El trabajo coordinado entre partes, clave para la buena gestión de la ciberseguridad en terceros en el sector financiero
• El Centro de Cooperación Interbancaria, CaixaBank e IBM analizaron en Madrid Tech Show la ciberseguridad de terceros en el ámbito financiero
Rodrigo Hornos (dcha.), Herminio del Campo y Carlos Yagüe, durante la mesa redonda en el Madrid Tech Show
El sector financiero y de seguros ha sido el que ha sufrido mayores ciberataques en los últimos años. De hecho, la última edición del X-Force Threat Intelligence Index 2022 de IBM, que recoge las tendencias y patrones de ataques a nivel mundial, destaca que el sector manufacturero ha superado en número de ataques al financiero y de seguros por primera vez en los últimos cinco años.
En concreto, en 2021 el sector financiero y de seguros acaparó el 22,4% de los ciberataques. A pesar de todo, el hecho de que haya dejado de ser el que más ataques recibe señala que los altos estándares de seguridad que están implementando la mayoría de las organizaciones financieras y sus ecosistemas están dando resultados concretos y que el sector está trabajando bien en el ámbito de la seguridad.
Estos son algunos de los datos que sirvieron para poner en contexto la mesa redonda Gestión de la ciberseguridad en terceros en el sector financiero, que se celebró en el Madrid Tech Show y en la que participaron Herminio del Campo, director general del Centro de Cooperación Interbancaria (CCI); Carlos Yagüe, Vendor Risk Management de CaixaBank; y Rodrigo Hornos, Principal Cloud Specialist Manager de IBM para España, Portugal, Grecia e Israel.
La información disponible sobre los clientes
Como puso de relieve Herminio del Campo, «el sector financiero es probablemente el más concienciado» con la importancia de garantizar la ciberseguridad, en gran medida «por lo codiciado de su materia prima, que en los últimos tiempos ha pasado de ser exclusivamente el dinero a añadirse la ingente cantidad de información disponible sobre sus clientes«.
«En los últimos años, el panorama de ciberseguridad ha estado marcado por la evolución hacia la transformación digital, una migración a soluciones en la nube y la adopción del trabajo remoto», destacó Carlos Yagüe. «Son cambios que aportan múltiples ventajas en términos de innovación y flexibilidad, muy interesantes en cualquier organización en la actualidad, pero que también implican nuevos retos en lo referente a ciberseguridad que deben abordarse con estrategias específicas».
No en vano, las mayores preocupaciones de los CEO del sector bancario y financiero giran precisamente en torno a los ámbitos de ciberriesgos (79%) y regulatorios (60%), destacando las filtraciones o robos de datos sensibles por encima de todas. ¿Y qué supone esto en costes para las organizaciones? De acuerdo con los últimos datos disponibles, el sector de servicios financieros es el segundo con los costes más altos de brecha de datos, alcanzando de media los 6,11 millones de euros.
Y en este campo, el ámbito de terceros juega un papel importante: el 17% de las violaciones de las infraestructuras críticas se produjo debido a que un socio comercial se vio inicialmente comprometido y el cuarto vector de mayor vulnerabilidad en 2022 fue el software de terceros, con un 13% de las infracciones.
Una necesidad de las propias áreas de ciberseguridad
Todo esto da buena cuenta de la importancia que tiene la gestión del riesgo de terceros en el ámbito de la ciberseguridad en el sector financiero. Un elemento que se encuentra en el germen del origen de Pinakes, un hub de calificación de proveedores cuya iniciativa radica en esta necesidad detectada por los propios departamentos de ciberseguridad de las entidades y ha sido canalizada desde el Centro de Cooperación Interbancaria.
El Banco de España tiene registradas 236 entidades operantes en España con establecimiento permanente: 166 bancos, 8 cajas o bancos procedentes del sector cajas, y 62 cooperativas de crédito. El CCI, como señaló Del Campo, «aglutina a 123 de ellas, lo que en términos de cuota de mercado supone la práctica totalidad del sector«. En cuanto al número de proveedores, «deben tenerse en cuenta los volúmenes de subcontratación que manejan las entidades, por lo que hablamos de millares«.
En este contexto, Carlos Yagüe explicó que «CaixaBank ha implementado un ecosistema de ciberseguridad con partners de referencia, como es el caso de IBM. Su contribución es clave en proyectos como CloudNow, una estrategia de evolución hacia la nube híbrida que cumple ya un año desde su puesta en marcha».
Por su parte, Rodrigo Hornos explicó que, «en el caso de los servicios en la nube, IBM ha desarrollado un conjunto de soluciones diferenciales conformadas en IBM Cloud for Financial Services y que contempla la adaptación de las soluciones tecnológicas a las necesidades de seguridad, resiliencia y cumplimiento de las entidades financieras”.
Trabajar de forma continua con todos los actores del sector
Y es que, como puso de manifiesto Del Campo, «los riesgos de terceros para las organizaciones comprenden un amplio abanico, desde el incumplimiento de normas de la entidad a otros financieros, de país, reputacionales, operacionales o tecnológicos«. «En este sentido, en su ámbito de operación, fundamentalmente la ciberseguridad, Pinakes contribuye a obtener evidencias fidedignas del cumplimiento del proveedor».
De hecho, como remarcó Hornos, «IBM trabaja de forma continua con todos los actores del sector financiero: con los clientes para definir soluciones, con los reguladores y supervisores para facilitar el cumplimiento y proporcionar las certificaciones y acceso de supervisión necesarios, y con asociaciones del sector como el Centro de Cooperación Interbancaria para simplificar el proceso de gestión de riesgos en terceros mediante auditorias anuales y calificación de sus servicios a través de Pinakes».
Una colaboración que se haya en la clave de la buena gestión de riesgos de terceros pues, como quedó reflejado en la mesa, «se está consolidando como una solución muy atractiva por la simplificación y ahorro de costes asociados al cumplimiento y supervisión de los servicios de terceras partes».