En respuesta a las crecientes amenazas cibernéticas, en enero de 2024 el Banco Central Europeo (BCE) puso en marcha su primera prueba de resiliencia cibernética (CRST, por sus siglas en inglés) de los bancos que supervisa. Así, estos se enfrentaron a un cuestionario de 395 preguntas, cuyas respuestas en esta primera fase de la prueba debían enviarse a finales de febrero, junto con la correspondiente evidencia documental. Durante la fase de evaluación posterior, el BCE concedió dos días a los bancos para responder a las preguntas de seguimiento. Además, 28 de las instituciones debían someterse a una prueba adicional de recuperación de TI y han sido posteriormente objeto de revisiones in situ por parte del ECB en marzo y abril de 2024. Ha sido un ejercicio de stress exigente y complejo, pero que se espera proporcione un marco de actuación a seguir para el futuro.

La interacción del ECB con las entidades finalizó en junio y los resultados del ejercicio serán analizados por el BCE para calibrar la eficacia de la protección de la banca europea frente a los ciberataques. Las entidades recibirán un informe del ejercicio en julio y sus resultados posteriormente se incorporarán a las evaluaciones del Proceso de Revisión y Evaluación Supervisora (PRES) de los bancos. Sin embargo, ya se pueden extraer las primeras conclusiones y, sobre todo, aprendizajes de cara a futuros ejercicios de crisis.

Escenario de ataque complejo, prueba exigente, costes elevados

La CSRT planteó varios retos importantes a los bancos. El primero fue la complejidad del escenario definido en el simulacro, según el cual, un atacante desconocido accedió y cifró la base de datos del principal de la entidad. Adicionalmente, el BCE comunicó el escenario una semana antes del inicio de la prueba, por lo que no fue posible ninguna preparación específica ni trabajo previo por parte de las entidades.

El segundo de estos retos fue la solicitud por parte del ECB de cuantificar el impacto económico del ataque, tal y como se preguntaba en una de las secciones del cuestionario. Ello implicaba determinar las pérdidas directas e indirectas debidas al ataque, así como evaluar el impacto del mismo en las principales funciones económicas de los bancos (variación de la cartera de préstamos, movimiento de depósitos o variación de pagos procesados, entre otros).

Y, como era de esperar, el calendario de la CRST también era muy exigente. Para un banco tipo, responder a las 395 preguntas y recopilar las correspondientes evidencias, requiere cientos de horas de trabajo, además de una intensa coordinación entre departamentos y una amplia colaboración con los proveedores externos que a menudo gestionan los sistemas principales de los bancos.

Lecciones aprendidas de la prueba de resiliencia cibernética: retos para los bancos

Tras la primera fase de este ejercicio, realizamos una revisión de los cuestionarios de la CRST de 17 bancos, la cual reveló una serie de dificultades para los bancos a la hora de responder y recuperarse ante un ciberataque:

