INCIBE y CECA firman un convenio de colaboración para impulsar la ciberseguridad junto al sector financiero

El Instituto Nacional de Ciberseguridad (INCIBE), entidad dependiente del Ministerio para la Transformación Digital y de la Función Pública, a través de la Secretaría de Estado de Digitalización e Inteligencia Artificial, y CECA  firman un acuerdo de colaboración para reforzar la ciberseguridad y ciberresiliencia del sector financiero, en concreto entidades privadas, que permita hacer frente a amenazas y ciberataques que pongan en riesgo su funcionamiento y disponibilidad esenciales.

En el convenio se adecuarán actividades y servicios actuales en ciberseguridad mediante personalización con las necesidades concretas de las entidades privadas del sector financiero. Adicionalmente, se articularán nuevas iniciativas para con estas entidades en base a un diagnóstico preliminar de necesidades acorde con sus niveles actuales de ciberseguridad y en base a sus capacidades. 

Así, durante los próximos cuatro años INCIBE facilitará las herramientas necesarias para llevar a cabo diversos análisis situacionales del sector en términos de ciberseguridad y participará en el diseño y puesta en marcha de nuevas iniciativas. Por su parte, CECA liderará iniciativas de divulgación y educación en materia de ciberseguridad e impulsará, en cooperación con INCIBE, acciones de concienciación para la consolidación de una cultura de ciberseguridad entre sus entidades asociadas.

Hasta el momento, un total aproximado de 30 entidades financieras, incluidos bancos y aseguradoras, han suscrito acuerdos de confidencialidad para recibir los servicios que presta INCIBE-CERT, entre los que destacan: la ayuda y el apoyo en la gestión y respuesta a incidentes, la vigilancia y monitorización de sus activos, la participación en ciberejercicios para el entrenamiento de sus capacidades de ciberseguridad y la medición y mejora de la ciberresiliencia. Entre estas entidades se incluyen: BBVA, Grupo Santander, Redsys, Iberpay, Bolsas y Mercados Españoles (BME), Bankinter, CaixaBank, Bankia, Banco Sabadell, Cecabank, Banco de España (BDE), Abanca, Mapfre, AXA, etc.

Apuesta firme por el sector financiero desde INCIBE-CERT

En la actualidad, desde INCIBE se están llevando a cabo conversaciones activas, intercambiando propuestas y formando grupos de trabajo con diversas asociaciones del sector financiero, con el objetivo de establecer acuerdos de colaboración y convenios de cooperación con otras asociaciones como CCI (Centro de Cooperación Interbancaria), Asociación Española de Banca (AEB) y UNESPA. Además, se está participando en eventos y congresos relevantes del sector para dar a conocer los servicios prestados desde INCIBE-CERT, como el espacio web dedicado al sector financiero, donde se facilitan contenidos específicos, como avisos generales, avisos SCI, análisis de riesgos, noticias y artículos, adaptados a las necesidades de los sectores críticos de la Directiva NIS2. 

En el contexto del Reglamento sobre la Resiliencia Operativa Digital (DORA) de la Unión Europea, creado para ayudar a fortalecer la ciberseguridad en el sector financiero, INCIBE-CERT es uno de los equipos de respuesta ante incidentes de referencia que, en coordinación con otros equipos tanto nacionales e internacionales, es el punto de apoyo para asegurar una respuesta efectiva y eficiente frente a ciberincidentes que puedan afectar la integridad del sistema financiero.

Según DORA, las entidades financieras están obligadas a reportar cualquier incidente relevante a la Autoridad de Supervisión Competente (ASC) dentro de los plazos estipulados. INCIBE, como CSIRT de referencia para entidades privadas, mantiene un contacto directo con las Autoridades de Supervisión y Control, como el Banco de España (BdE), la Comisión Nacional del Mercado de Valores (CNMV) y la Dirección General de Seguros y Fondos de Pensiones (DGSFP), mediante el establecimiento de un procedimiento de gestión de ciberincidentes para el sector financiero.

CyberEx España

Desde el año 2012, INCIBE-CERT ha actuado como coordinador en la ejecución CyberEx España. Se trata de un evento integrado por tres ejercicios diferentes, que tienen la finalidad de entrenar la capacidad de respuesta de una entidad ante circunstancias que se podrían dar en situaciones reales.

Hay que destacar la implicación de la mayoría de las entidades financieras que han participado en alguno de los 8 ciberejercicios organizados por INCIBE-CERT, que les ha permitido entrenar y evaluar de forma práctica la capacidad de respuesta de la entidad ante circunstancias que se podrían dar al sufrir un incidente de ciberseguridad. 

Por ejemplo, la edición CyberEx España de 2016 se desarrolló con el sector financiero (banca y seguros) y el ejercicio consistió en pruebas personalizadas a la tipología de incidentes del propio sector.

Por otro lado, desde 2015, INCIBE lleva realizando el modelo de Indicadores para la Mejora de la Ciberresiliencia (IMC) en entidades financieras. En sus 8 ediciones han participado diversas entidades financieras, en las que se les ha realizado un diagnóstico y medición de la capacidad para soportar y sobreponerse a desastres y perturbaciones procedentes del ámbito digital.
Completan los servicios la sección específica del área de ciudadanía con material a disposición de los usuarios de entidades financieras para la lucha contra el fraude online y la ingeniería social y la Línea de Ayuda en Ciberseguridad para atender cualquier problema de ciberseguridad de la ciudadanía y las empresas, que puedan estar afectadas por casos de fraude online.

Estado de la ciberseguridad bancaria en España

Las entidades bancarias son las instituciones en las que más confían los españoles ante los ciberataques, según la primera encuesta de “Ciberseguridad y hábitos de uso de canales digitales”, elaborada recientemente por CECA, en la que el 84% de los españoles asegura sentirse seguro a la hora de operar con su banca digital, siendo las instituciones que más confianza inspiran a los usuarios, seguidas de las Administraciones públicas.

En los últimos años, los canales digitales de las entidades bancarias se han consolidado como una herramienta de gran utilidad para la operativa diaria de los clientes y los españoles perciben los ciberataques como un peligro creciente. Entre las principales causas del auge de víctimas de ciberataques se encuentra la falta de formación de los usuarios de los canales digitales, donde seis de cada diez encuestados reconocen poseer conocimientos escasos en ciberseguridad, lo que se acentúa entre los mayores de 65 años. 

Ante esta situación, las entidades bancarias se vuelcan en crear y divulgar contenidos bajo el firme propósito de impulsar, fomentar y ofrecer a sus clientes las herramientas necesarias para reducir su exposición a fraudes online. Así, el 85% de los encuestados reconoce recibir este tipo de comunicaciones por parte de su banco, pero a pesar del esfuerzo de las entidades, solo el 54% afirma prestarle atención.