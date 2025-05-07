El riesgo en el sector financiero se encuentra en un máximo histórico: las pruebas de las preocupaciones en torno al riesgo provienen de la encuesta del Banco de Inglaterra, que identificó los ciberataques como el riesgo citado más preocupante para el sistema financiero del Reino Unido (79 % de los encuestados). MaRisk intenta corregir esto proporcionando un marco para ayudar al sector bancario y a las empresas asociadas a reducir los riesgos de sus actividades.

Bancos y MaRisk

Los bancos alemanes han experimentado importantes filtraciones de datos en los últimos años, como el ciberataque a Deutsche Bank en 2022, lo que provocó el robo de 60 GB de datos de clientes. Los bancos y otras entidades del sector financiero se rigen por la Ley Bancaria Alemana, la BaFin y el marco normativo de MaRisk. En MaRisk, el documento "Requisitos de supervisión de TI en las instituciones financieras" establece las medidas necesarias para cumplir los requisitos de seguridad de TI para los bancos. Además, MaRisk exige a los bancos alemanes que protejan sus flujos de datos, y una de las últimas enmiendas a la normativa ha incluido la adición de seguridad a las "operaciones domésticas" que requiere un estándar mínimo de seguridad de TI para garantizar la confidencialidad de los datos. Los principios de Zero Trust de privilegios mínimos aplican controles de acceso desde todas las ubicaciones, incluidas las oficinas domésticas.

Proveedores de servicios en la nube a bancos

La cadena de suministro de los proveedores de servicios en la nube para el sector bancario en Alemania está sujeta al reglamento MaRisk. Los proveedores de servicios en la nube deben seguir los requisitos de supervisión de TI para ayudar a garantizar que un cliente (banco u otra institución financiera) implemente el control de riesgos para cumplir con los requisitos. Una evaluación de riesgos debe demostrar que la gestión de riesgos de la información, la seguridad de la información y las medidas de respuesta ante emergencias están en vigor y cumplen con MaRisk y BaFin y BAIT asociados. Los proveedores de servicios de TI y en la nube suelen incluir estas evaluaciones en los contratos de los clientes. Los proveedores de servicios en la nube deben explorar enfoques Zero Trust para unos controles de acceso sólidos en una arquitectura de servicios distribuida.