Incibe, Deloitte y BdE examinan la ciberseguridad de la banca española

"¿Qué medidas tomaría la compañía si tras un ataque informático le robaran datos de las tarjetas de crédito? ¿Cómo actuaría el departamento de comunicación en caso de que sucediera una crisis que bloqueara el acceso al banco a través de la red?". A preguntas como ésta, relacionadas con la ciberseguridad, se han enfrentado una docena de bancos españoles durante la segunda mitad de 2015, según ha podido saber Vozpópuli de fuentes financieras conocedoras de estas evaluaciones globales. Junto a los doce bancos, se ha examinado la seguridad de compañías de medios de pago y sociedades de valores.

A cargo de las citadas pruebas específicas, según ha podido saber este diario, ha estado el Instituto Nacional de Ciberseguridad (Incibe), entidad pública dependiende del Ministerio de Industria, Energía y Turismo y encargada de desarrollar la seguridad en internet y la "confianza digital" de los ciudadanos. Junto a esta empresa estatal ha estado presente la consultora Deloitte, con equipos especializados pertenecientes al departamento de Compliance, y personal del Banco de España, que habría participado solo como oyente.

Interesaba a los técnicos encargados de las evaluaciones conocer las respuestas de los distintos departamentos ante escenarios hipotéticos como un robo masivo de datos, la inutilización de sistemas informáticos u otras eventualidades relacionadas con la seguridad en internet

El objetivo de estas pruebas ha sido conocer los protocolos y el grado de coordinación entre departamentos para abordar una hipotética crisis de ciberseguridad en cada una de las entidades examinadas. Así, interesaba a los técnicos encargados de las evaluaciones conocer las respuestas de los distintos departamentos (financiero, de comunicación, redes sociales...) ante escenarios imaginarios como un robo masivo de datos, la inutilización de sistemas informáticos u otras eventualidades relacionadas con la seguridad en internet.

"Nos reunieron en una sala a responsables de varios departamentos y nos preguntaban por nuestros protocolos en función de diversos escenarios", explican un alto cargo de una de las entidades examinadas. A partir de las respuestas, los técnicos de Incibe y Deloitte determinaban el grado de cumplimiento con los estándares de seguridad habituales en el sector. En general, según ha podido saber Vozpópuli, el resultado de las pruebas fue satisfactorio para los reguladores, y los equipos y protocolos de ciberseguridad han funcionado.

Además, encuestas y test a cargo del MUS

Las evaluaciones llevadas a cabo por el Incibe, Deloitte y el BdE no han sido las únicas pruebas relacionadas con la seguridad digital de la banca. En verano de 2015 el Mecanismo Único de Supervisión (MUS, liderado por el BCE) llevó a cabo una serie de pruebas escritas (encuestas) a las entidades bajo su control sobre aspectos relacionados con la ciberseguridad. El resultado, según fuentes conocedoras de dichos exámenes, fue "positivo".

Y es que ante el avance cada vez mayor del negocio bancario a través de internet y los smartphones, los supervisores están actualizando e incrementando sus medidas de control. Es, en palabras del propio MUS, la quinta prioridad del BCE como supervisor del sistema financiero europeo. "El riesgo en internet no es en ningún caso menos importante que cualquier otro riesgo prudencial, dada la dependencia de los bancos a los sistemas de tecnologías de la información", señaló el propio BCE en un reciente escrito.

El mundo actual, para un banco cualquier, implica ciberataques ("una versión digital del clásico robo a un banco"), que pueden ser llevados a cabo por individuos pero también por organizaciones criminales. Es en este sentido que el BCE está incrementando su control a este respecto. "Con el fin de evaluar los perfiles de riesgo digital de nuestros bancos, hemos llevado a cabo una revisión de ciberseguridad en entidades significativas y realizado un ejercicio comparativo (benchmarking) entre éstas", según explicó el propio MUS.