Dos temores asedian las mentes de los CIO y CISO Mexicanos de organizaciones financieras: perder la guerra contra el cibercrimen, y la imposibilidad de transformarse digitalmente con la suficiente celeridad. Ambos podrían tener la misma fuente y similares soluciones.
La Organización de Estados Americanos (OEA) lanzó hace algunos días el informe “Estado de la ciberseguridad en el sistema financiero mexicano”, realizado con apoyo de la Comisión Nacional Bancaria y de Valores (CNBV). El documento consolidó y exploró una base de datos con registros de 240 entidades e instituciones financieras, representativas de las 32 entidades federativas de México.
Los resultados muestran cuál es el estado actual de las entidades a nivel de gestión de riesgos de seguridad digital, qué impacto han tenido los incidentes de seguridad digital y realiza recomendaciones clave al sistema financiero. Alerta de spoiler: no son completamente alentadores.
Por otro lado, en el reciente Finance Leadership Summit, organizado por VMWare, las diversas pláticas y exposiciones orbitaron con mucha preocupación el tema de la ciberseguridad y cómo afrontarla en un ambiente de amenazas múltiples y organizaciones criminales cada vez más poderosas, además de la urgencia por madurar procesos de transformación digital en las organizaciones, muchas veces sin recibir suficiente apoyo por parte de la junta directiva.
Entre ataques informáticos exitosos, sofisticación de las amenazas y problemas con el gobierno interno, tal parece que el sistema financiero mexicano tiene un camino duro por delante en cuanto a su seguridad digital.
Los equipos deben crecer
En cuanto a preparación y gobernanza, el informe de la OEA indica que la mayoría de las entidades e instituciones financieras (70%) dicen tener una única área responsable por la seguridad de la información (lo que incluye ciberseguridad) y prevención del fraude por medios digitales. Las organizaciones de mayor tamaño, como los bancos tradicionales, suelen tener más de una (43%) en un porcentaje mucho mayor que las pequeñas (24%).
Otro elemento a considerar es la distancia jerárquica entre el CEO y el responsable de la ciberseguridad. Un trato directo con el director de la organización suele traducirse en respuestas más rápidas a incidentes y una mejor acompañamiento de los objetivos de negocio. Esto puede encontrarse con mayor facilidad en las entidades pequeñas, de las que el 60% declaró que el responsable de seguridad digital reporta directamente al CEO, mientras que en ninguna entidad grande ocurre de esta manera: el 50% de estas reporta tener dos niveles entre su director general y el encargado de la ciberseguridad. Además, mientras más grande es la organización más niveles se suman entre estas dos figuras.
Una noticia buena es que el consejo de administración del 50% de las entidades e instituciones financieras en el país recibe reportes periódicos acerca de indicadores, riesgos, gestión de riesgos de seguridad de la información y fraudes ocurridos a través de medios digitales. A pesar de la distancia mayor entre CEO y equipos de seguridad, las entidades grandes llevan la delantera en este apartado, con 86% de las instituciones manteniendo esta práctica, frente a 45% de las medianas. Sectores como el bursátil o el de banca comercial superan además el porcentaje presentado por América Latina y el Caribe.
Sin embargo, la alta dirección no está entregando los recursos suficientes a las áreas de seguridad. “El rol que juega la alta dirección y la junta de las organizaciones respecto de la seguridad digital es fundamental. A nivel país, el presente estudio encuentra que para la mayoría de las entidades e instituciones financieras (48% del total), es medianamente complejo lograr que la alta dirección de la organización tome decisiones de inversión en soluciones de seguridad digital, mientras que tan sólo el 17% de las organizaciones lo consideran altamente complejo. Se destaca el hecho de que sectores como el fintech y el sector de Ahorro y Crédito Popular encuentran mayoritariamente (ambos con un 53%) que es poco complejo que la alta dirección tome decisiones de inversión en soluciones de seguridad digital”, indica el estudio en este punto.
