MADRID (EP). La prueba de resistencia sobre la "ciberresiliencia" de los bancos de la eurozona, con la que el Banco Central Europeo (BCE) ha evaluado la respuesta y recuperación de las entidades frente a un incidente de ciberseguridad grave, demuestra que la banca dispone de marcos de respuesta y recuperación, aunque siguen existiendo áreas de mejora.
Los resultados de la prueba de estrés son esclarecedores y mostraron que, si bien los bancos cuentan con marcos de respuesta y recuperación de alto nivel, "aún hay margen de mejora", ha indicado Anneli Tuominen, representante del Consejo de Supervisión del BCE tras la conclusión de las pruebas de estrés cibernético.
En este sentido, los supervisores han enviado comentarios a cada entidad y realizarán junto a ellas un seguimiento de los mismos. Además, el BCE subraya que, en algunos casos, las entidades ya han mejorado o tienen previsto subsanar las deficiencias detectadas en el ejercicio.
El ejercicio, que dio comienzo el pasado mes de enero, ha contado con la participaron de las 109 entidades de crédito supervisadas directamente por el BCE al inicio del examen, salvo algunas excepciones por cuestiones específicas.
Entre los bancos examinados, un total de 28 entidades con diferentes modelos de negocio y ubicaciones geográficas fueron sometidas a pruebas más exhaustivas, incluyendo una prueba real de recuperación informática y el aporte de pruebas de que el resultado había sido satisfactorio, así como visitas in situ de los supervisores.
Las entidades debieron demostrar su capacidad para activar planes de respuesta frente a crisis, incluidos los procedimientos de gestión de crisis internos y planes de continuidad del negocio; comunicarse con las partes interesadas externas (clientes, proveedores de servicios y cuerpos y fuerzas de seguridad); llevar a cabo un análisis para determinar qué servicios se verían afectados y de qué manera; aplicar medidas de mitigación.
Asimismo, para evaluar su capacidad de recuperación tuvieron que demostrar que podrían activar sus planes de recuperación, incluido el restablecimiento de los datos guardados en copias de seguridad y la coordinación de la respuesta al incidente con los proveedores de servicios externos críticos; asegurar la recuperación y el funcionamiento de las áreas afectadas, así como aplicar las enseñanzas extraídas, por ejemplo, revisando sus planes de respuesta y de recuperación.
Los resultados del ejercicio se tendrán en cuenta en el proceso de revisión y evaluación supervisora (PRES) de 2024, que evalúa los perfiles de riesgo individuales de las entidades, aunque el BCE ha indicado que la prueba de resistencia sobre ciberresiliencia no se centró en el capital de las entidades, por lo que sus resultados no afectarán a la recomendación de Pilar 2.
"Dada la naturaleza interconectada de las redes bancarias actuales, un incidente en una institución puede tener efectos en cascada en múltiples sectores, como vimos con la reciente interrupción global del servicio CrowdStrike", ha advertido Tuominen.
Por lo tanto, para la representante del supervisor bancario la resiliencia cibernética "es el baluarte que protege nuestro sistema financiero de las amenazas cibernéticas" y las entidades "deben priorizar la inversión en ciberseguridad" y tratarla como un componente estratégico vital que sustenta su resiliencia operativa.
"Deben ser capaces de mantener operaciones bancarias críticas para garantizar la continuidad del negocio y mantener la confianza de sus clientes, incluso en condiciones adversas", ha añadido.