¿Demasiado grande para fallar cibernéticamente?


Cómo el riesgo cibernético sistémico amenaza a los bancos y compañías de servicios financieros de EE. UU.

Incluso con COVID-19 dominando los titulares, los virus biológicos son solo un tipo de riesgo sistémico para nuestro sistema bancario y economías. De hecho, nuestra creciente dependencia de la tecnología de la información ha hecho que las economías de todo el mundo sean vulnerables a los riesgos sistémicos amplificados por lo que a menudo se denominan fallas de modo común en las que los sistemas aparentemente redundantes o independientes son, de hecho, dependientes o vulnerables a una amenaza común .

Este tipo de fallas (considere el tsunami que cojeó y destruyó la central nuclear de Fukushima) son difíciles o incluso imposibles de predecir a partir de datos históricos. En ninguna parte es esto más cierto que en el sector bancario, donde los riesgos cambian continuamente y en los que se necesita una reevaluación de los riesgos sistémicos y una nueva generación de herramientas de gestión de riesgos, mientras todavía hay tiempo.

Los ataques cibernéticos plantean riesgos sistémicos
Los bancos y las empresas de servicios financieros de EE. UU. Se encuentran entre los mayores usuarios de tecnología de ciberseguridad. Aún así, no son inmunes a los ataques cibernéticos o fallas que pueden causar una interrupción generalizada a los servicios críticos. Documentos recientes de la Banco de la Reserva Federal de Nueva York y el Banco de Inglaterra Destacar varias preocupaciones clave. El modelo de la Fed de Nueva York, por ejemplo, mostró cómo un ataque contra un solo banco grande, un grupo de bancos más pequeños o un proveedor de servicios ampliamente utilizado podría tener «graves implicaciones en la estabilidad del sistema financiero más amplio en forma de desbordamiento a inversionistas, acreedores y otros participantes del mercado «.

Además, la crimson profunda de sistemas interdependientes de la industria de servicios financieros y la dependencia de la infraestructura de TI obsoleta y los protocolos de larga facts (p. Ej. RÁPIDO y Kerberos) aumentan la cantidad y variedad de riesgos sistémicos dentro del sector.

Este no es un escenario descabellado. Ataques recientes a proveedores como Travelex y Finastra ilustran el escenario exacto que los reguladores y expertos en seguridad han advertido. Fuera de los EE. UU., Exitosos ataques rusos de denegación de servicio contra objetivos del sector público y privado en Letonia, Estonia y Ucrania, incluido el devastador 2017 NotPetya malware ataque, deje en claro que los ciberataques no solo están en el arsenal de adversarios extranjeros, sino que se han desplegado activamente en operaciones ofensivas, con daños colaterales por miles de millones de dólares.

Tres pasos para mejorar la gestión del riesgo cibernético
Hay tres formas clave en que el sector bancario, los reguladores y los encargados de formular políticas en todo el gobierno pueden y deben trabajar juntos para abordar este problema. Echemos un vistazo de cerca a cada uno.

Mayor transparencia
Uno de los mayores desafíos que enfrentan los bancos y las compañías tenedoras de bancos es la falta de información correcta sobre la frecuencia y la gravedad de los incidentes. Si bien la seguridad nacional y las necesidades competitivas pueden requerir mantener en secreto los detalles de algunos ataques, las preocupaciones de reputación no son razón suficiente para no revelar incidentes cibernéticos. La divulgación ayuda a la gerencia, a las juntas, a las aseguradoras, a los reguladores y a todo el gobierno a comprender correctamente la amplitud y profundidad de los desafíos que enfrentan. También ayudan a presagiar lo que se avecina. En resumen: un conjunto de datos más completo permitiría que todas las partes interesadas midieran, valoraran y mitigaran mejor el riesgo cibernético.

En el contexto de los bancos y las entidades de servicios financieros, la fijación correcta de precios al riesgo cibernético y las preocupaciones más amplias sobre el riesgo operativo informan las inversiones en sistemas de TI, seguridad cibernética, particular y capacitación. También es appropriate con la gestión de riesgos empresariales, el Análisis y revisión integral de cash (CCAR) y otras iniciativas de pruebas de estrés. Finalmente, también puede proporcionar a la FDIC y a la SEC información essential que podría guiar la toma de decisiones del gobierno en caso de un incidente sectorial de gran alcance, como ocurrió en Ucrania.

