Tenable y el Servicio Comercial de la Embajada de Estados Unidos en México organizaron el foro “Seguridad Cibernética para el Sector Financiero” donde se expusieron las mejores prácticas en seguridad cibernética, así como los avances en regulación y legislación en dicho ámbito.
Durante este evento, Jamie Brown, director de Asuntos Gobierno de Tenable, destacó que la transformación digital ha crecido eficientemente, pero al mismo tiempo han surgido nuevas cibervulnerabilidades. Reconoció que en el ámbito gubernamental global se está dando prioridad a este tema, tan es así que se trabaja en regulaciones y legislaciones.
El directivo informó que el número de vulnerabilidades conocidas ha ido en crecimiento, tan solo durante el año pasado fueron publicadas 16,500 nuevas vulnerabilidades y exposiciones comunes (CVEs), mientras que en 2017 se registraron 15,038 y en 2016 en 9,837. La empresa promedio encuentra CVE en 960 activos de TI diariamente.
Más adelante, Jamie Brown comentó que la superficie de ataque está cambiando, e hizo referencia a los siguientes aspectos: Tecnología de la Información tradicional; Cloud, la infraestructura crítica comienza a migrar a la nube, si bien reduce costos, afecta el control de seguridad; IoT/OT, las operaciones industriales también está expuesta a riesgos informáticos cotidianos; contenedores, DevOps disminuye el tiempo de entrega para servicios de TI, pero aumenta la falta de visibilidad.
Jamie Brown, director de Asuntos Gobierno de Tenable.
Con relación a las políticas de ciberseguridad global, el directivo mencionó un Plan de Acción de Ciberseguridad, donde debe contemplarse cinco objetivos estratégicos institucionales: seguridad en dispositivos y arquitectura; seguridad de la red; colaboración en seguridad y derecho; cultura de la ciberseguridad, y colaboración en la implementación de la NCS.
Además de prácticas de ciberseguridad de SPEI para las instituciones miembros y Ley general para la protección de datos personales, aquí se requiere que cada controlador de datos implemente y mantenga medidas de seguridad administrativas, técnicas y físicas, que impidan la información personal de cualquier pérdida, alteración, destrucción u otro acceso y uso no autorizado.
Avances en regulación de ciberseguridad
En el marco de este evento, Gilberto A. Pérez H., director general adjunto de Regulación Estructural de la Comisión Nacional Bancaria de Valores, habló sobre las acciones implementadas en México para el fortalecimiento de la ciberseguridad y estabilidad del Sistema Financiero. Al respecto hizo hincapié en la Estrategia Nacional de Ciberseguridad, la Firma de los cinco principios de ciberseguridad, la Creación del Grupo de Respuesta a Incidentes (GRI), el Fortalecimiento de regulación en Ciberseguridad y nueva área, Protocolos de comunicación y Framework de ciberseguridad (OEA), por mencionar algunos.
El directivo destacó la importancia de mantener una coordinación efectiva entre las autoridades financieras, con el fin de determinar los principios aplicables en materia de seguridad de la información en el ámbito de sus respectivas competencias.
Pérez mencionó también algunos de los principios normativos para entidades financieras: gobierno corporativo en el que la seguridad informática ocupe un lugar central; esquemas de protección de datos robustos; administración de riesgos de seguridad de la información; controles de seguridad en los puntos de acceso; protocolos de respuesta a incidentes; identificación de exposición a riesgos por parte de terceros (proveedores y usuarios); políticas de protección a la infraestructura y sistemas, así como programas de educación y fomento de una cultura de seguridad informática.
Gilberto A. Pérez H., director general adjunto de Regulación Estructural de la Comisión Nacional Bancaria de Valores.
Gilberto Pérez citó las tres regulaciones que la CNBV ha emitido en materia de seguridad de la información aplicables a las casas de bolsa (23 de junio de 2017), a las instituciones de crédito (27 de noviembre de 2018) y la más reciente (25 de marzo de 2019), a las instituciones de financiamiento colectivo (crowdfunding). “Estas regulaciones tienen como finalidad reforzar los controles internos con los que deberán contar, estableciendo un régimen que procure garantizar la seguridad de la infraestructura tecnológica en que se soportan sus operaciones y la confidencialidad, integridad y disponibilidad de la información, a fin de que cuenten con medidas específicas, tendientes a proteger su información, certeza en su operación y continuidad de los servicios”, indicó el directivo.
Priorización predictiva en vulnerabilidades
Al termino del evento, Daniel Salomón, gerente sector Empresa de Tenable, se refirió al concepto de Cyber Exposure: “es la capa entre el riesgo que estás tratando de controlar y todo lo que está afuera de ese alcance. Un estudio de Verizon indica que la mayoría de las vulnerabilidades fueron explotadas después de un año de haber sido publicadas”.
Daniel Salomón, gerente sector Empresa de Tenable.
Reveló que el atacante tiene siete días de ventaja sobre lo que el usuario está haciendo. Por ello, la priorización predictiva, da eficiencia y efectividad, pues ayuda a las organizaciones a reducir su riesgo empresarial al concentrarse en la vulnerabilidades con mayor probabilidad de ser explotadas.
Por último, Daniel Salomón recomendó a las organizaciones hacerse las siguientes preguntas: 1) ¿Cuál es el nivel de riesgo en toda nuestra superficie de ataque?; 2) Basados en dicho riesgo, ¿cómo deberíamos estar priorizando; 3)¿Cómo estamos mejorando en el tiempo?, y 4) ¿Cómo nos comparamos?
