El BCE detecta áreas de mejora en la defensa de la banca europea contra los ciberataques

La prueba de resistencia sobre la 'ciberresiliencia' de los bancos de la Eurozona, con la que el Banco Central Europeo (BCE) ha estudiado la respuesta y recuperación de las entidades frente a un incidente de ciberseguridad grave, demuestra que la banca dispone de distintos marcos de respuesta y recuperación. Sin embargo, siguen existiendo áreas de mejora, según ha indicado el representante del Consejo de Supervisión del organismo que dirige Chirstine Lagarde, Anneli Touminen. 

Los supervisores han enviado comentarios a cada entidad y realizarán junto a ellas un seguimiento de los mismos. Además, el BCE subraya que, en algunos casos, las entidades ya han mejorado o tienen previsto subsanar las deficiencias detectadas en el ejercicio.

Comenzó en enero 

El estudio, que comenzó el pasado mes de enero, ha contado con la participaron de las 109 entidades de crédito supervisadas directamente por el BCE al inicio del examen, salvo algunas excepciones por cuestiones específicas. Entre los bancos examinados, un total de 28 entidades con diferentes modelos de negocio y ubicaciones geográficas fueron sometidas a pruebas más exhaustivas, incluyendo una prueba real de recuperación informática y el aporte de pruebas de que el resultado había sido satisfactorio, así como visitas in situ de los supervisores.

Las entidades debieron demostrar su capacidad para activar planes de respuesta frente a crisis, incluidos los procedimientos de gestión de crisis internos y planes de continuidad del negocio; comunicarse con las partes interesadas externas (clientes, proveedores de servicios y cuerpos y fuerzas de seguridad); llevar a cabo un análisis para determinar qué servicios se verían afectados y de qué manera; aplicar medidas de mitigación.

Asimismo, para evaluar su capacidad de recuperación tuvieron que demostrar que podrían activar sus planes de recuperación, incluido el restablecimiento de los datos guardados en copias de seguridad y la coordinación de la respuesta al incidente con los proveedores de servicios externos críticos; asegurar la recuperación y el funcionamiento de las áreas afectadas, así como aplicar las enseñanzas extraídas, por ejemplo, revisando sus planes de respuesta y de recuperación.

Qué pasará con los resultados del ejercicio 

Los resultados del ejercicio se tendrán en cuenta en el proceso de revisión y evaluación supervisora (PRES) de 2024, que evalúa los perfiles de riesgo individuales de las entidades, aunque el BCE ha indicado que la prueba de resistencia sobre ciberresiliencia no se centró en el capital de las entidades, por lo que sus resultados no afectarán a la recomendación de Pilar 2.

"Dada la naturaleza interconectada de las redes bancarias actuales, un incidente en una institución puede tener efectos en cascada en múltiples sectores, como vimos con la reciente interrupción global del servicio CrowdStrike", ha advertido Tuominen.

Por lo tanto, para la representante del supervisor bancario la resiliencia cibernética "es el baluarte que protege nuestro sistema financiero de las amenazas cibernéticas" y las entidades "deben priorizar la inversión en ciberseguridad" y tratarla como un componente estratégico vital que sustenta su resiliencia operativa. "Deben ser capaces de mantener operaciones bancarias críticas para garantizar la continuidad del negocio y mantener la confianza de sus clientes, incluso en condiciones adversas", ha concluido.