Seguridad de la Información en la banca panameña

La Seguridad Informática en el Sistema Bancario Panameño

Escrito en junio 2016 por la Ing. Lilia Liu, certificada en CRISC, COBIT 5, CFE. Directora en LLASO

La banca es uno de los sectores económicos que más regulaciones ha tenido nuestro país en los últimos años. La rápida evolución de la tecnología, el robustecimiento de los controles internos y los nuevos mecanismos de seguridad que se requieren para prevenir los riesgos al realizar transacciones financieras, son esenciales para crear valor y brindar confianza en la actividad bancaria.

Cuando hablamos de la seguridad, en el ámbito de la informática, nos viene a la mente muchos conceptos que se prestan a confusión: Seguridad informática, seguridad de la información, ciberseguridad, entre otros.

La Seguridad Informática es una disciplina que se encarga de proteger la disponibilidad, confidencialidad e integridad de la información que es almacenada en un sistema informático, puede ser lógica (procedimientos que permiten resguardar datos, programas o aplicaciones) o física (cuando queremos aplicar barreras físicas o procedimientos de control ante amenazas físicas). La Seguridad de la Información se ocupa de la protección de la información independientemente de su formato, que abarca los documentos de papel, digital y la propiedad intelectual en la mente de las personas y las comunicaciones verbales y visuales. Y la Ciberseguridad trata de proteger todos los activos digitales, desde las redes, el hardware y la información que se procesa, almacena o transporta por los sistemas de información interconectados.

En la actualidad, se toma muy serio la seguridad informática, de manera que si no es administrada correctamente cualquier riesgo crítico para un banco puede ser tan grande y crear tanta repercusión en el sector financiero. Cuando la seguridad informática no se evalúa desde un enfoque holístico (como un todo) y se enfocan en procesos muy puntuales se pierde de vista el control interno, es por ello que se deben gestionar los riesgos de manera integral.

La Superintendencia de Bancos de Panamá ha elaborado una serie de acuerdos relacionados a temas de tecnología que regulan la actividad bancaria. Estos acuerdos se muestran en la Figura No.1, siendo uno de los más importantes a considerar el Acuerdo No. 3-2012 del 22 de mayo 2012, por el cual se establecen los lineamientos para la gestión del riesgo de la Tecnología de la Información.

Figura No.1

Acuerdos bancarios de la Superintendencia de Bancos

Acuerdo 3-2012	Gestión del riesgo de la tecnología de la información
Acuerdo 5-2015	Prevención del lavado de activos
Acuerdo 8-2010	Gestión integral de riesgos
Acuerdo 6-2011	Lineamientos sobre banca electrónica y Gestión integral de riesgos
Acuerdo 9-2005	Tercerización
Acuerdo 5-2011	Gobierno Corporativo
Acuerdo 7-2011	Parámetros mínimos para la gestión del riesgo operativo

Sobre este acuerdo resaltamos el Articulo No.2 que trata sobre el gobierno de TI, que dicta así: «Los bancos deberán contar con una estructura organizacional acorde a su tamaño, complejidad de sus operaciones y perfil de riesgo, que les permita gestionar la TI (Tecnología Informática) y sus riesgos asociados. El gobierno de TI deberá establecer políticas, planes estratégicos y procedimientos, así como la asignación de recursos necesarios para la gestión de TI, que serán revisadas de manera permanente y continua…

El gobierno de TI viene siendo una parte del Gobierno Corporativo. Pero, ¿Que es el Gobierno Corporativo? Es el conjunto de reglas que guían las relaciones entre la administración, junta directiva, accionistas y los grupos de interés con la finalidad de proporcionar una estructura, objetivos y forma de monitorear una empresa. El Gobierno de TI reúne las mejores prácticas, metodologías, normativas y estándares internacionales que permiten gestionar correctamente la TI.

El COBIT es un estándar internacional y su implementación le permite a la organización construir un marco efectivo para un gobierno de TI. Hoy en día, el COBIT es utilizado por varias entidades gubernamentales entre ellas: la Superintendencia de Bancos de Panamá, la Contraloría General de la Republica y la Autoridad de Innovación Gubernamental y muchos bancos en Panamá han adoptado el uso del COBIT como marco de referencia, su correcta implementación les garantiza el camino hacia el éxito.

La Superintendencia de Bancos de Panamá cuenta con un cuerpo especializado de auditores en riesgo tecnológico donde realizan inspecciones a los bancos y fiduciarias en materia de tecnología y cuyo objetivo principal es evaluar la gestión de sus controles y la gestión del riesgo en las instituciones reguladas bajo la Ley bancaria panameña.

Con las nuevas tendencias tecnológicas nos afrontamos a nuevos retos y nuevos esquemas de fraudes que los delincuentes utilizan para cometer delitos cada vez más sofisticados. De acuerdo a una encuesta elaborada a 900 expertos en Seguridad Informática denominado: «Estudio de seguridad de pagos móviles del 2015» y coordinado por la asociación global ISACA (Asociación de Auditoría y Control de Sistemas de Información, www.isaca.org) clasificaron a las principales vulnerabilidades asociadas con los pagos móviles de la siguiente manera:

Uso del WiFi público (26%)
Pérdida o robo de dispositivos (21%)
Phishing (fraude electrónico por correo electrónico)/ SMiShing (fraude electrónico por mensaje de texto) (18%)
Contraseñas débiles (13%)

En otro estudio realizado sobre el estado de la ciberseguridad en el 2016 realizado por la ISACA en la Conferencia RSA, se estima que el 82% de las Juntas Directivas se encuentran muy preocupadas por los temas de ciberseguridad, 6 de cada 10 personas del staff piensan que no podrán manejar incidentes relacionados con ciberseguridad, un 74% tiene expectativas de que existan ciberataques en el 2016, un 30% experimenta ataques de phishing cada día y el 27% considera que les toma hasta 6 meses llenar un posición con experiencia en temas de ciberseguridad. En esta encuesta se resalta que las empresas aún consideran la ciberseguridad mas que un tema tecnológico que un aspecto del negocio. Esto nos indica que los bancos y los grupos bancarios en Panamá debemos prepararnos ante la realidad que se nos avecina. Además de todas la tecnología móvil, conexiones inalámbricas, la integración del Internet de las cosas y la inteligencia artificial aumentarán el riesgo si no se administra correctamente.

Te ayudamos a identificar y mitigar los riesgos en su organización, contáctenos haciendo click aquí.

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.