Con respecto del tamaño del equipo que maneja procesos asociados a la seguridad de la información (incluyendo ciberseguridad) y fraudes ocurridos a través de medios digitales, se aprecia que en promedio una entidad financiera en México cuenta con un equipo conformado por nueve personas. Este valor varía significativamente dependiendo del tamaño y sector de la entidad, pues mientras en la banca comercial el promedio es de 37 profesionales, en sectores como el de ahorro y crédito popular es tan solo de tres.
América Latina comparte, sin embargo, la inconformidad respecto al tamaño de estos equipos. El 68% de entidades e instituciones financieras en México considera adecuado que estos equipos crezcan en el corto plazo, frente al 82% que cree lo mismo en la región.
Esto permite entender quizás de mejor forma cómo la tercerización de servicios de seguridad se ha vuelto un camino rápido para darle agilidad a procesos clave ligados a la transformación digital —como el despliegue de elementos en nubes múltiples— sin generar desarrollos internos. De todas formas los servicios más contratados por las organizaciones financieras suelen estar más ligados a asegurar la robustez de sus servicios: pruebas de seguridad y análisis de vulnerabilidades (34% del total), monitoreo de la infraestructura de seguridad (31% del total), gestión de cumplimiento regulatorio (18%) y servicios de seguridad en la nube (18%).
La orfandad tras un cambio de paradigma
El ambiente en la mesa de discusión “Transformación de la seguridad y automatización del cumplimiento”, hace unas semanas en el Finance Leadership Forum era de preocupación, como si se discutieran los siguientes movimiento en un escenario de guerra y nadie tuviera muy claros los próximos pasos. Una treintena de IT Masters, entre CIO, CISO y otros profesionistas encargados de una u otra forma de la seguridad de la información de sus organizaciones se enfrentaban a cifras como que el costo global del cibercrimen alcanza a $445,000 millones de dólares, que a las compañías les toma en promedio 200 días detectar una falla en su seguridad, que el 88% de los ataques tienen éxito en menos de un día y que todos los pronósticos indican que la situación no hará más que empeorar de aquí en adelante.
Todos habían sido afectados también, de una u otra forma, por el asalto al SPEI en mayo de 2018. Este ataque logró que el mundo financiero pasara “de primero de kinder a segundo de kinder en cuanto a ciberseguridad. La gente del negocio está ahora queriendo entender los riesgos cibernéticos”, indicó Santiago Gutiérrez, socio de Cyber Risk Services de Deloitte, y moderador de la sesión.
La mayoría coincidiría en señalar que el interés surgió demasiado tarde.
¿Dónde está parado el sector financiero de México en ciberseguridad? Los participantes de la mesa señalaron casi de forma unánime que existe preparación a nivel de madurez y respuesta a ciberataques, pero el problema está en cómo se está dirigiendo la inversión (históricamente) por parte de la alta dirección.
“Hasta hace un año, el 90% de los presupuestos que había en ciberseguridad era para hacer la empresa más segura, dirigido a compliance en muchos casos. ¿Por qué? Porque el mito era que íbamos a volvernos inmunes. Lo que se demostró el año pasado es que —por mucho que gastes— algún día alguien será suficientemente creativo para traspasar tu seguridad”, opinó Alejandro Reyes, gerente senior de Ciberseguridad en KPMG. “Lo que se vio es que casi ningún banco tuvo buenas capacidades de resiliencia. No habíamos creado políticas fuertes en vigilancia, monitoreo, y mucho menos de respuesta”.
De acuerdo con la OEA, el costo total de respuesta y de recuperación ante incidentes de seguridad digital para una entidad financiera grande promedio en México equivale aproximadamente a $2.3 millones de dólares al año, para una entidad mediana promedio supone aproximadamente $634,689 dólares al año y para una entidad pequeña promedio equivale a $317,615 dólares al año.
En palabras de Rubí Jaramillo, de Sura, se ha vuelto también necesario generar una cultura de colaboración en ciberseguridad entre las empresas: “México ha avanzado más que la región en este aspecto, gracias a la influencia de Estados unidos y Canadá, sin embargo falta mucho trecho que recorrer en ciber-resiliencia y vigilancia. Falta mucha colaboración y apoyo entre las organizaciones”. El cibercrimen ya lo hace y de forma bastante orgánica: los códigos maliciosos están disponibles incluso para quienes no estén muy entrenados en informática y la inteligencia artificial está masificando herramientas cada vez más sofisticadas. Solo hace falta tener un objetivo y suficiente dinero.
