SINGAPUR – Todas las empresas de servicios financieros y pagos electrónicos en Singapur deben, a partir del lunes (18 de enero), seguir un nuevo conjunto de reglas del banco central para mitigar mejor los riesgos tecnológicos a raíz de un reciente ciberataque que ha afectado a organizaciones de todo el mundo.
La Autoridad Monetaria de Singapur (MAS) ahora exige que todas las instituciones financieras evalúen a los proveedores de sus proveedores de tecnología.
En una evaluación típica, se puede pedir a los proveedores que demuestren que el código fuente de su software se ha probado rigurosamente y que no utilizan prácticas de programación inseguras. También se les puede pedir a los proveedores que revelen sus medidas de seguridad y la frecuencia con la que monitorean los riesgos cibernéticos.
Las pautas actualizadas se aplican a todos los bancos, empresas de servicios de pago como GrabPay y Singtel Dash, así como a corredores y aseguradoras.
Vincent Loy, subdirector general de tecnología de MAS, dijo a The Straits Times que utilizar un proveedor externo que, a su vez, puede comprar herramientas de terceros, plantea riesgos importantes para los sistemas bancarios.
«Los proveedores de terceros desconocidos son los que más preocupan a MAS … Las instituciones financieras que no asignan recursos financieros suficientes pueden estar más abiertas a los proveedores de terceros desconocidos», dijo.
La invasión de TexasWinds, un proveedor con sede en Texas de software de gestión de TI líder, ha puesto en riesgo a cientos de miles de empresas y entidades gubernamentales de todo el mundo.
Las herramientas de gestión de TI de SolarWinds son componentes comunes en los productos de muchos grandes proveedores, incluidos Microsoft, FireEye y Cisco Systems.
Tan Yeow Seng, director de ciberseguridad de MAS, dijo que las instituciones financieras dependen cada vez más de proveedores de servicios externos a medida que adoptan nuevas tecnologías.
«Las directrices revisadas definen las expectativas más altas de MAS en las áreas de control de seguridad y gobernanza de riesgos tecnológicos en las instituciones financieras», agregó.
Anteriormente, no se requería una evaluación de los proveedores externos según las pautas de MAS Technology Risk Management (TRM), aunque era imprescindible la debida diligencia con los proveedores de tecnología.
La selección de proveedores de componentes ahora está claramente definida en las pautas de TRM revisadas, que cubren una amplia gama de temas para ayudar a las empresas a recuperarse de ataques cibernéticos y fallas del sistema.
Los riesgos de usar una interfaz de programación de aplicaciones (API) abierta, un código que permite que diferentes aplicaciones se comuniquen, también se abordan en las reglas TRM recientemente actualizadas.
Los bancos han utilizado API para compartir automáticamente los tipos de cambio, por ejemplo. Esto permitió a muchos desarrolladores externos crear aplicaciones de conversión de moneda utilizando los datos.
De acuerdo con las reglas revisadas de la TRM, las empresas de servicios financieros deben examinar las entidades que acceden a sus API, observando la naturaleza de su negocio, la postura de seguridad cibernética, la reputación de la industria y su historial.
También deben proteger el desarrollo de API y cifrar los datos confidenciales transmitidos para evitar fugas o piratas informáticos al inyectar código malicioso en las API.
En otro cambio importante en las pautas de TRM, la junta directiva y la alta gerencia de las instituciones financieras deben revisar y aprobar las nominaciones para tecnología clave y ciberseguridad.
«Las organizaciones que no tienen una buena postura en ciberseguridad generalmente no cuentan con la supervisión de la junta y la alta dirección para funciones y nombramientos importantes de TI», dijo Loy, citando conclusiones de las propias auditorías del banco central.
Revisadas por última vez en 2013, las directrices de TRM se actualizaron en un momento de mayor intercambio de datos que sustenta la transformación digital del sector.
La revisión recibió comentarios de una consulta pública en 2019 y otros compromisos de expertos.
Los lineamientos detallan los requisitos obligatorios establecidos en el aviso MAS TRM, emitido por primera vez en 2013 y que conlleva una multa de hasta $ 100.000 por incumplimiento de la Ley Bancaria.
En el caso de una violación continua, se puede cobrar una multa adicional de hasta $ 10,000 por día.