-En una entidad financiera, ¿la seguridad de la información y la ciberseguridad son una prioridad para garantizar la continuidad de las operaciones? ¿La seguridad física, aun siendo importante, ha quedado relegada a un segundo plano?
Todo lo contrario. A estas alturas del siglo XXI, la comunicación y la colaboración son esenciales para lograr una protección efectiva de los activos de la información: personas, tecnologías, procesos… Un programa integral de seguridad lo conforman diversos actores especializados en riesgos, compliance, seguridad corporativa (antes seguridad física), prevención de fraudes y lavado de dinero, seguridad de la información y ciberseguridad. Generalmente, estas últimas áreas están integradas en un mismo departamento.
-¿Cómo deben ubicarse la seguridad de la información y la ciberseguridad en la estructura organizacional de una entidad financiera?
Para empezar, no han de ser un área de TI. Si bien es cierto que, tradicionalmente, las áreas de seguridad de la información y de ciberseguridad nacieron en departamentos de tecnología, ha sido una constante discusión cuál debe ser su ubicación ideal en la estructura organizacional.
La función de seguridad de la información requiere otras competencias además de las técnicas. Por ejemplo, conocer los productos, el negocio, los clientes y el mercado en el que se desarrolla la organización. Necesita hablar en términos de riesgos y tener habilidades de negociación, autoridad e influencia estratégica y velar por las necesidades de la organización sin tener conflictos de intereses. De ahí la importancia de consultar bibliografía especializada.
En el caso del sector financiero mexicano, el responsable de la seguridad de la información y la ciberseguridad de una organización debe posicionarse a una altura ejecutiva para contar con un nivel de exposición, autoridad e influencia que le permita tomar decisiones junto al resto de responsables de la entidad. Esto es, a un nivel C reportando al CEO. De ahí que se denomine CISO (Chief Information Security Officer).
-Bajo su punto de vista, ¿cómo debe gestionarse la seguridad de la información en una entidad financiera multinacional?
Por mi experiencia en diferentes organizaciones, se cuenta generalmente con una estrategia corporativa global de seguridad de la información a la cual se adhieren las distintas regiones y países. El framework de seguridad, es decir, la política, los estándares y la estructura de seguridad se dictan desde una oficina central. En algunos casos se consulta a los equipos de las diferentes regiones y países; en otros, sólo se dictan centralmente con el objetivo de tener una postura institucional. Las estrategias locales utilizan como base el framework global y en algunos casos se hacen acuerdos de colaboración o de autonomía.
“Si un CISO no conoce el negocio, el mercado y la cultura y la estrategia de su organización, ¿cómo sabrá qué tiene que proteger?”
En definitiva, las políticas y los estándares generales son globales y se adaptan a la cultura y la realidad locales con el objetivo de que sean implementados de forma efectiva y den los resultados esperados. Asimismo, hay procesos que se robustecen con el apoyo global pero que localmente tienen sus particularidades. Este es el caso de los servicios de ciberseguridad: gestión de las vulnerabilidades y administración y respuesta a ciberincidentes. En estos procesos, el contexto y las prioridades locales definen los tiempos de acción y respuesta, aunque siempre informando a la organización.
-¿Qué importancia tienen los denominados red team y blue team para analizar las posibles vulnerabilidades de una organización? Hoy en día, ¿podría afirmarse que estos equipos son imprescindibles?
Me parece que se han puesto de moda. Los procesos de inteligencia y administración de vulnerabilidades son necesarios en las organizaciones para detectar deficiencias o riesgos potenciales. Sin embargo, muchas organizaciones están olvidando los procesos básicos de seguridad de la información. Por ejemplo, un buen programa de seguridad en el ciclo de desarrollo de software y un proceso de cambios robusto reducen en un 80% o más la presencia de vulnerabilidades conocidas o la inserción de código malicioso que podría derivar en una falla aplicativa que ocasionase la suspensión de la operación o un tratamiento equivocado de la información.
Las deficiencias en los procesos de control de acceso y de verificación/conciliación de las actividades de usuarios privilegiados pueden provocar que se inserte un código que afecte a las operaciones o altere las transacciones sin que la organización se dé cuenta. Si es así, cuando sea consciente de ello será demasiado tarde…
Al respecto, la administración y la remediación de vulnerabilidades en infraestructura, operaciones y tecnología reducen la probabilidad de ataques exitosos o la explotación de vulnerabilidades. Y un programa efectivo de educación y concientización involucra y compromete a todo el personal y los colaboradores en el cuidado y la observación de comportamientos que conducen a una cultura de seguridad.
