Para conocer las mejores prácticas de ciberseguridad, consulte la industria financiera

Publicado originalmente en Regulación Asia.

Con el aumento de los ciberataques «que afectan a todos los tipos de organizaciones en todos los sectores», la amenaza de violaciones de datos costosas, embarazosas y que afectan a los resultados es muy real. El problema no se está reduciendo, sino que está creciendo como un tumor.

A menudo me piden que dé ejemplos de qué organizaciones están combatiendo este problema, navegando por el «salvaje oeste» de las mejores prácticas de ciberseguridad y AppSec con especial delicadeza y dominio. Me doy cuenta de una respuesta con más frecuencia que otras: es el sector financiero el que lo está haciendo mejor que la mayoría.

La regulación: un factor determinante en el liderazgo de la industria financiera en ciberseguridad

Una de las razones por las que el sector financiero desempeña tan bien su papel en el ámbito de la AppSec es que (al menos en parte) se debe a la preocupación de los reguladores mundiales, regionales y nacionales por los impactos universales, por no decir catastróficos, que podrían resultar de un ataque de ciberseguridad o un robo de datos exitosos.

El BCBS (Comité de Supervisión Bancaria de Basilea) publicó un informe en diciembre, que detalla la gama de prácticas de ciberresiliencia observadas por bancos, reguladores y supervisores en múltiples jurisdicciones. Entre sus principales conclusiones figura el problema de la escasez de competencias en ciberseguridad, un factor al que solo unas pocas jurisdicciones se han esforzado por hacer frente mediante la implementación de cibercertificaciones específicas.

«Algunas jurisdicciones tienen estándares específicos de TI que abordan las responsabilidades de la fuerza laboral de TI y las funciones de seguridad de la información, con especial atención a la capacitación y las competencias de la fuerza laboral en ciberseguridad», señala el informe. Sin embargo, la mayoría de las jurisdicciones se encuentran en las «primeras etapas» de la implementación de prácticas de supervisión para monitorear las habilidades y los recursos de la fuerza laboral cibernética de un banco.

En su mayor parte, los esquemas regulatorios requieren que las entidades reguladas gestionen los riesgos, pero rara vez existe una vía clara para mitigar con éxito este riesgo. No establecen requisitos específicos (ni, de hecho, puntos de referencia) para abordar las habilidades y los recursos de la fuerza laboral en materia de ciberseguridad. La mayoría de los reguladores evalúan el personal de ciberseguridad de las instituciones mediante inspecciones in situ, en las que los cuestionarios de autoevaluación son una práctica habitual y los procesos de formación son objeto de un análisis minucioso, pero solo en unas pocas jurisdicciones los reglamentos abordan específicamente las funciones y responsabilidades del personal de TI. En pocas palabras, el margen de error es grande y el énfasis en la formación adecuada y la posterior evaluación de las habilidades es bastante pequeño.

En Japón y Corea del Sur, las autoridades públicas han establecido directrices sobre la gestión adecuada del personal de ciberseguridad. Sin embargo, en la mayoría de las demás jurisdicciones, los requisitos reglamentarios para la gestión de la fuerza laboral cibernética se limitan a las expectativas de los supervisores, donde los supervisores no suelen evaluar las habilidades de ciberseguridad y la formación del personal de las organizaciones reguladas.

Solo Hong Kong, Singapur y el Reino Unido han emitido marcos específicos para certificar las habilidades y competencias de la fuerza laboral cibernética. Si bien palabras como «cumplimiento» y «certificación» suelen dar escalofríos al desarrollador promedio creativo y resolutivo que se encarga de crear excelentes funciones de software (con ellas, la seguridad suele considerarse un problema de otra persona, es decir, del equipo de seguridad), la enorme cantidad de datos confidenciales que contienen muchas entidades reguladas es simplemente demasiado valiosa para dejarla en manos de quienes «asumen» sus habilidades en lugar de verificarlas adecuadamente.

Afortunadamente, muchas instituciones bancarias y financieras lo reconocen sin depender necesariamente de una vía reguladora obvia. No cabe duda de que las normativas proporcionan una visión general de las expectativas en materia de resultados finales (es decir, un software seguro), pero han identificado que, para lograrlo, es necesario evitar la escasez de habilidades en ciberseguridad mediante la formación de los desarrolladores, el fomento de su relación con los profesionales actuales de AppSec y la creación de una cultura de seguridad positiva que fomente la responsabilidad y la propiedad.

¿Por qué la industria financiera tiene el «factor X» de ciberseguridad?

Hay algunos elementos en juego para las empresas del sector bancario, servicios financieros y las industrias de seguros, que se unen como pilares de fortaleza en los que se basa su posición de liderazgo en el panorama de la ciberseguridad.

Naturalmente, como guardianes de las finanzas mundiales (sin mencionar los millones de registros de datos altamente confidenciales), suelen ser organizaciones reguladas y impulsadas por el cumplimiento: se esperan y planifican directrices, reglamentos y requisitos actualizados de manera significativa. Como resultado, se adaptaron como patos al agua con las necesidades cambiantes de mitigar el riesgo cibernético, con algunas de las políticas de mejores prácticas de ciberseguridad más estrictas, así como procesos integrales para reducir su exposición a posibles ataques.

