Los CISO, una prioridad para la banca

Rubén García Ramiro    27 noviembre, 2019
ciso-en-banca

Ninguna compañía de servicios financieros puede permitirse pasar por alto el riesgo constante al que están expuestas por parte de los ciberdelincuentes sus activos o los datos de sus clientes. La posibilidad de fraude es una constante. Recientemente -los ejemplos no escasean- se detectaba un nuevo troyano con capacidad de recoger información y enviar SMS, que amenazaba a ocho bancos españoles. Se trata de amenazas cada vez más elaboradas, que obligan a estar siempre alerta. Sobre todo a los CISO en banca.

El objetivo principal del CISO no es proteger la tecnología sino salvaguardar el negocio. Se trata, por ello, de un puesto que ha cobrado especial relevancia. El CISO en banca ha escalado peldaños en las estructuras organizativas a través de una mayor representación en la junta directiva y reporta directamente al CEO. Su capacidad para manejar presupuestos y tomar decisiones de forma independiente es imprescindible en la actualidad en una entidad financiera. Es una figura que está adquiriendo cada vez más poder en estos entornos para ayudar a mitigar los problemas de seguridad que pueden afectar al banco.

Las entidades financieras han sido históricamente el principal objetivo de atracos y robos. Todo evoluciona y en el lado oscuro también. Ahora la dificultad crece al tener que hacer frente a ciberdelincuentes cada vez más preparados. Cada uno de los clientes de la entidad es, además, un potencial flanco débil para la seguridad de la misma. Si esto lo sumamos a que el resultado de los ataques se traduce en cuantiosas cantidades, tenemos la justificación perfecta de porqué los CISO son una prioridad para la banca, además de por temas de reputación evidentes.

Normativa de obligado cumplimiento para el CISO en banca

Tienen, además, una responsabilidad cada vez mayor de cara a la aplicación de la abundante normativa existente. Y es que más allá del conocido RGPD, hay otras leyes de obligatorio cumplimento en torno a los servicios financieros:

Protección de infraestructuras criticas: La Ley 8/2011 de 28 de abril define una infraestructura crítica como “aquélla cuyo funcionamiento es indispensable para prestar servicios esenciales a la ciudadanía y que no puede ser sustituida por una solución alternativa”. Dicha ley establece la clasificación de los sectores estratégicos, siendo uno de ellos el financiero.

Directiva NIS: Para profundizar en la protección de los servicios esenciales nace la directiva (EU) 2016/1148 el 6 de julio de 2016, en la que se destacan ocho sectores esenciales objeto de protección, entre los que se incluyen la banca y las entidades de crédito.

PCI DSS (Payment Card Industry Data Security Standard): Es un estándar de seguridad que recoge los requerimientos que deben cumplir todas las empresas que aceptan, procesan o transmiten los datos de tarjetas de crédito o débito para proteger la información de las mismas.

SWIFT: La pertenencia a esta organización es una garantía, pues proporciona una red segura, cuya normativa debe cumplirse, que permite que más de 10.000 instituciones financieras de más de 200 países envíen y reciban información sobre transacciones financieras entre ellas.

Directiva PSD2: la nueva directiva (UE) 2015/2366 de 25 de noviembre de 2018 es la más reciente y, en lo que a medios de pago se refiere, desde el punto de vista de la regulación la mayor novedad es que incluye aspectos relevantes en cuanto a las medidas de seguridad que afectarán tanto a los prestadores de los servicios de pago, como a los nuevos negocios que puedan surgir al amparo de esta regulación.

Y el propio nombramiento obligatorio de un responsable de seguridad, un Director de Seguridad de la Información (CISO), que será responsable de implementar el programa de ciberseguridad para que su entidad cumpla con la normativa necesaria.

El DOC de Telefónica Empresas, aliado para la seguridad del negocio

El papel del CISO, como decía al comienzo, se está volviendo cada vez más importante para las empresas de servicios financieros, motivado principalmente por la importante carga de cumplimiento que deben adoptar y la “suculencia” de su negocio.

Por ello, son múltiples las entidades financieras que confían en el SOC de Telefónica Empresas, bajo el paragüas del DOC, para supervisar que dichos ataques no lleguen a materializarse. Esto incluye desde la supervisión de app fraudulentas, phishing o robo de credenciales, sin olvidar, claro está, los sistemas de prevención y detección (AntiDDoS, WAFaaS, IPSs, seguridad en endpoints, gestión de identidad y usuarios privilegiados…). Todo ello con el fin de ser el partner que necesita el CISO para poner a salvo el negocio.

Imagen: Freepik

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *