Gestión de riesgos de seguridad en servicios de valores
Las consecuencias adversas significativas asociadas con los ataques cibernéticos se ven con demasiada frecuencia en muchas industrias, servicios y entornos de infraestructura.
Este documento "Cyber Security Risk Management in Securities Services" [PDF] publicado por International Securities Services Association (ISSA) proporciona una evaluación de las amenazas y riesgos específicos y explica por qué ISSA considera que esta amenaza es real y requiere un enfoque urgente y constante para quienes operan en este espacio.
En su Informe de Riesgos Globales para 2018 [PDF] el Foro Económico Mundial (WEF) consideró que los ataques cibernéticos ocupan el tercer lugar en los 10 principales riesgos desde una perspectiva de probabilidad y el sexto en términos de impacto.
Sin embargo, el Grupo de Trabajo de ISSA cree que los principales ataques cibernéticos provocados por el deseo de interrumpir materialmente la infraestructura clave son los más importantes y de mayor impacto de las amenazas que enfrentan. Los administradores de valores son la infraestructura del sector de inversión, las empresas de servicios financieros importantes a nivel mundial y nacional, junto con los servicios públicos de toda la industria (como SWIFT) y su interrupción podrían tener un efecto adverso importante. Efecto sobre el flujo de dinero a nivel nacional e internacional como ya se ha visto en el caso de SWIFT.
Si bien los ataques cibernéticos de alto perfil dentro del sector de servicios financieros demuestran que una motivación principal ha sido el robo de dinero a través de los mecanismos de pago a través del sector de Servicios de Pago, el propio sector de Servicios de Valores es un generador importante de movimientos de dinero, particularmente a través de la liquidación de operaciones con valores, eventos de renta y acciones corporativas.
Las firmas de servicios de valores tienen datos importantes de clientes que incluyen detalles de cuentas a los que se realizan los pagos. El flujo de caja de valores se conoce (por ejemplo, las fechas de pago de dividendos) y se publica. El riesgo de alteración fraudulenta de estos registros de cuenta, sabiendo que los pagos se realizarán en fechas establecidas, es un posible factor motivador para un ciberataque.
El riesgo aumenta aún más si un administrador de valores presta servicios en los que los pagos / movimientos de efectivo no son esperados o controlados de manera inmediata por el receptor del pago.
El robo de valores puede considerarse menos atractivo para los atacantes cibernéticos que un fraude relacionado con el pago dado que el beneficio financiero requiere que los valores se intercambien por dinero (y, por lo tanto, se retrasará, lo que puede resultar en más tiempo para que el administrador de valores identifique y detenga la fraude). Sin embargo, las transacciones libres de pagos de entregas de valores pueden ocurrir fuera del intercambio y no siempre tienen controles coincidentes. Un análisis de los ataques cibernéticos muestra que los atacantes están preparados para ser pacientes.
Además del robo de activos y efectivo, los administradores de valores también pueden estar expuestos al robo de datos. Los libros, registros y bases de datos proporcionados brindan a los atacantes la oportunidad de obtener datos que incluyen inversiones de clientes, detalles de cartera, desempeño y estrategia, información de relaciones y acuerdos de tarifas. Los datos robados por los atacantes cibernéticos pueden llevar a importantes demandas de rescate junto con daños materiales a la reputación. La amenaza cibernética que representan los estados nacionales y el crimen organizado también está aumentando. El ciberespacio sigue siendo un dominio operacional preferido para una amplia gama de espionaje industrial y un medio para que algunos estados nacionales respalden sus objetivos de política económica.1 Estos actores de amenazas, si tienen éxito, pueden permanecer residentes en los sistemas de información de un gestor de valores para obtener información para extranjeros objetivos de política.
Se puede descargar el documento completo desde aquí.
Este documento "Cyber Security Risk Management in Securities Services" [PDF] publicado por International Securities Services Association (ISSA) proporciona una evaluación de las amenazas y riesgos específicos y explica por qué ISSA considera que esta amenaza es real y requiere un enfoque urgente y constante para quienes operan en este espacio.
En su Informe de Riesgos Globales para 2018 [PDF] el Foro Económico Mundial (WEF) consideró que los ataques cibernéticos ocupan el tercer lugar en los 10 principales riesgos desde una perspectiva de probabilidad y el sexto en términos de impacto.
Si bien los ataques cibernéticos de alto perfil dentro del sector de servicios financieros demuestran que una motivación principal ha sido el robo de dinero a través de los mecanismos de pago a través del sector de Servicios de Pago, el propio sector de Servicios de Valores es un generador importante de movimientos de dinero, particularmente a través de la liquidación de operaciones con valores, eventos de renta y acciones corporativas.
Las firmas de servicios de valores tienen datos importantes de clientes que incluyen detalles de cuentas a los que se realizan los pagos. El flujo de caja de valores se conoce (por ejemplo, las fechas de pago de dividendos) y se publica. El riesgo de alteración fraudulenta de estos registros de cuenta, sabiendo que los pagos se realizarán en fechas establecidas, es un posible factor motivador para un ciberataque.
El riesgo aumenta aún más si un administrador de valores presta servicios en los que los pagos / movimientos de efectivo no son esperados o controlados de manera inmediata por el receptor del pago.
El robo de valores puede considerarse menos atractivo para los atacantes cibernéticos que un fraude relacionado con el pago dado que el beneficio financiero requiere que los valores se intercambien por dinero (y, por lo tanto, se retrasará, lo que puede resultar en más tiempo para que el administrador de valores identifique y detenga la fraude). Sin embargo, las transacciones libres de pagos de entregas de valores pueden ocurrir fuera del intercambio y no siempre tienen controles coincidentes. Un análisis de los ataques cibernéticos muestra que los atacantes están preparados para ser pacientes.
Además del robo de activos y efectivo, los administradores de valores también pueden estar expuestos al robo de datos. Los libros, registros y bases de datos proporcionados brindan a los atacantes la oportunidad de obtener datos que incluyen inversiones de clientes, detalles de cartera, desempeño y estrategia, información de relaciones y acuerdos de tarifas. Los datos robados por los atacantes cibernéticos pueden llevar a importantes demandas de rescate junto con daños materiales a la reputación. La amenaza cibernética que representan los estados nacionales y el crimen organizado también está aumentando. El ciberespacio sigue siendo un dominio operacional preferido para una amplia gama de espionaje industrial y un medio para que algunos estados nacionales respalden sus objetivos de política económica.1 Estos actores de amenazas, si tienen éxito, pueden permanecer residentes en los sistemas de información de un gestor de valores para obtener información para extranjeros objetivos de política.
Se puede descargar el documento completo desde aquí.
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!