El rol del Consejo de Administración frente a los riesgos cibernéticos en la industria financiera

A medida que las instituciones que forman parte del sistema financiero han ido incorporando nuevas tecnologías en sus procesos, los riesgos de materialización de un incidente cibernético aumentan en sus probabilidades de ocurrencia, así como en su impacto y potenciales repercusiones.

En el último Reporte de Estabilidad Financiera del Banco de México (Banxico), correspondiente a junio de 2019, Banxico resalta que los riesgos asociados a ataques cibernéticos son riesgos importantes que podrían eventualmente afectar la estabilidad del sistema[i].

El sistema financiero mexicano no ha estado exento de estos riesgos, como pudimos comprobar con los ataques ocurridos en el 2018. Lo valioso, sin embargo, de estos eventos es que alertaron a las autoridades y a las instituciones sobre la gravedad de las implicaciones de un potencial ataque, no solo para la entidad afectada, sino para el sistema. Estos eventos también evidenciaron la necesidad de reforzar los esquemas de seguridad en las instituciones y de establecer protocolos de notificación y respuesta ante eventuales ataques.

Como resultado, las autoridades relevantes formalizaron acuerdos de colaboración entre ellas y con las asociaciones gremiales relevantes, estableciendo bases y principios rectores, aplicables a las instituciones que forman parte del sistema.  De igual forma, Banxico y la Comisión Nacional Bancaria y de Valores (CNBV) emitieron regulaciones más específicas en la materia, con fechas de implementación escalonadas, enfocadas a reforzar las estructuras de gobierno, los programas de prevención y la respuesta ante posibles ataques.

Al igual que la Administración, el Consejo de Administración de una institución financiera debe involucrarse en los temas cibernéticos. Esto era una responsabilidad que ya tenía, siendo que – entre las atribuciones del Consejo – está la supervisión de la correcta administración de los riesgos propios de la institución financiera, entre los cuales se encuentran precisamente los riesgos cibernéticos.  En los últimos años, sin embargo, como resultado del mayor número de innovaciones tecnológicas en este sector, estos riesgos han adquirido mayor relevancia.

Ahora bien, nadie cuestiona que las innovaciones tecnológicas que están ocasionando el aumento en los riesgos cibernéticos traen a su vez grandes beneficios a los clientes, usuarios y al sistema financiero en general. Por ello, el objetivo del Consejo de Administración no debe ser impedir o frenar dichas innovaciones, ni tampoco eliminar por completo los riesgos cibernéticos (lo cual se visualiza complicado e impráctico), sino mitigar o reducir razonablemente los mismos.

Hasta hace poco, no se requería que el Consejo de Administración se involucrara activamente en temas de ciberseguridad, por lo que los conocimientos y habilidades en temas tecnológicos, de protección de datos y seguridad de la información, no entraban dentro de las características más buscadas a la hora de seleccionar un consejero.

Ante las posibles deficiencias de conocimiento o experiencia, algunas instituciones que agrupan a consejeros profesionales de empresas, como la National Association of Corporate Directors (NACD), en los Estados Unidos, han propuesto ciertos principios que todo Consejo de Administración debe considerar para llevar a cabo una supervisión eficaz en materia de riesgos cibernéticos[ii], a saber:

  • Entender y abordar los temas de ciberseguridad como temas que afectan a toda la empresa y no solo al Departamento de Tecnología.  Más aún, debe propiciar que la prevención frente a riesgos cibernéticos sea parte importante de cultura organizacional.
  • Entender las implicaciones legales y regulatorias asociadas a riesgos cibernéticos, especialmente porque sus miembros, junto con la Administración, son quienes serán responsabilizados por violaciones relevantes.
  • Entender el alcance del riesgo cibernético en la organización (incluyendo riesgos provenientes de proveedores de servicios) y definir – junto con la Administración – el nivel de tolerancia ante los mismos, como punto de partida para el establecimiento de un programa de prevención en la materia. 
  • Tener acceso al personal con experiencia en temas de ciberseguridad, a quienes deberá darse regularmente el tiempo necesario en la agenda.
  • Requerir a la Administración que implemente un programa de administración del riesgo cibernético, al cual se destinen los recursos financieros y materiales que sean necesarios.

Varios de estos principios son particularmente relevantes en la industria financiera en México, en donde, ya existe un marco normativo que proporciona guía y mayor claridad respecto de las expectativas en la materia, el cual requiere – entre otros – designar a un Oficial en Jefe de Seguridad de la Información (CISO), con reporte al CEO; contar con un Sistema de Control Interno en materia de seguridad de la información; y, contar con protocolos de notificación y respuesta ante potenciales ataques cibernéticos.

Ante toda esta realidad y a manera de resumen, es incuestionable que el Consejo de Administración de una institución financiera debe involucrarse en los temas cibernéticos, supervisando que exista un programa robusto de prevención, que cumpla – en su caso – con la regulación, así como asegurando que la respuesta de la Administración frente a un eventual ataque sea adecuada y oportuna.

El Consejo de Administración debe evaluar sus habilidades y conocimientos actuales en materia de ciberseguridad, protección de datos, seguridad de la información y administración de riesgos en general y, en caso de identificar deficiencias, actuar en consecuencia, incorporando a nuevos consejeros que traigan la requerida diversidad y experiencia al foro de discusión. 

Adicionalmente, la Administración debe propiciar y facilitar oportunidades a los miembros existentes del Consejo de Administración para adquirir un conocimiento y dominio razonable en estos temas, independientemente del conocimiento experto que pueda brindar el nuevo miembro.


[i] El referido Reporte señala: “En años recientes se ha observado a nivel mundial un incremento sostenido en los ataques informáticos al sector financiero.  Los ataques de esa naturaleza además de tener el potencial para dañar severamente a las entidades, a sus usuarios y al conjunto del sistema financiero, cuando afectan a las instituciones e infraestructuras de los mercados financieros pueden tener un impacto sistémico.”

[ii] NACD, Director’s Handbook on Cyber-Risk Oversight, publicado el 11 de enero de 2017.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s