¿Qué es MaRisk?

La gestión de riesgos es un aspecto fundamental de la mitigación de los delitos financieros y la protección de datos. BaFin es el organismo supervisor general del sector financiero alemán, que se centra en la gestión de riesgos, la continuidad del negocio, la eliminación de riesgos de la externalización, la cooperación con los reguladores, la gestión de datos y la seguridad y confidencialidad de los datos. MaRisk (Minstanforderungen an das Risikomanagement, requisitos mínimos para la gestión de riesgos en español) es una iniciativa de BaFin que define los requisitos mínimos para el cumplimiento de la gestión de riesgos.

MaRisk se basa en la sección 25a (1) de la Ley Bancaria Alemana (Kreditwesengesetz, KWG), que abarca "Deberes organizativos particulares; autoridad para emitir órdenes". La sección 25a está relacionada con el artículo 88 de la Directiva 2013/36/UE, que describe las estructuras internas de gobernanza previstas en las entidades cubiertas del sector de los servicios financieros.

MaRisk es un documento normativo que constituye un marco para la implementación de negocios financieros en Alemania. El objetivo es reducir el riesgo de las actividades del sector financiero en Alemania y, por consiguiente, en todo el mundo, ya que las instituciones financieras alemanas trabajan a nivel internacional. 

MaRisk se preocupa por guiar el funcionamiento seguro y la integridad del sistema financiero en Alemania. Es un reglamento administrativo y actúa como un "Proceso de Revisión y Evaluación de Supervisión (SREP)" para los bancos que pertenecen al segundo pilar del acuerdo de Basilea III.

MaRisk es un marco integral que cubre áreas de riesgo financiero en la gestión de riesgos internos y en los riesgos de la externalización. Las entidades cubiertas están bajo la supervisión de BaFin e incluyen bancos, compañías de seguros y valores.

MaRisk proporciona un marco integral para reducir el riesgo de las actividades de una organización financiera. Esto incluye la protección de su entorno contra malware, phishing y acceso no autorizado. Las soluciones de seguridad de Akamai proporcionan inteligencia y protección integral para proteger los datos financieros frente a filtraciones y exposiciones accidentales, reduciendo los riesgos al seguir los controles de ciberseguridad de MaRisk. La plataforma de seguridad de Akamai proporciona la seguridad dinámica necesaria para aplicar los principios Zero Trust a la protección de datos en toda la cadena de suministro ampliada. Akamai ayuda a sus equipos de seguridad a maximizar la eficacia y el ROI de sus inversiones en seguridad al ir más allá de la detección tradicional de terminales con el fin de proporcionar una potente solución Zero Trust para la seguridad y la privacidad de los datos. 

Akamai proporciona:

• Una plataforma de seguridad global que aplica la seguridad Zero Trust con una cobertura completa de sus entornos de TI, IoT y TO
• Gran visibilidad de sus flujos de red, accesos y recursos
• Aplicación detallada de la política de seguridad

MaRisk se publicó por primera vez en diciembre de 2005. Se produjo debido al marco del acuerdo de Basilea II del Comité de Supervisión Bancaria de Basilea. Los principios de Basilea II, y ahora Basilea III, se reflejan en la sección 25a (1) de la Ley Bancaria Alemana (Kreditwesengesetz - KWG) y en MaRisk.

MaRisk fue una iniciativa de BaFin para consolidar marcos de gestión de riesgos anteriores en un marco integral de gestión de riesgos. Además, BaFin diseñó MaRisk para modernizar estos marcos más específicos, incorporando las disposiciones de Basilea II y la Directiva Bancaria.

Desde 2005 se han introducido varias enmiendas y nuevos requisitos, entre los que se incluyen estos tres últimos:

• Los requisitos técnicos para la agregación y actualización de datos de riesgos se centran en los riesgos de externalización con un nuevo requisito de sistema de gestión de externalización central. (Enmienda MaRisk 2017) 
• Alineación de MaRisk con las Directrices EBA que incluía algunos riesgos de ciberseguridad de las TIC. (Enmienda MaRisk 2021)

Integración de los requisitos de gestión de riesgos ESG en el marco general de gestión de riesgos. La inclusión de pequeños y medianos bancos e instituciones financieras en el requisito de supervisión de préstamos y créditos de MaRisk bajo las Directrices EBA (Enmienda MaRisk 2022: Versión actual y séptima de MaRisk)

Los ataques a la cadena de suministro y los riesgos de datos son un elemento fundamental de la inclusión de una estricta gestión de riesgos de externalización por parte de MaRisk. MaRisk AT 9 Outsourcing (requisitos mínimos para la gestión de riesgos) ofrece orientación a las instituciones financieras sobre el cumplimiento de los requisitos normativos de externalización de la sección 25b de la Ley Bancaria Alemana (Kreditwesengesetz). La Ley Bancaria Alemana especifica que las instituciones financieras adopten "medidas cautelares razonables" para evitar riesgos al externalizar proyectos y tareas.

