Los bancos han sido los principales y más involucrados jugadores en el desarrollo de herramientas para prevenir, evitar o remediar ciberataques, que van más allá de las amenazas como los ataques DDOS o el ransomware —aunque estos dos siguen siendo los más importantes— y que hay que tratar, como el robo de identidad o el fraude. Los bancos no tienen que proteger sólo sus propios datos sino también los de sus clientes y, más que nada, los dineros. Siguiendo con la serie de entrevistas a CISOs que hemos comenzado hace poco, hoy le toca a Pedro Adamović, CISO del Banco Galicia.
¿Por qué un CISO y no simplemente un CIO o un CTO?
El CIO o CTO tiene diferentes responsabilidades a las del CISO. El primero tiene la responsabilidad de implementar tecnologías, servicios y más aún en este proceso de transformación digital. Mientras que la principal función del CISO es que tanto las tecnologías, servicios y procesos se realicen de manera segura, contemplando desde la protección de la información de la empresa y clientes hasta la mitigación de todos los potenciales riesgos que puedan surgir de estas nuevas tecnologías.
Las funciones del CIO/CTO y el CISO convergen en el permanente acompañamiento al negocio, logrando resultados tecnológicos y seguros a la vez.
En un contexto en el cual no sólo hay que resguardar la seguridad de los datos de la empresa (el banco, en este caso) y, además, los datos de los clientes, ¿Cuáles serían los puntos principales de una política de seguridad?
Fundamentalmente tener una fuerte política de prevención de fuga de información, trabajar permanentemente la concientización interna e implementar tecnologías de control del movimiento de la información sensible. También tenemos servicios de inteligencia analizando la información que se pueda encontrar en la Dark Web.
La seguridad de los datos es una combinatoria de procesos de control, concientización permanente y tecnologías adecuadas.
¿Cuáles son las principales amenazas que enfrentó un banco en los últimos años? ¿Cuáles serán en el futuro?
Las principales amenazas son las mismas para todos los bancos a nivel mundial. Principalmente, los bancos deben protegerse de los APTs (Advance Persistence Threat), donde los atacantes explotan vulnerabilidades de manera muy sigilosa y pueden estar dentro de las compañías durante meses hasta realizar el “golpe final” en el momento más adecuado.
También tenemos una nueva ola de ataques de DDOS en toda la región con sobornos mediante y, por supuesto, la estrella de estos tiempos que es el Ransomware, combinado con exfiltración de información.
Con respecto al futuro las amenazas serán cada vez más complejas y dirigidas. Es por eso que la Inteligencia Artificial, Machine Learning, Automatización y Control y Monitoreo serán aliados fundamentales para poder luchar bajo condiciones similares contra los grupos organizados de ciberdelincuentes de todo el mundo.
Como punto fundamental, debemos estar siempre preparados para poder reaccionar ante un incidente, por lo tanto, la capacidad de resiliencia de una organización será clave en el futuro cercano.
¿Hay diferencias entre prevenir un fraude y prevenir un ataque?
Si, fundamentalmente es que los móviles de los ataques no siempre son fraudes. Pueden ser extorsiones, ataques hacktivistas o espionaje. Por ende, prevenir un fraude cibernético sería un subconjunto de un ciberataque.
Cuando piensa en la arquitectura de seguridad ¿es lo mismo en el datacenter que en la nube?
No, claro que no, pero los tiempos han cambiado. Si me hacían esta pregunta hace 10 años no dudaba en defender a capa y espada el datacenter. Hoy todos entendemos que el camino a la nube es indefectible.
La nube nos trae muchas soluciones de seguridad, pero también muchos nuevos riesgos que debemos saber gestionar. Debemos adaptarnos a esta nueva realidad e invertir en seguridad inteligentemente.
¿Qué opina de la seguridad que ofrecen los proveedores de nube, es suficiente o hay que complementarla con algo más?
Como comentaba anteriormente, los proveedores de nube nos resuelven muchos problemas de “cyber-hygiene” u otros teniendo en cuenta el nivel de inversión que tienen y su nulo nivel de obsolescencia, pero definitivamente los proveedores no son responsables absolutos por la seguridad de nuestra empresa. Debemos complementarlo con tecnología, controles y profesionales suficientemente capacitados para afrontar estos nuevos retos.
También es sumamente importante determinar los límites en las responsabilidades entre el proveedor y nuestra empresa.
