fbpx
21 agosto, 2018 / by WebMasterVP

Los ataques cibernéticos y las lecciones que nos dejan

Los ataques cibernéticos que fueron alertados por el FBI afectaron también a bancos peruanos, lo cual conllevó a la adopción de medidas preventivas por parte de éstos, tales como la suspensión de operaciones por internet, banca móvil y cajeros automáticos.

Afortunadamente, según declaraciones de ASBANC, tales ataques fueron repelidos con éxito luego que los bancos activaran sus protocolos de seguridad y monitoreo de sus sistemas. Lo ocurrido, sin embargo, nos lleva a reflexionar sobre si resulta suficiente el sistema de prevención que tenemos hoy para ataques de esta naturaleza. Hagamos el ejercicio y preguntémonos qué hubiera pasado si los efectos de este ciberataque hubiesen comprometido con mucha mayor magnitud la información de clientes generando pérdidas significativas en la industria financiera.

Seguramente la actual Circular sobre Seguridad de la Información emitida por la SBS hubiese sido aplicable, pues Perú no cuenta con una Política Nacional de Ciberseguridad ni con legislación especial al respecto. En este contexto, es oportuno precisar que la seguridad de la información, tal como es concebida en la Circular, tiene un alcance mucho mayor que la Ciberseguridad, pues considera a la “información” como cualquier forma de registro electrónico, óptico, magnético o en otros medios, susceptible de ser procesada, distribuida y almacenada. Es por ello que los controles de seguridad regulados en dicha norma recaen también respecto de la seguridad del personal y de la seguridad física y ambiental.

Considerando que los avances tecnológicos están cada vez más presentes en nuestra vida cotidiana, haciéndonos progresivamente más dependientes de la tecnología, lo que se verifica con el mayor uso de canales digitales (por ejemplo, la banca por internet, banca móvil, entre otros); la primera lección que nos deja este ataque es que existe una necesidad inminente de aplicar a su vez la ciberseguridad, la cual, a diferencia de la seguridad de la información, se enfoca principalmente en información digital y en el uso de sistemas interconectados que la procesen, la transmitan y la almacenen. Por tanto, una regulación general sobre seguridad de la información podría resultar insuficiente en este contexto si lo que se pretende, hoy más que nunca, es gestionar principalmente los eventos de riesgos asociados a la seguridad informática, entendida como hardware, redes, software, y en general, el uso de infraestructura tecnológica digital.

La segunda  lección es la importancia de diseñar una Política Nacional de Ciberseguridad que congregue al sector privado -en el caso concreto, a los bancos- ya que sus herramientas de gestión, concretamente las utilizadas con éxito frente a estos ataques masivos, deben inspirar y servir de referente para lo que debe esperarse en materia de ciberseguridad en nuestro país.

En consecuencia, surge la necesidad de definir una Política Nacional de Ciberseguridad que, reuniendo la experiencia de la banca, permita definir reglas claras orientadas a gestionar adecuadamente ciberataques, brindando seguridad al público y delimitando las responsabilidades derivadas de estos eventos de fraude.

 

 

Por María del Carmen Yuta, consultora experta de Vodanovic Legal.