Según afirma el informe de ciberseguridad financiera de la OEA, las principales acciones y medidas técnicas que las entidades e instituciones financieras de México ejecutan son los firewalls (85%), la actualización automatizada de antivirus y sistemas (76%), copias de seguridad automatizadas (68%) y network security —como VPN, NAC, ISE, IDS/IPS, entre otras— (54%).
En suma: las acciones coincide con lo señalado por los participantes de la mesa de discusión de forma alarmante. El uso de tecnologías digitales emergentes se encuentra aún rezagado. Solo 22% del total de instituciones financieras implementan analítica de datos en herramientas, controles o procesos, el 13% del total de entidades e instituciones financieras implementan machine learning y 9% del total implementan inteligencia artificial. El informe destaca el hecho de que en el sector bancario el uso de big data registra un promedio del 45%, lo cual supera por mucho el promedio del sector financiero de América Latina y el Caribe (29% del total).
Si se apuntan los reflectores con mayor intensidad a la inversión el panorama tampoco es alentador. El 51% de las entidades mexicanas manifiestan que su presupuesto de seguridad digital equivale a menos del 1% del EBITDA del año fiscal anterior. Además, —en comparación al año fiscal inmediato anterior— el 57% de las entidades e instituciones financieras en el país manifiestan que se mantuvo sin variación el presupuesto de seguridad de la información y prevención del fraude digital: 38% manifiesta que había aumentado y tan sólo el 5% manifiesta que se había disminuido. Sin embargo, los grandes bancos de México invierten con mayor ímpetu: el 31% de estas instituciones señalaron a la OEA que este presupuesto se mantuvo sin variación; 64% que aumenta, y tan solo 5% aseguró que disminuye.
Recomendaciones
Por supuesto, tanto la OEA como los asistentes a la mesa de seguridad confían en que hay un camino correcto a seguir para reforzar los niveles de protección y respuesta a incidentes en sus organizaciones. Una cultura de colaboración más robusta, la necesidad de que la ciberseguridad sea una preocupación que alcance a toda la organización y el cambio del paradigma del compliance a uno de ciber-resilencia fueron las ideas esgrimidas con mayor confianza.
El informe profundiza un poco más y recomienda tener una instancia única de gobierno corporativo que lidere esta batalla, dimensionar adecuadamente los equipos de trabajo dedicados a los aspectos de seguridad de la información, establecer mecanismos claros para asegurar el conocimiento de la gestión de riesgos por parte de la dirección general, y en términos más gruesos abandonar la visión de los marcos regulatorios como meras “listas de chequeo” y constituirlos como procesos de transformación, orientados por la mejora continua de la cultura de seguridad.
“Es necesario garantizar que la priorización de acciones, procesos y programas de seguridad digital para proteger los sistemas de información críticos de la institución financiera, correspondan a un plan derivado de las necesidades de adopción y aplicación de marcos regulatorios, mejores prácticas y/o estándares internacionales. Resulta relevante que este plan tenga, como uno de sus focos objetivo, el elevar la resiliencia cibernética”, indica el documento. Agrega también que las entidades deben participar activamente de alianzas en las que se logre compartir las conclusiones y lecciones aprendidas sobre la gestión de ataques, y garantizar la adecuada comunicación hacia los clientes en el caso de que resulten víctimas de incidentes.
Los consejos son variados y abarcan a las autoridades y órganos reguladores del sistema financiero, la capacitación y concientización interna de las organizaciones, y su respuesta a incidentes; pero lo que hay que tener siempre presente es que hay tres tipos de entidades: a las que les pasó, a las que les va a pasar, y a las que les pasó y no saben. Los cibercriminales ya forzaron un cambio de paradigma y solo las organizaciones que se adapten más rápido a este nuevo escenario podrán tener alguna oportunidad en la próxima fase de la guerra cibernética.