
3.- Identificación de riesgos de TIC materiales para los sistemas y servicios de TIC críticos
Teniendo en cuenta las revisiones del perfil de riesgo de TIC y de los sistemas y servicios de TIC críticos, cada entidad debe identificar sus propios riesgos teniendo en cuenta el impacto financiero producido por la pérdida de ingresos , los costes legales, y de reparación, el riesgo de disponibilidad y continuidad del negocio ( número de clientes o sucursales y de empleados potencialmente afectados ), el impacto sobre la reputación de la organización, las multas por incumplimiento de regulaciones, y el impacto en los planes estratégicos de la organización.

Una vez identificados los riesgos, se debe desarrollar y gestionar un plan de tratamiento de riesgos mediante el seguimiento de un conjunto de controles que permitan mitigar estos riesgos.
4.- Evaluación de los controles para mitigar los riesgos de TIC materiales
Las autoridades competentes revisarán la forma en que la entidad identifica, sigue, evalúa y mitiga los riesgos materiales identificados en el paso anterior; para lo cual evaluarán los siguientes conjuntos de controles:


Controles de riesgo TIC

Política de gestión del riesgo de TIC
Formalización y aprobación de política. Sistema de gestión de riesgos TIC
Marco de gestión y supervisión de la organización
Roles, responsabilidades, recursos y auditorías internas.
Cobertura y resultados de auditoría interna
Ejecución periódica de auditorías y seguimiento de resultados
Disponibilidad y continuidad de las TIC
Identificación de procesos  y sistemas críticos. Plan de continuidad del negocio. Procedimiento de gestión de incidentes. Gestión de la capacidad
Seguridad de las TIC
Sistema de gestión de seguridad. Gestión de vulnerabilidades técnicas. Inventario de activos y servicios internos y externos. Concienciación y formación. Control de acceso. Controles de red. Auditorías independientes de seguridad
Gestión del Cambio
Procesos documentados. Segregación de tareas. Entornos de pruebas realistas. Gestión del ciclo de vida de los sistemas. Control de acceso al código fuente. Auditorías de seguridad de sistemas y aplicaciones. Prevención de fuga de información
Integridad de los datos
Funciones y responsabilidades. Modelo de datos. Autorización de uso de aplicaciones. Gestión de excepciones de integridad
Externalización de las TIC
Estrategia. Evaluación de impacto. Seguimiento del riesgo y del nivel de servicio. Recursos de gestión del servicio

 

Para finalizar el proceso de evaluación, la autoridad competente refleja la opinión formada sobre el riesgo TIC de la entidad en un informe de resultados. Si se considera que el riesgo TIC es material, se podrá puntuar en el informe como una subcategoría del riesgo operacional según la siguiente escala de puntuación:
· NO EXISTE un riesgo apreciable de impacto.
· Existe un BAJO riesgo de impacto
· Existe un riesgo MEDIO de impacto
· Existe un riesgo ALTO de impacto
De nuevo nos encontramos un ejemplo donde las organizaciones necesitan demostrar la implantación de sus medidas de seguridad de la información, y al mismo tiempo  evaluar la seguridad de sus proveedores TIC.
En este contexto, el sello de seguridad de Leet puede servir de gran ayuda a las entidades financieras. Por una parte, ofrece un marco de controles flexible basado en las mejores prácticas y estándares internacionales, y clasificados en varios niveles de protección. El mecanismo de calificación de Leet permite realizar planes de cobertura de riesgo específicos en función de la dimensión de la seguridad más relevante para la entidad (disponibilidad, confidencialidad, integridad); pero también según el dominio de seguridad aplicable (gestión de la seguridad, operación de sistemas, seguridad física, resiliencia, controles de red, etc). Y por otra,  constituye un mecanismo eficaz y eficiente para la supervisión de los servicios externalizados.

All you need is LEET
Suscríbete a nuestras comunicaciones desde este enlace