Auditorías

Creo que este tiempo no ha sido muy favorable para la postura de seguridad en uno de los sectores con mucha relevancia tanto para la sociedad como para la industria de la tecnología y seguridad.
Los ataques informáticos ocurridos tanto en MEXICO como en CHILE dejan expuestas condiciones de seguridad mas allá de vulnerabilidades puntuales que puedan o no ocurrir.
No estamos hablando de entidades atacadas, o algún Banco victima de estos hechos de manera puntual, sino del efecto y el impacto que esto nos deja en la percepción de seguridad que debería acompañar todos estos procesos de banca digital, FINTECH, digitalización, agilidad, etc, etc.
Sin duda se debe tomar en cuenta diferentes factores, por ejemplo:
• El sector de entidades financieras es uno de los que mas esfuerzo hace en materia de regulación e inversión en seguridad de la información, en todo el mundo y por muchos años. No es un tema nuevo.
• Tanto México como Chile son lideres en temas de seguridad tanto a nivel profesional como consumidores de todos los productos y servicios internacionales de seguridad. Es decir, no es un tema de recursos o conocimiento estándar que haya podido o este faltando.
Solo si tomamos este par de variables, me quedo pensando en el estado de incertidumbre que ambos casos nos dejan de manera puntual y no vamos a abundar en otros antecedentes de inseguridad que dia a dia se publican.
¿Estamos haciendo bien nuestra tarea de seguridad? ¿Toda la inversión está justificando un adecuado nivel de seguridad? ¿O no importa cuánto hagamos si existe cierto nivel de ataques que no podremos detener de la manera convencional que conocemos?
¿El nivel regulatorio es cada país es suficiente? ¿Se está haciendo la inversión suficiente y razonable?
La reacción en Chile tiene sus bemoles “el senador Felipe Harboe criticó la exposición del Superintendente, planteando que “el banco no transparentó la información cuando debía hacerlo y ustedes como SBIF solo actúan como portavoces del banco, lo que me parece insólito. Todo indica que no tienen la capacidad para hacer auditorias en esta materia. No entiendo cómo monitorearon el caso a distancia si el problema era interno”.”

Por supuesto que muchos legisladores en realidad NO ENTIENDEN ni siquiera el problema o la magnitud de esto. Como ejemplo también dejo la entrevista a Mark Zuckerberg en el Senado de EEUU.
Me deja pensando en posibles respuestas en diferentes niveles:
• ¿Qué hacemos como país para fortalecer el marco legal y regulatorio, pero garantizando que tenemos la capacidad técnica para valorar los esfuerzos que se hagan?
• Sera suficiente pedir más inversión en seguridad? Conocemos de situaciones y trabajos de consultoría que se hacen con mucha expectativa, pero al final el trabajo operativo queda en lo mismo.
• ¿Tendremos que traernos más CONSULTORES que llegan con supuestas soluciones, pero que no las estamos pudiendo aplicar? Al final del modelo a la realidad hay una brecha cultural y humana.
• ¿Tendremos que capacitar a nuestra gente en eventos internacionales donde más allá de pasarla bien y SABER MAS, nos quedamos en los mismo? Nos llenamos de títulos y certificaciones, pero seguimos en lo mismo.
• ¿Tendremos que comprar MAS soluciones con LA ULTIMA TECNOLOGIA que cada año parece ser la SOLUCION MAS ADECUADA, pero al siguiente año aparece otra que es MEJOR y seguimos como perro que quiere morderse la cola?

¡¡De algo estoy seguro!! No tenemos soluciones en paquete, que vengan made in …. Todo tiene que ser un proceso sostenible. Se debe garantizar un crecimiento con planes estratégicos no de 3 años, sino de 10 mínimamente. A diferencia de la situación en un ESTADO, las empresas, BANCOS en este caso, tienen muchos años, algunas pasan hasta los 100. Entonces deberían tener una estabilidad funcionaria, bajo un plan estratégico mínimo de 10 años para construir entornos equilibrados entre la protección y la capacidad de identificar y reaccionar antes estos ataques. Las soluciones no van por productos, servicios o consultores. Debe estar en todos los funcionarios que con instrumentos adecuados pueda responder a un ataque.
¿Necesitamos el apoyo país y región? Por supuesto, pero no con matices políticos, sino estratégicos. Vemos por ejemplo que cada año participamos como país en todo tipo de eventos de seguridad y ciberseguridad, pero nada de eso se plasma en acciones. Quedan fotografías y buenos recuerdos para quienes asistieron y nada más.
La inseguridad nos está desbordando y como dicen “La fuerza debe ser interior”, no aparecerán remedios maravillosos. La Seguridad no es un producto o un servicio, sino un proceso de cambio y mejora permanente, pero no necesariamente de un estándar escrito como ejemplo. Existen hábitos que deben ser cambiados de forma ACELERADA.