Ciberseguro
En comparación con hace dos décadas, el riesgo cibernético hoy representa una responsabilidad significativa para muchas organizaciones. Ese riesgo incluye los gastos relacionados con la respuesta a incidentes cibernéticos, multas, pérdida de ingresos por interrupción de negocios y daños a la reputación. Aún así, el seguro cibernético afirmativo todavía está en su infancia. Los planes de cobertura confusos en las pólizas de responsabilidad profesional y los llamados ciber riesgos «silenciosos» alejan a las aseguradoras de su intención primary. Aquí también, la presentación de informes de incidentes más completos conducirá a un seguro de riesgo cibernético más específico y efectivo, mejorando la responsabilidad tanto para los asegurados como para los transportistas. Por ejemplo, la FDIC podría exigir a los bancos e instituciones financieras con participaciones por encima de un cierto umbral que lleven a cabo una sólida póliza de seguro de riesgo cibernético para calificar para el respaldo de la FDIC.

Los requisitos para mantener dichas políticas podrían centrar la atención de las entidades aseguradas en los factores que contribuyen a los incidentes cibernéticos, como el envejecimiento de la infraestructura de TI, las parches deficientes y las prácticas de administración de la configuración de TI, etc. Dado que el riesgo cibernético puede ser generalizado y sistémico, también podrían considerarse esquemas de mutualización, que permitan compartir el riesgo en una asociación público-privada. Según dichos acuerdos, las compañías de seguros reciben tarifas justas por partes del límite de cobertura ofrecido, mientras que el Tesoro de los Estados Unidos proporciona un respaldo. Incentivar mejores prácticas de esta manera y alentar el seguro afirmativo como parte de la fortaleza del harmony basic será la marea que elevará todas las embarcaciones.

Responsabilidad a nivel de la Junta
A medida que el mundo se hace más pequeño y está más interconectado, los ejecutivos y las juntas directivas de los bancos interesados ​​y las instituciones financieras deben ser responsables de garantizar un nivel razonable de atención en asuntos relacionados con la ciberseguridad y el riesgo cibernético. La atención de los reguladores y los mercados debe centrarse en fenómenos observables: datos de registro y sensores monitoreo operativo y capacidades de respuesta parches de program actualizaciones de seguridad y auditorías de autorización y autenticación.

En muchas organizaciones, este cambio requerirá autoridad e inversión adicionales en la función CISO, incluida una selección y educación más estrictas de las juntas directivas sobre las mejores prácticas y la terminología. Al mismo tiempo, se debe esperar que las juntas directivas se familiaricen con el lenguaje del riesgo cibernético. Para los bancos, tales medidas podrían ser necesarias como parte de la elegibilidad del seguro de la FDIC.

Los posteriores esfuerzos público-privados dispersos para combatir el COVID-19 han subrayado el valor de los enfoques organizados de arriba hacia abajo para los riesgos sistémicos. A medida que trabajamos para reiniciar nuestras economías siguiendo las drásticas medidas tomadas para proteger la salud pública, debemos ser conscientes de que la interrupción de sectores clave o la infraestructura de Net por mistake humano o actores hostiles estatales o no estatales tiene el potencial de ser tan devastador como COVID-19.

Afortunadamente, no es demasiado tarde para que tanto el gobierno de EE. UU. Como las industrias de servicios bancarios y financieros actúen y reduzcan la probabilidad de falla sistémica. Cada uno de los pasos simples descritos anteriormente contribuirá en gran medida a dar a la industria una imagen más completa del desafío que enfrenta, el camino hacia una cobertura sólida y un buen gobierno corporativo para estas importantes instituciones. Juntas, estas medidas aseguran que el sistema bancario de EE. UU., Que respalda la moneda de reserva mundial, pueda gestionar mejor los riesgos sistémicos.

Contenido relacionado:

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para ese «día realmente malo» en ciberseguridad. Haga clic para más información y para registrarse.

Jason Crabtree cofundó QOMPLX en 2014 con Andrew Sellers. Como CEO de QOMPLX, el Sr. Crabtree es responsable de la visión common y la dirección a largo plazo de la compañía, además de supervisar todos los aspectos de las operaciones de la compañía. Antes de QOMPLX, Jason más recientemente … Ver biografía completa

Lectura recomendada:

Más suggestions





Enlace a la noticia original