  1. Diferencias entre el tiempo de recuperación estimado (RTO) y el real: Los resultados de la CRST muestran grandes diferencias entre los requisitos de disponibilidad de los análisis de impacto en la actividad y los tiempos de recuperación alcanzables en la práctica, calculados a raíz del CRST. Solo el 24% de la muestra pudo alcanzar el valor especificado en la práctica.
  2. Fuerte dependencia de los proveedores de servicios:La existencia de funciones externalizadas exige no solo una mayor cooperación con los proveedores de servicios si no también la realización conjunta de pruebas de resiliencia. La mayoría de los bancos analizados (88%) dependen, al menos parcialmente, de proveedores de servicios para el funcionamiento de su sistema bancario principal.
  3. Falta de pruebas integrales:La mayoría de los bancos ponen a prueba sus procesos y sistemas periódicamente. No obstante, las pruebas integrales de los procesos técnicos y bancarios son un factor clave de la capacidad para hacer frente con éxito a los ciberataques, y deberían realizarse con mayor más frecuencia.
  4. Necesidad de mejorar los inventarios centralizados de procesos y activos tecnológicos:A pesar de las inversiones, algunos bancos siguen careciendo de un inventario completo y centralizado de procesos de negocio y activos informáticos asociados que pueda proporcionar información rápida sobre la extensión de un evento, en caso de emergencia.
  5. No existen procesos establecidos para cuantificar los daños:Es preciso un enfoque multidisciplinar para determinar el impacto económico de forma holística. Los valores proporcionados por las entidades se basaban a menudo en juicios expertos y en hipótesis, en lugar de en un enfoque reproducible, coherente y fiable con una metodología que lo soporte.
  6. Ausencia de procedimientos de actuación concretos: Por lo general las entidades no cuentan con documentación que respalde cómo actuar ante cada tipo de ciberataque, siendo la respuesta de las mismas ad-hoc a la situación sobrevenida. Si bien es algo complejo de definir, parece que la expectativa es poder contar con un manual de actuación previamente determinado para cada escenario.
  7. La madurez de los requisitos es correcta, pero hay que mejorar su aplicación:Durante la simulación, los bancos calificaron de alta la madurez de sus políticas de resiliencia y sus documentos clave. Sin embargo, se apreciaron indicios de una aplicación incompleta en la práctica y de fallos en la detección de estos desajustes mediante sistemas de control interno.
¿Estás preparado para la llegada de DORA?

Preparación para futuras pruebas y aprovechamiento de sinergias con la Ley de Resiliencia Operativa Digital (DORA)

Tomando como punto de partida la experiencia de los bancos con la CRST, los siguientes pasos serán cruciales para ayudar a las entidades a prepararse para futuros simulacros de stress por parte del BCE o de las autoridades supervisoras nacionales:

  • Realizar pruebas de escritorio integrales para explorar posibles escenarios y comparar la calidad de la respuesta y la recuperación con las expectativas de los reguladores y las mejores prácticas del sector.
  • Desarrollar procedimientos de actuación y metodología basados en escenarios para determinar el impacto económico e identificar los sistemas bancarios más importantes a partir de un entorno de sistemas y procesos claramente documentado.
  • Aclarar las responsabilidades a lo largo de toda la cadena de procesos para garantizar una colaboración fluida; definir las funciones y responsabilidades de las unidades de negocio, los proveedores externos y las principales funciones de apoyo.
  • Reforzar la colaboración con los proveedores de servicios de tecnologías de información y comunicación (TIC), definiendo sus responsabilidades durante la colaboración, incluida su participación activa en las pruebas.

Y es que, aunque DORA no se aplicará plenamente hasta enero de 2025, la CRST permite hacerse una idea de las expectativas probables de los supervisores en cuanto a su aplicación práctica. El cumplimiento de los requisitos de DORA resolverá algunos problemas ya identificados por la CRST y por su parte, los resultados de este simulacro también serán de utilidad para las entidades que se encuentran implantando DORA, sobre todo en lo relacionado con los requerimientos de respuesta y recuperación, así como con la notificación, cuantificación y comunicación de incidentes.

El BCE impondrá las mejoras necesarias a través del proceso PRES (proceso de revisión y evaluación supervisora cuyo objetivo es examinar los perfiles de riesgo de las entidades de crédito), pero otras autoridades como la Autoridad Europea de Seguros y Pensiones de Jubilación (AESPJ), la Autoridad Federal de Supervisión Financiera (BaFin) o el Banco de Portugal, también están planificando ejercicios. Con todo ello, será a partir de enero de 2025 cuando DORA proporcione el marco subyacente de ciberresiliencia. Y serán las observaciones anteriormente mencionadas las que, sin duda, podrían ayudar a los bancos tanto a aplicar DORA como a prepararse para futuros ejercicios de stress, que todo indica, se repetirán periódicamente.

Artículo basado en una publicación de Elvira Niedermeier, senior manager de KPMG ECB Office; Peter Hertlein, director de Financial Services; y Felix Gernold, KPMG in Germany