El riesgo en el sector financiero se encuentra en un máximo histórico: las pruebas de las preocupaciones en torno al riesgo provienen de la encuesta del Banco de Inglaterra, que identificó los ciberataques como el riesgo citado más preocupante para el sistema financiero del Reino Unido (79 % de los encuestados). MaRisk intenta corregir esto proporcionando un marco para ayudar al sector bancario y a las empresas asociadas a reducir los riesgos de sus actividades.

Bancos y MaRisk

Los bancos alemanes han experimentado importantes filtraciones de datos en los últimos años, como el ciberataque a Deutsche Bank en 2022, lo que provocó el robo de 60 GB de datos de clientes. Los bancos y otras entidades del sector financiero se rigen por la Ley Bancaria Alemana, la BaFin y el marco normativo de MaRisk. En MaRisk, el documento "Requisitos de supervisión de TI en las instituciones financieras" establece las medidas necesarias para cumplir los requisitos de seguridad de TI para los bancos. Además, MaRisk exige a los bancos alemanes que protejan sus flujos de datos, y una de las últimas enmiendas a la normativa ha incluido la adición de seguridad a las "operaciones domésticas" que requiere un estándar mínimo de seguridad de TI para garantizar la confidencialidad de los datos. Los principios de Zero Trust de privilegios mínimos aplican controles de acceso desde todas las ubicaciones, incluidas las oficinas domésticas.

Proveedores de servicios en la nube a bancos

La cadena de suministro de los proveedores de servicios en la nube para el sector bancario en Alemania está sujeta al reglamento MaRisk. Los proveedores de servicios en la nube deben seguir los requisitos de supervisión de TI para ayudar a garantizar que un cliente (banco u otra institución financiera) implemente el control de riesgos para cumplir con los requisitos. Una evaluación de riesgos debe demostrar que la gestión de riesgos de la información, la seguridad de la información y las medidas de respuesta ante emergencias están en vigor y cumplen con MaRisk y BaFin y BAIT asociados. Los proveedores de servicios de TI y en la nube suelen incluir estas evaluaciones en los contratos de los clientes. Los proveedores de servicios en la nube deben explorar enfoques Zero Trust para unos controles de acceso sólidos en una arquitectura de servicios distribuida.

Las instituciones financieras deben adherirse a un amplio conjunto de normativas de gestión de riesgos en MaRisk, BAIT y otras iniciativas de BaFin: utilizando estos marcos, BaFin actúa para controlar y gestionar el riesgo en el sector financiero.

MaRisk es un reglamento hermano para BAIT, los requisitos de supervisión para TI en las instituciones financieras (Bankaufsichtliche Anforderungen an die IT), siendo que BAIT se basa en los componentes de MaRisk. BAIT describe los recursos técnicos y organizativos apropiados para los sistemas de TI, en particular la seguridad de la información y los planes de contingencia en el sector financiero. En 2021, BAIT fue actualizado junto con la versión 6 de MaRisk. 

La conformidad con BAIT incorpora los requisitos de las directrices EBA para la gestión de las TIC y los riesgos de seguridad (EBA/GL/2019/04), que entró en vigor en 2020. Las directrices EBA respondieron a los crecientes volúmenes, complejidad y niveles de ciberamenazas contra las instituciones financieras. Además, la interconexión de la banca también fue objeto de consideración en las directrices EBA actualizadas.

En la actualización de EBA se incluyeron dos nuevas áreas:

• Seguridad de la información operativa: requisitos para la supervisión y los controles de la seguridad de la información
• Gestión de la continuidad del servicio de TI: requisitos mínimos para la gestión de la continuidad del negocio de acuerdo con MaRisk AT 7.3

MaRisk 7.3 "Gestión de la continuidad del negocio" incluye fallos de los sistemas de TI causados por ciberataques.

BaFin trabaja para asegurar la interconexión de los requisitos de EBA, BAIT y MaRisk. Por ejemplo, las extensiones de la última versión de MaRisk abarcan la orientación sobre externalización; por lo tanto, la gestión de riesgos de TIC se extiende a los proveedores de la cadena de suministro financiera.

El conjunto de normativas de la autoridad alemana BaFin se superpone en muchas áreas, incluida la protección de datos y sistemas de TI. La gestión de riesgos es un pilar central de una ciberseguridad sólida. El mantenimiento de sistemas financieros seguros es esencial para un enfoque de gestión de riesgos de las infraestructuras y los datos financieros. El conjunto de soluciones de seguridad, pruebas normativas y antifraude de Akamai proporciona las herramientas necesarias para cumplir con la normativa MaRisk. El conjunto de soluciones de seguridad galardonadas de Akamai incluye lo siguiente:

• Protección de aplicaciones y API: evite los ataques DDoS y proteja los activos.
• Akamai Account Protector: identifique y bloquee de forma proactiva la actividad humana fraudulenta y la apropiación de cuentas basándose en el aprendizaje automático avanzado, el análisis de comportamiento y los estudios de la reputación. 
• Acceso y autorización: la arquitectura Zero Trust simplifica el cumplimiento.