Bancos y aseguradoras tienen 3 meses para someter a pruebas externas sus estructuras de ciberseguridad
• El reglamento DORA obligará a la mayoría de entidades del sector financiero a realizar pruebas de penetración basadas en amenazas (TLPT) a partir del 17 de enero de 2025
• Expertos de Tarlogic Security, Banco de España e INCIBE explican en unas jornadas a las principales compañías financieras españolas y multinacionales de otros sectores como turismo, retail e inmobiliario las claves del nuevo marco normativo
Bancos, aseguradoras, fondos de inversión, sociedades de gestión y el resto de entidades del sector financiero van a tener que someter sus estructuras de ciberseguridad a pruebas de penetración basadas en amenazas a partir del 17 de enero de 2025. Así lo establece el reglamento DORA, una normativa que busca garantizar la capacidad de resistir a los ciberataques de las compañías de este sector crítico para la sociedad y la economía europeas.
Tarlogic Security ha organizado una jornada de alto nivel para abordar las claves del nuevo marco normativo y explicar a las compañías en qué consisten estos test de ciberseguridad avanzados que tendrán que realizar todas las entidades salvo las microempresas y las pequeñas organizaciones.
En el evento han participado como ponentes el Banco de España, y el Instituto Nacional de Ciberseguridad (INCIBE). Asimismo, han asistido tanto los reguladores del sector bancario y asegurador como una veintena de entidades del sector financiero español y multinacionales de ámbitos tan relevantes como las infraestructuras, el retail o el turismo. Por parte del Banco de España, intervino Silvia Senabre, jefa del Grupo de Riesgo Tecnológico, mientras que por parte del
INCIBE el ponente fue Juan Delfín, responsable del Sector Estratégico Financiero y TIC del organismo. El CEO de Tarlogic Security, Andrés Tarascó, abrió la ronda de conferencias.
A lo largo de la jornada, los equipos de Threat Intelligence y Red Team de la compañía de ciberseguridad compartieron con los asistentes las lecciones aprendidas durante la realización de pruebas de penetración basadas en amenazas en estructuras de ciberseguridad en los últimos años.
Además, los profesionales de Tarlogic pusieron en valor los beneficios de unos test que permiten detectar vulnerabilidades en las estructuras de ciberseguridad antes de que sean explotadas y mejorar los mecanismos de prevención, detección y respuesta a los ciberataques. De tal forma que las compañías que se someten a ellos están mejor preparadas para hacer frente a los incidentes de seguridad y evitar que se produzcan graves consecuencias operativas, económicas, legales y reputacionales que repercutan tanto en ellas como en sus clientes.
De los test de estrés a la banca a las pruebas TLPT
Tras la crisis financiera de 2008 originada por las hipotecas subprime, la Unión Europea obligó a las entidades bancarias a someterse a test de estrés que permitiesen medir su solvencia y evaluar cómo responderían ante un escenario económico adverso.
Pues bien, las pruebas TLPT (Threat-Led Penetration Testing) tienen unos objetivos similares a los test de estrés a la banca, pero están orientadas a combatir una de las mayores amenazas a las que se enfrenta el sector financiero en la actualidad: los ciberataques.
¿En qué consisten estos test a los que deben someterse las estructuras de ciberseguridad?
Profesionales especializados en inteligencia de amenazas dirigida deben recopilar toda la información que necesitan los actores hostiles para atacar a una entidad financiera y desentrañar su modus operandi. De esta manera, se puede obtener una panorámica de las amenazas a las que se enfrentan las estructuras de ciberseguridad de una compañía.
A partir de esta labor de investigación, se diseñan escenarios específicos de ataques y un equipo de Red Team lleva a cabo ejercicios comportándose como lo haría un atacante real. Así, pueden poner a prueba los mecanismos defensivos de la empresa y prever las consecuencias que podría generar un ciberataque.
Finalmente, se elabora un plan de actuación para aplicar las recomendaciones de los profesionales de ciberseguridad e incrementar el nivel de resiliencia de las estructuras de ciberseguridad de la compañía.
Para que estas pruebas TLPT sean validadas por el Banco de España, las empresas deberán:
- Realizarlas de acuerdo a la metodología TIBER, diseñada por el Banco Central Europeo (BCE).
- Contratar a compañías de ciberseguridad con experiencia y prestigio en la realización de esta clase de pruebas avanzadas, como Tarlogic, que en los últimos años ha realizado numerosos test TLPT aplicando la metodología TIBER.
- Abarcar las funciones críticas de la entidad financiera.
- Involucrar desde el inicio al regulador durante la realización de las pruebas y remitirle toda la información al finalizarlas.
Las compañías deberán someterse a estas pruebas una vez cada tres años, aunque el Banco de España puede imponer que la frecuencia sea mayor. Si no se realizan estas pruebas, tanto las entidades como sus cargos directivos se exponen a cuantiosas sanciones económicas y daños reputacionales severos.
DORA, NIS2, TIBER… Proteger a empresas y ciudadanos frente a los ciberataques
El 17 de enero de 2025 marcará un nuevo hito en la creación de un marco normativo europeo que busca incrementar el nivel de ciberseguridad de las empresas, proteger a los sectores críticos de la UE y salvaguardar los intereses de los ciudadanos.
Así, en los últimos años, la Unión Europea ha lanzado el marco TIBER y aprobado normas como el Reglamento General de Protección de Datos (RGPD), el reglamento DORA o la directiva NIS2, que afecta a otros sectores críticos como la salud, la energía o el transporte.
La aprobación de estas normas tiene un doble objetivo:
- Incrementar la capacidad de las compañías europeas de protegerse frente a unos ciberataques que aumentan en número, sofisticación y capacidad de hacer daño de una manera vertiginosa.
- Salvaguardar al tejido productivo y a la ciudadanía frente a las consecuencias de los ciberataques.
En este sentido, resulta evidente que las entidades financieras, como bancos o aseguradoras, juegan un papel crítico en el día a día de empresas y ciudadanos y que gestionan cuestiones de vital importancia como las cuentas bancarias o la información financiera de sus clientes.
Todas las empresas maduras tecnológicamente deberían someter sus estructuras de ciberseguridad a pruebas TLPT
Sin embargo, no solo las compañías del sector financiero pueden beneficiarse de la realización de pruebas de penetración basadas en amenazas. Aunque otros sectores económicos no están obligados aún a someterse a estos test, resulta previsible que se acabe imponiendo su realización.
Además, la experiencia acumulada por Tarlogic Security desde hace más de una década permite a sus profesionales recomendar a las empresas plenamente digitalizadas y maduras tecnológicamente que realicen pruebas TLPT.
Puesto que estos test permiten a las compañías reducir la posibilidad de que un ciberataque paralice su actividad, vulnere sus secretos empresariales, provoque una brecha de seguridad en los datos de sus clientes y trabajadores o menoscabe su posición en el mercado y su reputación.