-¿Cuáles son las principales amenazas a las que debe hacer frente una entidad financiera en materia de seguridad de la información?
Las instituciones financieras son atractivas para los atacantes porque representan utilidades inmediatas para los delincuentes. La delincuencia organizada es una de las amenazas más grandes. Y no solamente para el sector financiero, sino también para las organizaciones que se dedican a la sanidad, la energía, el transporte… Y no podemos olvidar que la delincuencia organizada contrata a nuestros propios empleados, quienes, voluntariamente o no, acceden a realizar actividades no autorizadas por la empresa. En resumen, debemos prestar atención tanto a las amenazas externas como a las internas.
“Un CISO no busca una oficina. Desea contribuir al éxito del negocio y permear la seguridad en las venas de la gente”
-El fraude se ha convertido en uno de los grandes enemigos de las entidades financieras. ¿Hasta qué punto afectan las campañas de suplantación de identidad a las entidades financieras? ¿Cómo responden ante el phishing o el smishing?
Las organizaciones son cada vez más conscientes de la importancia de educar a los empleados, los accionistas, los clientes y los colaboradores con los que trabaja. El fraude y el robo de identidad no son iguales, aunque se relacionan en el objetivo primario de obtener algún beneficio sin ser descubierto.
Según las encuestas y los estudios del estado de la seguridad, la vulnerabilidad mayor sigue estando de lado de las personas. En este sentido, sólo la educación puede ayudar a reducir el nivel de ataques exitosos. Y ello se consigue a través de la identificación de uso de ingeniería social, los tipos de respuesta que se enseñan bajo diferentes escenarios y el reporte o la denuncia ante la ocurrencia o el intento de ocurrencia de estos ataques. Los pillos seguirán intentando aprovecharse del ser humano, pero cuanta más comunicación exista, más difícil será.
En UDLAP Jenkins Graduate School, la institución en la que dirijo la División de Seguridad de la Información y Ciberseguridad, estamos trabajando en proyectos encaminados a generar esta conciencia y conocimiento mediante diplomados, sesiones abiertas, conferencias y proyectos de asesoría y acompañamiento en la implementación de una estrategia efectiva e integral de seguridad.
-Sin duda, el ser humano es el eslabón más débil de la cadena de la seguridad. En lo relativo a la ciberseguridad y la privacidad, ¿qué tipo de consejos hay que brindarles a los clientes de una entidad financiera?
La ignorancia es un mal universal, pero lo bueno es que tiene solución… El conocimiento de los riesgos o las consecuencias que conlleva un tratamiento responsable o irresponsable de la información de la organización o la nuestra es lo que ayudará a reducir los índices de afectaciones por incidentes de seguridad. En las organizaciones financieras, en general, se cuenta con programas de educación y concientización tanto para empleados como para clientes.
En las diferentes instituciones en las que he trabajado, la prioridad de educación y concientización es diferente. Las acciones se llevan a cabo con correos electrónicos, imágenes, posters en lugares públicos, cursos y talleres en los que se hacen ejercicios de simulación… Y también hay conferencias y formación periódica, obligatoria o voluntaria, para los empleados, portales, aplicaciones, seminarios para clientes, etc.
“En la UDLAP Jenkins Graduate School trabajamos en la formación de profesionales de seguridad de la información y ciberseguridad”
-¿Mantiene reuniones periódicas con otros CISO para intercambiar conocimientos y experiencias?
Durante algunos años hubo intentos de crear un grupo fuerte de colaboración y comunicación en diferentes entidades financieras. La realidad llevó a que en noviembre de 2017 se conformara formalmente el Comité de Ciberseguridad de la Asociación de Bancos de México (ABM). Se elaboró un plan al que se da seguimiento periódicamente a través de sesiones de trabajo, presentaciones y reuniones plenarias a las que también se invita a reguladores y autoridades. Y se ha hecho extensiva la invitación a otras asociaciones y entidades.
