La Autoridad Bancaria Europea o ABE (más conocida por sus siglas en inglés EBA, European Banking Authority) publicó en mayo de 2017 las directrices a seguir por las autoridades competentes (Banco de España en el territorio nacional) en el ejercicio de la supervisión de la estrategia y el gobierno TIC, así como la evaluación de la exposición al riesgo tecnológico.

Estas Directrices han sido desarrolladas por la EBA a iniciativa propia y de acuerdo con lo señalado en el artículo 16 del Reglamento (UE) No 1093/201. Siendo de obligado cumplimiento desde el 1 de enero de 2018 para aquellas autoridades competentes, como la Comisión Ejecutiva del Banco de España, que decidió adoptarlas el 7 de noviembre de 2017.

En definitiva, estamos ante la normativa de gobierno y gestión del riesgo TIC por la que son evaluadas las entidades bancarias europeas, y entre ellas las españolas. Es importante destacar que en estas Directrices se aplica el principio de proporcionalidad al alcance, la frecuencia y la intensidad de la evaluación supervisora; de tal forma que la profundidad, el detalle y la intensidad de la evaluación de las TIC será proporcional al tamaño, la estructura y el entorno operativo de la entidad

En primer lugar, la normativa obliga a evaluar si las entidades cuentan con una estrategia TIC adecuada, y si ésta está sujeta a un seguimiento oportuno por parte de la Dirección corporativa. En este sentido la estrategia TIC debe estar alineada con la estrategia de negocio; y tiene como objetivo principal la planificación del cambio tecnológico con el fin de mantener una infraestructura de TI actualizada y eficiente.

La alta Dirección debe garantizar su implicación en la definición de las prioridades estratégicas de las TIC mediante el conocimiento del desarrollo, diseño, y puesta en marcha de las iniciativas más relevantes para el negocio en esta materia. Además, la estrategia debe estar documentada y respaldada por planes de ejecución concretos y por la planificación de los recursos.

En cuanto al gobierno TIC, las autoridades competentes evaluarán si cubre debidamente los sistemas y los riesgos relacionados, y si el órgano de dirección trata y gestiona adecuadamente estos aspectos; ya que las TIC son parte integrante del buen funcionamiento de una entidad. También será objeto de evaluación si la entidad cuenta con una estructura corporativa adecuada y transparente con responsabilidades claras, que facilite que los principales responsables TIC tengan acceso a la Dirección para comunicar las cuestiones importantes relacionadas con la tecnología. 

Estándares como VAL IT del IT Governance Institute , la ISO 38500, COBIT de ISACA o ITIL podrían ser marcos de referencia válidos en los que las entidades bancarias podrían inspirarse a la hora de implementar sus propias metodologías de gobierno TIC.

Por último, las autoridades competentes están obligadas a identificar los riesgos TIC a los que las organizaciones están expuestas; para lo cual deben seguir una metodología que identifique los servicios críticos, calcule el impacto potencial del riesgo, y evalúe los controles implantados para mitigarlo.

La EBA desarrolla un enfoque peculiar de riesgo TIC adaptado a las características propias de su negocio, y para ello identifica las siguientes exposiciones de riesgo:

Riesgo de disponibilidad y continuidad TIC: Asociado al impacto en el rendimiento y disponibilidad de los sistemas y servicios

Riesgo de la seguridad de las TIC: Probabilidad de acceso no autorizado a los sistemas TIC y a los datos

Riesgo de cambio de las TIC: El derivado de la incapacidad de gestionar adecuadamente los cambios en los sistemas TIC

Riesgo de Integridad TIC: Relativo al riesgo de que los datos sean incompletos, inexactos, o incoherentes

Riesgo de externalización: Relacionado con la contratación de sistemas o servicios TIC a un tercero.

Es en este último aspecto en el que la calificación de ciberseguridad de dichos terceros ofrece una solución única para gestionar estos riesgos con la máxima eficiencia.

Como resultado de la evaluación de estos tres puntos (estrategia, gobierno y exposición al riesgo), la autoridad competente redactará un informe con los hallazgos obtenidos, asignando la puntuación correspondiente según se indica en las Directrices para el proceso de revisión y evaluación supervisora en su apartado 5.11; donde el valor 1 es el más favorable y el 4 el más deficiente.

En el siguiente post profundizaremos en cómo la autoridad competente debe evaluar la forma en que las entidades identifican, siguen, evalúan y mitigan los riesgos materiales en el ámbito de las TIC.

All you need is LEET

Suscríbete a nuestras comunicaciones desde este enlace.

 

Puedes seguirnos en twitter.com/leet_security

6 de septiembre de 2018