Los bancos comunitarios y medianos carecen de diligencia debida y negociaciones contractuales sólidas con sus proveedores externos, lo cual es una autoprotección necesaria en caso de una violación de datos del proveedor, un investigación del bufete de abogados Jones Walker publicado el martes reveló.
Rob Carothers”, dijo a Banking Dive un socio del equipo del sector de servicios bancarios y financieros de la empresa.
Los bancos están haciendo un buen trabajo asegurando sus sistemas y procedimientos internos de seguridad de datos, afirmó. Sin embargo, cuando los bancos se asocian con proveedores externos, como fintechs u otros proveedores de servicios, y comparten con ellos información confidencial sobre sus clientes, los datos de los bancos quedan expuestos, dijo.
“Ambas partes deben reconocer que se trata de una asociación”, dijo Tom Walker, socio del equipo de servicios bancarios y financieros de la empresa. “Los bancos comunitarios y las fintechs deben comprender que ambos tienen la obligación de trabajar juntos para satisfacer a los bancos y reguladores, así como sus responsabilidades básicas de ciberseguridad para proteger la información de los clientes. Y creo que cuanto antes se den cuenta de eso… más fácil les resultará trabajar juntos para abordar algunas de estas vulnerabilidades.
La encuesta encontró que el 99% de los bancos comunitarios y medianos dependen total o parcialmente de los servicios de proveedores externos para satisfacer sus necesidades de ciberseguridad, mientras que solo el 71% de estos prestamistas responsabilizan a terceros de su responsabilidad contractual, legal o regulatoria. y el 23% exige que los proveedores cubrir los costos en caso de una violación de datos.
Dado que la obligación regulatoria recae en última instancia en el banco, los reguladores recurrirán al banco para garantizar que “cualesquiera que sean las asociaciones que establezcan, tiren del hilo hasta el final en lo que concierne a las obligaciones regulatorias y se aseguren de que así sea”. responsables, también responsabilizan a sus proveedores”, dijo Lara Sevener, socia y codirectora del equipo de industria tecnológica de la empresa. Sevener tiene más de 20 años de experiencia asesorando a clientes en transacciones relacionadas con tecnología como abogado y asesor corporativo.
Debido a la rápida innovación y competencia en los servicios financieros, los bancos a veces trabajan con proveedores que pueden tener un nivel de experiencia o madurez diferente al del propio banco, añadió Sevener.
La ciberseguridad es una de las principales preocupaciones en la transición hacia la transformación digital, subrayaron los tres autores de la encuesta durante una entrevista el miércoles por la tarde.
Razones, tipos de deficiencias.
Debido a que los bancos comunitarios son más pequeños y tienden a tener menos recursos que los bancos más grandes, los empleados de los prestamistas más pequeños a menudo desempeñan múltiples funciones y pueden tener dificultades para prestar suficiente atención a la ciberseguridad y la gestión de riesgos de terceros, enfatizó Walker.
Los reguladores han aumentado su supervisión de las relaciones de los bancos con terceros y han emitido directrices más detalladas en junio 2023. “Para los bancos comunitarios que no han tenido esos recursos en el pasado, probablemente todavía estén poniéndose al día un poco”, dijo Walker. Él Se desempeñó como vicepresidente ejecutivo y director de un banco comunitario en Forest, Mississippi.
Según los prestamistas entrevistados, los tres principales actores de amenazas percibidos eran personas internas, que incluían empleados o contratistas actuales o anteriores que hacían clic en algo; grupos organizados de delitos cibernéticos; y actores de amenazas en solitario o piratas informáticos, incluido el vandalismo.
El elemento más crucial identificado por el estudio fue la importancia de realizar la debida diligencia y, más específicamente, la debida diligencia en materia de seguridad de la información, señaló Sevener. Los bancos deben pensar en qué controles técnicos, organizativos, físicos y administrativos deben implementarse para cumplir con los requisitos de seguridad con proveedores externos, dijo.
Los bancos deberían poder probar estos controles y auditarlos durante toda la relación con ese proveedor, para garantizar que el proveedor cumpla su parte del trato y mantenga los estándares de seguridad requeridos, añadió.
Sin embargo, un punto que llamó la atención de Carothers al revisar las negociaciones contractuales fueron los acuerdos de compensación con los proveedores. Señaló que el contrato a menudo carece de claridad sobre cuándo ocurre una violación de datos si el proveedor es responsable y reembolsa al banco los costos y gastos resultantes de la violación, que las acciones o negligencias del proveedor podrían causar. Otras “cosas más importantes” que señaló como deficiencias contractuales fueron la falta de notificación oportuna de las infracciones y la falta de cooperación de los proveedores en caso de una infracción. Carothers asesora a bancos y otras instituciones financieras sobre una amplia gama de cuestiones regulatorias, incluidas las violaciones de datos.
Amenazas emergentes, ciberresiliencia
Sevener destacó la importancia de la ciberresiliencia y destacó la necesidad de abordar la ciberseguridad desde una perspectiva holística. La inteligencia artificial desempeña un doble papel en la ciberseguridad: por un lado, puede utilizarse para proteger contra amenazas; por otro, puede utilizarse para crear nuevas amenazas, señaló Sevener. Sin embargo, el error humano sigue siendo una vulnerabilidad importante, subrayó, añadiendo que implica errores como hacer clic en enlaces sospechosos, a menudo cuando la gente tiene prisa.
Las amenazas evolucionan a medida que evolucionan las medidas de seguridad, según Sevener. El ransomware representa una amenaza importante y se abre paso a través de vulnerabilidades expuestas; Cuando muchas organizaciones utilizan la misma tecnología o herramienta, un solo error puede tener consecuencias mayores. Es crucial contar con un plan adecuado para preservar las operaciones comerciales clave y bloquear los sistemas críticos durante este tipo de incidentes, afirmó.
“Los contratos sólidos son un elemento clave. La educación es un elemento clave. Monitorear las amenazas emergentes y en evolución es un componente clave”, dijo Sevener. Los bancos “deben utilizar todas las flechas [their] carcaj para mantener un entorno seguro.