Lo que realmente ha resultado exitoso en este comité, según mi observación, son tres cosas: hay voluntad en la mayoría de los miembros, existe un plan de trabajo y es imperativo en las actualizaciones a la regulación que exista dicha colaboración.
Aunque es cierto que el mundo de la seguridad de la información en el sector financiero es pequeño y nos conocemos todos, no lo es menos que los incidentes de años anteriores han sido una motivación para mantener la comunicación y la colaboración.
-¿Qué les diría a aquellos lectores que, tras leer esta entrevista, tengan interés en involucrarse en la seguridad de una entidad financiera? ¿Cómo debe ser el perfil del CISO de una gran organización del sector? ¿Qué conocimientos ha de atesorar para desempeñar un papel transversal?
Agradezco que me formulen esta pregunta. Lo primero que es importante tener claro es que las instituciones financieras, pequeñas o grandes, son organizaciones muy peculiares y que cada una tiene un nivel de madurez y una cultura distintos. Como comentaba al inicio de la entrevista, para un profesional de la seguridad, y más para un CISO, es clave conocer el negocio, el mercado y la cultura y la estrategia de la organización. De lo contrario, ¿cómo protegemos algo que no conocemos?
Ahora bien, es muy muy importante tener claro qué se quiere hacer dentro del abanico de opciones que ofrece la seguridad de la información y la ciberseguridad. Se trata de cosas diferentes. El perfil puede tener coincidencias, pero también grandes diferencias.
“La preparación y la pasión son esenciales para desempeñar un rol en el mundo de la seguridad. Son la clave del éxito”
Ante todo, un CISO es un ejecutivo. Aunque tenga conocimientos técnicos, y seguramente haya nacido en un mundo técnico, llegado el momento de hablar de riesgos en un comité de dirección, y de definir una estrategia o de hacer un análisis de riesgos de seguridad, requerirá otras competencias que le ayuden a complementar y a convertirse en el apoyo para el negocio que ayuda a hacer realidad la promesa al cliente.
El CISO tiene que adaptarse a la velocidad de la transformación digital y a los riesgos emergentes. Ha de ser analítico para prevenir y tomar las acciones correctas. Debe ser capaz de dirigir un equipo multidisciplinario y colaborar con equipos de trabajo transversales. Y también tiene que poseer un gran sentido de la responsabilidad, ha de saber tomar decisiones informadas, tener visión y soportar la presión, responder de manera asertiva en situaciones de crisis y permanecer al lado de sus equipos en los momentos necesarios.
Un CISO no busca una oficina. Desea contribuir al éxito del negocio y permear la seguridad en las venas de la gente, de manera que todos estén implicados en la reducción de los riesgos.
-Usted se ha lamentado en alguna ocasión de que no existe una gran oferta en seguridad de la información y ciberseguridad en el ámbito universitario mexicano. ¿La formación de expertos es una asignatura pendiente en el país?
Efectivamente, creo que debemos avanzar en la formación de profesionales de seguridad de la información y ciberseguridad. Por lo que respecta a la UDLAP Jenkins Graduate School, está trabajando en un programa que pretende cubrir estas necesidades desde diferentes ángulos: maestría, doctorado, investigación y capacitación para necesidades específicas y servicios de asesoría y acompañamiento aprovechando la experiencia de quienes integramos la División de Seguridad de la Información y Ciberseguridad.
Afortunadamente, otras universidades públicas y privadas se están dedicando a ofrecer una formación que ayude a satisfacer esta necesidad de México, en particular, y del mundo, en general.
-Para finalizar, ¿desea añadir alguna cuestión que no haya sido abordada en la entrevista y que considere de interés para los profesionales de la seguridad de entidades financieras de América Latina?
Como en cualquier profesión, en nuestra actividad las pautas de ética son importantísimas. Hay muchas posiciones abiertas en diferentes rubros de seguridad y, lamentablemente, hay también mucha gente que ofrece experiencia y conocimientos que no tiene, exponiendo así a las organizaciones que confían en ellos, a sus clientes y a ellos mismos. Prepararse es esencial para desarrollar los comportamientos y habilidades necesarios para el rol que se quiera desempeñar dentro de la seguridad. La pasión por lo que se hace es la clave del éxito.
La seguridad es un mundo muy interesante. Se requiere gente de todas las profesiones para diferentes áreas, para investigar… Al final, se trata de generar confianza.