Los ciberataques, como el ocurrido a la conexión del Sistema de Pagos Electrónicos Interbancarios (SPEI), cada vez son más comúnes; sin embargo, es uno de los nuevos riesgos para las empresas de todos los sectores, por lo cual es importante tener una adecuada administración de riesgos.

En entrevista, Gerardo Lozano de León, vicepresidente de Operación Institucional de la Comisión Nacional de Seguros y Fianzas (CNSF), refirió que con la firma de las Bases de Coordinación en materia de seguridad de información, ahora todo el sistema financiero tendrá un protocolo que les ayudará a mitigar y tomar las medidas adecuadas en caso de presentarse un evento similar.

“El objetivo de las Bases de Coordinación es que todos los participantes del sistema financiero tengan un protocolo que, de alguna manera, homologue la atención y el tratamiento que debe darse ante la ocurrencia de un incidente de información”, acotó.

Explicó que las bases, firmadas hace algunos días por diferentes autoridades del sector financiero, establecen que las entidades deben tener ciertos elementos de seguridad para detectar de manera oportuna estos incidentes y notificarlo al regulador respectivo, para que éste a su vez informe al grupo de respuesta.

“Se le notifica al grupo de respuesta para que sirva de experiencia y también para ver si puede haber un riesgo adicional o si hay que emitir una alerta de algún tema inusual”, explicó.

En las bases firmadas, las autoridades acordaron crear un grupo de respuesta inmediata que estará integrado por un representante de cada una de ellas, quien deberá ser el titular de la unidad administrativa encargada de dar respuesta a incidentes de seguridad de la información.

El ciberataque por 300 millones de pesos al SPEI afectó a cinco entidades financieras. En el caso del sector asegurador, éste no reportó ningún incidente que haya afectado su sistema. No obstante, Gerardo Lozano destacó la importancia de que este sector también se sume a la tarea de mantener una administración de riesgos adecuada, algo que vienen cuidando desde la implementación de la nueva Ley de Instituciones de Seguros y Fianzas.

“Las bases están en línea con lo que la ley de seguros establece para nosotros. En la Ley de Seguros, en el artículo 69, se establece que las compañías deben tener un sistema de gobierno corporativo que contemple, entre otras cosas, un sistema de administración de riesgos. Esto lleva a que las compañías tengan que identificar los riesgos a los cuales están expuestas y tomar acciones para prevenir y mitigar esos riesgos”, dijo.

Cabe destacar que en el artículo 235 de la Ley de Instituciones de Seguros y Fianzas se señala al riesgo tecnológico como uno de los riesgos que las compañías deben evaluar y ver qué tan susceptibles son a afrontar este tipo de riesgos para tomar las acciones necesarias.

Las Bases de Coordinación también establecen que cada entidad creará un equipo interno de identificación y respuesta a incidentes sensibles de seguridad de información, mismo que será el encargado de informar sin demora a la autoridad competente sobre la ocurrencia de un incidente de este tipo.

Mercado pequeño

Si bien el ciberriesgo cada vez está más presente y en el mercado de seguros ya existen productos con esta cobertura, la penetración de este seguro aún es muy pequeña en comparación con los ramos de automóviles y vida.

“Si uno compara las primas de este tipo de seguros con lo que se ofrece en otros tramos es notable que la penetración de este tipo de seguros todavía tiene mucho potencial de crecimiento, porque es un riesgo que cada vez se está presentando con mayor frecuencia, que claramente afecta a todas las empresas”, explicó.

Indicó que, en el contexto internacional, la baja penetración de este seguro es igual de baja que en México, debido a una limitada demanda, pero se espera que hacia futuro exista un crecimiento importante en las primas asociadas a este tipo de seguros.

Agregó que todas las instituciones, tanto públicas como privadas, están sujetas o son susceptibles de enfrentar pérdidas asociadas con un ciberataque, por lo cual es importante que establezcan sistemas de gestión de riesgos adecuado y que identifiquen las posibles afectaciones que puedan tener para prevenir, hacia el futuro, este tipo de riesgos.

[email protected]