Tras fallas en ciberseguridad, EEUU publica una guía para instituciones financieras
[private]Fecha: 4 de marzo de 2014
Por: Brian Kindle
Entrados apenas dos meses de 2014 y ya está demostrando ser el año de la violación de datos. Primero a la compañía estadounidense Target, donde se expuso la información de tarjetas de débito y crédito y datos personales de 110 millones de personas a defraudadores cibernéticos y ladrones de identidad. Le siguieron violaciones a la seguridad de datos en Neiman Marcus y en las cadenas hoteleras Marriott y Hilton.
Tras estos escándalos, algunos de los bancos más grandes y proveedoras de servicios de tarjetas de EEUU fueron golpeados duramente por el fraude con tarjetas, que los llevó a gastar recursos de cumplimiento para vigilar cuentas y buscar actividad fraudulenta. Ahora, los sectores público y privado de EEUU están finalmente armando una respuesta a la enorme cantidad de amenazas de ciberataques.
A principios de este mes, el gobierno de EEUU dio un paso importante para mejorar el escenario de la ciberserseguridad con el lanzamiento del esperado «Marco de Seguridad Cibernética», emitido por el Instituto Nacional de Normas y Tecnología (NIST por sus siglas en inglés).
Dirigido a la «infraestructura crítica» del país, incluido el sector de servicios financieros, el Marco –de 41 páginas— combina las mejores prácticas y herramientas que las empresas pueden utilizar para construir o aumentar sus programas de seguridad cibernética. El Marco es puramente voluntario, aunque los analistas dicen que podría sentar las bases para una legislación formal.
El presidente Obama anunció por primera vez sus planes para fortalecer las políticas de ciberseguridad de Estados Unidos en 2013. Desde entonces, el NIST ha estado construyendo el Marco basado en los comentarios, retroalimentación y la participación de más de 3.000 personas y organizaciones, incluyendo las firmas de seguridad cibernética, agencias gubernamentales, y cientos de empresas e instituciones financieras.
La colaboración intersectorial, que nutrió la creación del Marco podría ser tan importante como el producto final. En el pasado, los esfuerzos por reforzar la seguridad cibernética entre las organizaciones de Estados Unidos a menudo se han visto paralizados por los argumentos sobre quién debe ser responsable de sobrellevar el peso de los costos y la responsabilidad cuando se producen los ataques cibernéticos.
El Marco subraya una nueva colaboración entre el sector financiero de EEUU y otros
Las instituciones financieras de Estados Unidos y los negocios minoristas han debatido duramente sobre quién es el culpable de las violaciones de datos a gran escala, como es el caso de Target. Se han criticado mutuamente por su falta de voluntad para implementar nuevos sistemas para la validación de tarjetas de crédito y débito que ayudarían a corregir las debilidades explotadas constantemente por los delincuentes.
El marco NIST y el proceso que llevó crearlo sugiere que las instituciones y las empresas estadounidenses se están alejando de las luchas internas y se encuentran en camino de una mayor cooperación, dice Sam Visner, Vicepresidente y Gerente General de la Seguridad Cibernética para CSC, una firma global de consultoría de tecnología de la información.
El marco del NIST también puede ser una oportunidad para que las instituciones financieras tomen un papel de liderazgo en el fortalecimiento de los programas de seguridad cibernética del sector privado.
A través de las asociaciones de la industria, como la Financial Services Information Sharing and Analysis Center, un foro para el intercambio de datos de seguridad cibernética, las instituciones de Estados Unidos crean canales para el intercambio de información sobre las amenazas cibernéticas. Las instituciones también se enfrentan a un conjunto de requisitos por parte de los reguladores estatales y federales para los programas de seguridad cibernética.
«La industria de servicios financieros sigue siendo el estándar de oro en materia de ciberseguridad», dice Tom Patterson, Lider Global de la práctica de consultoría de ciberseguridad de CSC. «En general, el sector privado busca el liderazgo del sector financiero, y hay optimismo de que las instituciones financieras asumirán [este Marco] y lo implementarán».
El Marco enlista las principales funciones de la ciberseguridad y resalta el enfoque basado en el riesgo
El Marco, que fue diseñado para ser muy abarcativo y aplicable a una amplia gama de instituciones y empresas, comienza por identificar las funciones básicas de un programa de seguridad cibernética – «identificar, proteger, responder y recuperar».
A partir de ahí, el Marco se ocupa de elementos más técnicos, proporcionando «Categorías» de las funciones específicas de seguridad cibernética como «control de acceso» y «procesos de detección». También se incluye una lista exhaustiva de las «referencias informativas» o enlaces a guías y mejores prácticas para la elaboración de las políticas y procedimientos recomendados.
Como señala el Marco, el objetivo no es describir una función de seguridad cibernética que sirva para todas las organizaciones, sino ofrecer a las mismas una referencia para juzgar su programa actual, y una herramienta para hacer las evaluaciones y realizar mejoras.
A tal efecto, el Marco establece cuatro «niveles» en los que puede ubicarse a una organización, con base en la eficacia de sus funciones de seguridad cibernética. Las organizaciones del Nivel 1 tienen programas de seguridad cibernética «parciales», mientras que los Niveles 2 y 3 son «Riesgo Informado» y «Repetible» en sus políticas y procedimientos. En el nivel más alto, el nivel 4, las organizaciones tienen programas «Flexibles» para responder de manera proactiva a los nuevos riesgos y compartir información con otros de manera continua.
Si bien el Nivel 4 es considerado el ideal, el Marco hace hincapié en que no todas las instituciones y empresas tienen que estar a ese nivel. Se recomienda que las organizaciones dirijan sus programas de seguridad cibernética basándose en los riesgos que enfrentan, un enfoque similar a los campos de cumplimiento de delitos financieros.
Las costosas fallas en la seguridad de datos llama la atención de la alta gerencia
Para las instituciones financieras de Estados Unidos, los riesgos cibernéticos siguen aumentando, al igual que los gastos para remediar la situación luego de una violación de datos. La asociación de EEUU Consumer Banker’s Association estimó recientemente que el reemplazo de la mitad de las tarjetas de crédito y débito afectadas por la violación de los datos en el caso Target ha costado a los bancos estadounidenses más de US$ 240 millones.
Hay un lado positivo a la reciente ola de violaciones de datos y robos cibernéticos: la ciberseguridad está en el radar de la alta dirección de las organizaciones.
«Ahora paso más tiempo hablando con los ejecutivos que con los técnicos», dice Patterson. «Esto se ha convertido en un problema a nivel del directorio».
«Los ejecutivos tomaron conciencia que la ciberseguridad no es solo el costo de hacer negocios», añade Visner. «El costo podría ser el negocio mismo».
Lea el Marco de Seguridad Cibernética
Lea el mapa NIST que acompaña al Marco[/private]