PUBLICIDAD
PUBLICIDAD

La CNMV refuerza sus medidas de seguridad para minimizar los riesgos de sufrir un ciberataque

|

La Comisión Nacional del Mercado de Valores (CNMV) acaba de adjudicar a Auren el servicio de auditoría de los sistemas de seguridad de la información de esta entidad.

Se trata de asegurar asegurar y verificar los niveles de seguridad de dichos sistemas de información.

PUBLICIDAD

Los ciberataques son una amenaza para las empresas e instituciones. En agosto del 2018 la web del Banco de España sufrió uno durante dos días que mantuvo paralizada su pagina web.

PUBLICIDAD

Un mes después la propia CNMV advertía  de un intento de fraude, tipo «phishing», a través de correos electrónicos tras detectar un envío masivo de comunicaciones por e-mail en las que se utiliza el dominio cnmv.es y se suplanta la identidad e imagen del organismo presidido por Sebastián Albella.

El correo incluyó un enlace fraudulento en el que se pide al destinatario datos personales.

PUBLICIDAD

Tal y como informaron desde la Comisión, «en cuanto ha tenido conocimiento del envío de estos correos falsos, hemos llevado a cabo las actuaciones necesarias para mitigar su efecto».

El regulador de los mercados financieros en España pudo frenar  el engaño en las próximas horas, al mismo tiempo lanzó un comunicado aquella tarde  para «prevenir que algún usuario pueda ser víctima de fraudes o actividades engañosas

La propia CNMV ya en sus notas informativas del 2017 señalaba los riesgos reputaciones de que cualquier entidad sufriera un ciberataque.

PUBLICIDAD

De esta forma este regulador financiero incluía como riesgo para la estabilidad financiera de las empresas españolas la ciberseguridad.

Así, a los tradicionales riesgos del sector: los propios del entorno macroeconómico, tipos de interés o las fuentes de incertidumbre política se ha incorporado un epígrafe relativo a la ciberseguridad.

PUBLICIDAD

Como punto destacado para fortificar la ciberseguridad la CNMV apunta al fomento del “grado de la concienciación y compromiso en el ámbito de la cultura empresarial” sobre esta materia

Desde dicha nota informativa de abril del 2017 se insistía en que el ciberataque  es fenómeno muy complejo que cambia de forma constantemente y con gran rapidez.

También se alerta que la detección de los ataques puede ser muy complicada;

Por otro lado se señala que un ciberataque podría interrumpir el funcionamiento de los mercados y repercutir negativamente sobre el conjunto del sistema financiero y la economía real.

Mejorar la gobernanza de las compañías

Uno de los elementos clave para reforzar la ciberseguridad radica en la gobernanza de las compañías, es decir, en el fomento de un elevado grado de compromiso y de concienciación sobre esta materia en el ámbito de la cultura empresarial”.

PUBLICIDAD

Desde este regulador financiero se insiste en que las infraestructuras de los mercados (negociación y postcontratación) se consideran críticas a efectos de ciberseguridad tanto en España como en el resto de países.

En particular, un ciberataque a las infraestructuras de postcontratación (registro, pagos y contraparte central) puede generar eventos de importancia sistémica de efectos prolongados con una reversibilidad y recuperación más lenta que si se produjese en los sistemas de contratación.

La tecnología asociada y la interoperabilidad de las infraestructuras de los mercados con otras plataformas y con sus participantes posibilitarían la propagación y ampliación de los efectos de los ciberataques así como las vías de acceso de entrada de amenazas.

La ciberseguridad de las infraestructuras críticas es un asunto de seguridad nacional en la mayoría de países incluida España.

Reguladores internacionales como la Organización Internacional de Comisiones de Valores (IOSCO ) y la Asociación de la Industria de Valores y Mercados Financieros es un grupo comercial de la industria de los Estados Unidos que representa a empresas de valores, bancos y compañías de gestión de activos (SIFMA) han declarado que la ciberseguridad se encuentra entre sus máximas prioridades.

