Seguridad

Las reglas de ciberseguridad bancaria cambiarán en el futuro (Reino Unido)

Hasta que se presente una falla en un banco importante, como resultado de un ataque cibernético, se podría abrir paso a la implementación de cambios significativos en las prácticas de ciberseguridad, regulación y gobernanza en el mercado bancario del Reino Unido, dijo el profesor Richard Benham, presidente del National Cyber Management Center, en entrevista con Out-Law.com para ampliar los comentarios que realizó anteriormente en la BBC.

DOor to a bank vault. Photo by ShutterstockÉl reiteró su opinión de que habrá pérdidas durante 2017 como resultado de la falta de confianza de los clientes respecto a la seguridad de sus fondos tras un ataque cibernético. Considera que se necesita una regulación más formal de ciberseguridad en la banca británica.

Benham expresó que a pesar de la existencia de una guía del Banco de Inglaterra, el sector bancario está actualmente «no regulado efectivamente en ciberseguridad». Hay una falta de «normas obligatorias», dijo, y estas deberían ser puestas en práctica.

«Por el momento hay una tendencia (de las personas) a dejar a los bancos que gestionen su propia seguridad», agregó Benham.

El incidente del Tesco Bank y los ataques realizados a través del sistema bancario SWIFT, como los que afectaron al banco central de Bangladesh y al banco ecuatoriano Banco del Austro, deberían «servir como una alerta» para la industria en relación con las vulnerabilidades de seguridad cibernética, dijo. Sin embargo, cree que algunos bancos parecen demasiado dispuestos a sacrificar un elemento de seguridad cuando se trabaja en iniciativas destinadas a mejorar la experiencia del cliente, en respuesta a la demanda de los consumidores para medios más rápidos de transferencia de dinero.

Citando la mayor regulación de los bancos se han enfrentado desde el «crisis de crédito» como ejemplo, Benham predijo que «podría necesitarse un fracaso mayor» de un banco, derivado de un ataque cibernético exitoso y la pérdida posterior de clientes que busquen retirar fondos, para impulsar una regulación más estricta de la ciberseguridad de los bancos por los bancos centrales, los gobiernos y los reguladores.

Benham dijo que el caso del Tesco Bank mostró que los bancos pueden ser víctimas de los atacantes y que las cifras líderes de la industria admiten que, si los ataques tuvieran éxito, sería inevitable que los fondos de los clientes sean robados.

Benham considera que los bancos en línea son quizás más vulnerables al daño de reputación, pérdida de la confianza del cliente y un posterior retiro de fondos, si un ataque cibernético destruye sus sistemas. Los bancos de las calles principales, capaces de lidiar con asuntos dentro de la sucursal, podrían responder mejor a las preocupaciones de los clientes y emitir reembolsos más rápido en caso de que sean afectados por un ataque de este tipo, agregó.

La capacidad de tranquilizar a los clientes acerca de la seguridad de sus fondos, y emitir reembolsos rápidamente, será vital para un banco si son víctimas de un ataque cibernético, dijo. Es probable que los clientes del banco muestren «un cierto grado de apatía» hacia las fallas de seguridad cibernética en un banco si son reembolsadas prontamente por cualquier pérdida que hayan sufrido.

Por el momento, la verdadera escala de las pérdidas que los bancos sufren de ataques cibernéticos es desconocida, explicó Benham. Esto se debe a que los bancos pueden disfrazar cifras bajo la etiqueta genérica de «fraude», agregó. Sin embargo, ante la próxima Regulación de Protección de Datos General (GDPR), con sus nuevas obligaciones de notificación de violación de datos, es probable que salgan a la luz un mayor número de ataques registrados así como más detalles sobre su impacto.

Él considera que es difícil predecir qué impacto podría tener en la confianza del cliente y su afán de sacar dinero de las cuentas.

Fue originalmente publicado en: Seguridad.unam.mx

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.