La timidez de la regulación en seguridad y la falta de métricas
Sin duda tener un marco regulatorio muy tímido para establecer aspectos tangibles y objetivos es tan malo como no tener dicho marco.
Resulta que en materia de Seguridad y Auditorias de sistemas tenemos 17 años aproximadamente de marco regulatorio, pero se aplica desde Bancos hasta cooperativas pasando en su momento por las diferentes entidades reguladas en el sector financiero.
Sin duda ha sido un proceso de maduración, pero en 17 años ya debió haber madurado. Y no estamos haciendo referencia a que el gobierno actual esta solo 10 años, sino que el sistema de regulación ya lleva muchos años con esta responsabilidad.
Desde la recordada circular SBEF 443/03 que tuvo varias versiones modificadas en su momento hasta la circular ASFI 395/16 vemos que la subjetividad e interpretación del regulado se ha mantenido. Incluso ahora se ha adicionado un trozo que mas parece un rezo que un hecho regulado “En función del tamaño, la complejidad de las operaciones…”, es decir, la seguridad debe ser interpretada por el regulado en función de sus características, pero esto no funciona de esa manera. Casi el total de regulados pertenecientes a un sector donde manda la rentabilidad sabe que la mejor ecuación es aquella donde se maximiza la utilidad reduciendo los costos y gastos.
Estamos fallando desde la concepción de los proyectos. Recién en la circular ASFI 395/16 se han animado a colocar que las EEFF, por ejemplo deben solicitar la NO objeción al ente regulador para implementar servicios en la nube. Por cierto algo muy curioso por cuanto la nube es un concepto que se usa desde el primer momento que se ha colocado un sitio web y una pagina. La regulación no es retroactiva entonces solo aplica a los nuevos proyectos cuando debería obligar que TODOS envíen su solicitud no para nuevos servicios, sino para mantener los actuales.
Por que pensar en los proyectos? Simple. En este momento el negocio debe analizar los riesgos y la seguridad sera un elemento a tomar en cuenta. Es en este momento que por ejemplo la regulación debe ser especifica y obligar que por lo menos el 10 o 20% de la inversión en un proyecto este destinada a su seguridad.
Tenemos servicios que salen sin adecuadas medidas de seguridad, impulsados por las áreas de negocio, marketing y publicidad. Las medidas de seguridad se verán luego!! Algo que muchas veces no llega hasta que surgen problemas.
Las auditorias de cumplimiento tienen diferentes riesgos inherentes, por un lado se ha observado que el factor humano esta afectando cuando el revisor no tiene las barbas suficientes, o dicho de manera mas formal, no tiene la experiencia y conocimientos suficientes para evaluar el riesgo y su nivel de cumplimiento en la entidad auditada. Si a esto sumamos que el marco regulatorio en su característica de timidez, ha definido su mismo nombre como “Requisitos mínimos..” entonces el regulado siempre esta en la posibilidad de cumplir con ellos. Desde una cooperativa de nos mas de 10.000 clientes, hasta un banco con casi un millón. dicho de forma mas cruda, con la regulación subjetiva, el regulado despista al regulador!!
Que se puede hacer?
Sin duda muchas cosas, pero ahora que se esta tocando por ejemplo la medida de lo significativo, se debería establecer proporcionalidad numérica.
La inversión en seguridad durante cada gestión debería ser aproximadamente el 20% (por dar un ejemplo), pero esto deberia ser propio de cada proyecto de negocio.
- Si lanzo un producto en redes sociales, este debe tener su proyecto y debe reflejar la asignacion de un 20% en temas de control de prevención, detección y correcion.
- Si lanzo una nueva agencia, lo propio, minimamente el 20% costaran las cámaras, guardias, seguridad fisica y otros.
- Si tengo un sitio web transaccional, lo propio. sistemas antiphishing, firewalls de aplicacion, firewall de base de datos, etc.
En general si pensamos en seguridad de la información, todos los recursos orientados a la prevención, detección y corrección de incidentes y violaciones de seguridad van a su presupuesto.
También en términos generales se puede llegar a imponer que el x% del patrimonio debe haber sido invertido en Seguridad, de esa manera la misma regla es aplicada a un banco múltiple, pyme, EFV, cooperativa o servicios complementarios. Lo que para un Banco múltiple es insignificante, puede ser vital para una cooperativa de ahorro y crédito.
Actualmente el ítem seguridad se negocia como pidiendo una limosna cuando debería ser obligatorio para cada negocio.
Así como esta métrica se puede disponer que personal en seguridad de la información debería ser por lo menos un 1 a 3 % de la cantidad de usuarios. Y no estamos hablando de auditoria por cuanto ahí también tenemos un problema. Hacer una revisión anual de auditoria de sistemas es demasiado extemporáneo. El control de seguridad debe ser muy cercano al hecho ocurrido. Entonces lo que se debe reforzar son herramientas de seguridad y personal que monitoree los resultados.
En conclusión, volvemos a la rememorada frase. “si no se puede medir, no se puede administrar”, las métricas serán comunes, pero los indicadores harán la diferencia en cada tipo de Entidad Financiera. Es tiempo que el regulador le ponga los cascabeles al gato en materia de seguridad de la informacion!!