Este hecho, unido al cambio estructural en el sector financiero con la irrupción y consolidación del «Fintech» hacen necesaria una dotación urgente de recursos humanos con marcado perfil tecnológico en las entidades supervisoras.

Desde el propio regulador se indica que la naturaleza de las amenazas cibernéticas es cambiante y está en continua evolución por lo que la actuación reguladora y supervisora tiene que ser de la misma dimensión.

La cooperación internacional y el intercambio de información y experiencias (cyber intelligence) son elementos clave de la estrategia para lograr una mayor seguridad.

Infraestructuras controladas

Desde la CNMV se insiste en que las infraestructuras de los mercados deberían cumplir los requisitos en materia de ciberseguridad establecidos tanto por organismos con competencia nacional en la materia como en el ámbito de los mercados de valores, en concreto:

a) El Plan Estratégico Sectorial del Sector Financiero, elaborado por la Comisión Nacional para la Protección de Infraestructuras Críticas (CNPIC), que recoge las principales líneas de un grupo de trabajo creado a tal efecto, en el que ha participado la CNMV.

Este plan debería contener, entre otros puntos, las recomendaciones de CPSS-IOSCO para las infraestructuras en materia de ciberseguridad. En el ámbito europeo de ciberseguridad, ya existe una directiva1 aplicable a las infraestructuras cuya trasposición debería efectuarse antes de mayo de 2018.

b) Una guía del Comité de Pagos e Infraestructuras de Mercado del Banco de Pagos Internacionales (BIS) hecha pública en junio de 2016, que sería de aplicación a las infraestructuras de los mercados y cuyo cumplimiento debería supervisar la CNMV en coordinación con otros organismos encargados de la ciberseguridad.

La CNMV debe seguir de cerca la evolución de las actuaciones del CNPIC en relación con las infraestructuras críticas y sus políticas de ciberseguridad, llevando a cabo aquellas tareas de supervisión que nos asignen en los correspondientes planes.

La realización periódica de ejercicios y simulaciones de ciberataques, que es una herramienta esencial de ciberseguridad y práctica habitual en otros países, se debe de realizar también en España con las infraestructuras que supervisa la CNMV.

En el ámbito de la Unión Europea ya se realizan ejercicios y simulaciones por parte de la European Union Agency for Network and Information Security (ENISA).

Para maximizar la efectividad de los planes de ciberseguridad es necesaria la participación del equipo directivo y de todos los empleados de la compañía ya que cada puesto de trabajo conectado al exterior puede ser una vía de entrada de amenazas.

¿Qué riesgos tienen los mercados financieros?

La CNMV publicaba otra  guía, “Ciberseguridad e infraestructuras de mercados”,también en el 2017 donde analiza el fenómeno de los ciberataques y su repercusión.

En ella identifica los siguientes riesgos derivados de un ciberataque:

Entidades emisoras/cotizadas

Con diferentes alcances sobre la continuidad de sus operaciones y sus consecuentes repercusiones bursátiles. Especialmente significativos serían los impactos de un ciberataque en empresas proveedoras de infraestructuras estratégicas y críticas como las eléctricas y las comunicaciones, el control aéreo y los sistemas de pago.

Empresas de servicios de inversión y entidades gestoras y depositarias de instituciones de inversión colectiva

Con efectos negativos sobre el registro de cuentas de valores y efectivo de los clientes.

El propio supervisor

Con procesos especialmente críticos como la difusión de información relevante, que podrían ver afectado su funcionamiento.

Difusores de información financiera relevante 

Impacto importante en el mercado que podría generar problemas a corto y medio plazo.

Infraestructuras de los mercados financieros

Estas infraestructuras están especialmente expuestas a los riesgos de un ciberataque como consecuencia, por un lado, de su dependencia tecnológica ya que los sistemas de compensación y liquidación descansan en las tecnologías de la información y, por otro, por la profunda interconexión con sus miembros, lo que ofrece múltiples puntos de acceso a sus sistemas.

Según los expertos, en este ámbito deberían diferenciarse los efectos y el alcance de un ataque sobre las infraestructuras de negociación de las consecuencias sobre las infraestructuras de postcontratación.