Estado ciberseguridad en el sector bancario (América Latina y El Caribe)

La preparación y gobernanza de la seguridad digital, en promedio en el 41% de las entidades bancarias en la región existen dos niveles jerárquicos entre el CEO y el máximo responsable de la seguridad digital. No obstante, el número de niveles jerárquicos que existen entre el CEO y el máximo responsable de la seguridad digital (incluidos aspectos de seguridad de la información, ciberseguridad y prevención del fraude usando medios digitales) dependen también del tamaño de la organización. En referencia al número de áreas a cargo de estas temáticas, en promedio en el 74% de las entidades bancarias se tiene una única área responsable por la seguridad digital.

El apoyo a la gestión del riesgo de seguridad digital (incluidos aspectos de seguridad de la información, ciberseguridad y prevención del fraude usando medios digitales) por parte de la alta dirección de la entidad bancaria, más del 60% del total de las entidades bancarias en la región lo demuestran” i) exigiendo la adopción de buenas prácticas de seguridad (65%), ii) fomentando la capacitación y sensibilización en seguridad digital (63%) e impulsando planes de seguridad digital (60%).”

En el 72% de las entidades bancarias la junta directiva recibe reportes periódicos acerca de indicadores y gestión de riesgos de seguridad digital, sin embargo, el 60% de quienes atendieron la encuesta considera que convencer a la alta dirección de la organización de invertir en soluciones de seguridad digital es medianamente complejo, a pesar de la relevancia que tienen las inversiones especialmente en materia de prevención y desarrollo de capacidades.

Dentro de los estándares, mejores prácticas y marcos metodológicos más implementados en las entidades bancarias de la región, se encuentran las normas ISO 27001 y COBIT (en el 68% y 50% de las entidades bancarias, respectivamente).

Los equipos responsables de los procesos de seguridad digital, se observa que éstos se componen en promedio de diecisiete miembros, para un banco típico de la región. No obstante, este valor varía dependiendo del tamaño de la entidad.El 82% de entidades encuestadas en la región considera adecuado que el equipo creciera en el corto plazo, lo cual es un reconocimiento a necesidades de gestión crecientes en los aspectos a su cargo. Estas necesidades crecientes llevan en muchos casos a requerir procesos de tercerización, siendo la actividad que más frecuentemente contratan la relativa a la realización de pruebas de seguridad (65% del total).

La capacidad de detección y análisis de eventos de seguridad digital, que son vitales para la gestión sistemática de este tipo de riesgos, más del 90% de entidades bancarias en la región han implementado los cortafuegos y las actualizaciones automatizadas de virus y sistemas. El 85% de las entidades bancarias de la región han implementado tanto Sistemas de Detección / Prevención de intrusiones (IDS e IPS), como Procesos de Monitoreo de Amenazas y Vulnerabilidades.

Fuente: OEA