Entonces, ¿qué están haciendo las instituciones financieras de manera diferente a las demás? Según mi experiencia, han sentado las bases para ser más conscientes de la seguridad que otras, identificando la necesidad y dedicando recursos a programas de formación holísticos no solo para los profesionales de AppSec y las personas que realizan pruebas de penetración, sino también para sus equipos de desarrollo (que suelen ser muy grandes y están dispersos por todo el mundo).

Dado que la ciberseguridad es relativamente nueva en la mayoría de las organizaciones, resulta alentador que las instituciones financieras tengan una mentalidad verdaderamente abierta e innovadora en su búsqueda por ofrecer un software seguro y protegido. Muchos han visto el beneficio de mejorar las habilidades de la cohorte de desarrollo con formación atractiva que los lleva fuera del aula y los lleva a una experiencia de aprendizaje práctica y relevante que les ayuda no solo a solucionar problemas, sino también a comprender la importancia de la codificación segura en general.

Después de todo, la codificación segura es un ingrediente clave para forjar una relación sólida y funcional entre los desarrolladores y el equipo de AppSec, así como para mantener una cultura de seguridad sólida dentro de la empresa. Otro factor clave que impulsa el éxito de un programa de seguridad es garantizar que las partes interesadas clave participen y vean los beneficios, incluso si no son profesionales de la seguridad.

Las instituciones financieras tienden a comunicarse bien con la dirección ejecutiva, lo que garantiza que los responsables de la toma de decisiones de alto nivel comprendan que los procesos de seguridad no son medidas de «establecer y olvidar»; deben evolucionar con la misma rapidez que la tecnología que se utiliza y adaptarse a los riesgos variables.

Puede que ahora cueste tiempo y dinero, pero dado que las vulnerabilidades son treinta veces más caras de corregir en el código comprometido, un programa de seguridad completo «que incluya formación desde cero» supone un ahorro de dinero a largo plazo: es mucho más barato cuando los problemas de seguridad se solucionan tal como los escriben desarrolladores conscientes de la seguridad.

Los estándares de seguridad comienzan a seguir el ritmo del creciente riesgo

Un importante impulsor del cumplimiento cibernético para el sector financiero proviene de la Consejo de normas de seguridad PCI, que mantiene su compromiso de ayudar a las organizaciones financieras a implementar políticas de seguridad viables y a cumplir las directrices en todos los ámbitos. Han sido una fuerza positiva al ayudar a esta vertical a alcanzar uno de los estándares de seguridad más altos en el software de pagos.

Sin embargo, hay que decir que muchos de nuestros clientes del sector financiero han superado incluso las directrices actuales del Consejo de Normas de Seguridad de la PCI. Si bien estas directrices recomiendan la formación de los desarrolladores (como se ha mencionado anteriormente junto con otros ejemplos de información reglamentaria), no especifican un tipo concreto ni un punto de referencia determinado que se deba cumplir para indicar que la formación ha sido eficaz.

Con muchas vulnerabilidades, como la inyección de SQL y las secuencias de comandos entre sitios (XSS), que se han mantenido durante más de veinte años (y siguen causando problemas en 2019), está claro que no toda la formación es igual o eficaz. Al adoptar una formación segura, práctica y gamificada, los bancos y otras empresas de servicios financieros están obteniendo resultados mucho mejores y una reducción real de las vulnerabilidades que, si se explotan, pueden causar estragos.

Un buen ejemplo es cómo la institución bancaria estadounidense Capital One ha utilizado técnicas de formación gamificadas como parte de su innovador sistema de certificación y universidad tecnológica. Según Russell Wolfe, su director de educación en ciberseguridad y computación en la nube, en un reciente seminario web, los programas de entrenamiento voluntario y los torneos de programación cobraron impulso muy rápidamente, con una demanda sin precedentes y una motivación orgánica por parte de los compañeros para obtener la certificación y ayudar a mejorar las habilidades de los demás.

¿Qué pueden hacer los reguladores para garantizar que las fuerzas laborales de ciberseguridad estén adecuadamente capacitadas?

Los reguladores de todo el mundo pueden realmente «mejorar» sus políticas y directrices de ciberregulación existentes, simplemente describiendo las metodologías y estándares de formación aceptados que deben cumplir quienes tienen el control de la protección de nuestros datos. Por el momento, parece que hay una referencia general a un requisito de formación en la mayoría de las políticas reguladoras, pero hay poco seguimiento para garantizar que quienes reciben la formación prescrita estén asimilando el contenido y las técnicas necesarias para ayudar realmente en la lucha contra las ciberamenazas.

La reciente decisión de la MAS (Autoridad Monetaria de Singapur) de incluir la adopción de programas de formación sobre sensibilización en materia de seguridad y las mejores prácticas de desarrollo seguro de software en el última iteración de sus Directrices sobre riesgos tecnológicos, sin embargo, es alentador. Una vez que las directrices entren en vigor, exigirán a las instituciones financieras que se aseguren de que sus desarrolladores de software estén capacitados para aplicar la codificación segura, la revisión del código fuente y las normas de prueba de AppSec al desarrollar software, lo que debería contribuir en gran medida a minimizar los errores y las vulnerabilidades.

Para mí, capacitar a la cohorte de desarrollo con técnicas prácticas del mundo real es, con mucho, lo más atractivo y relevante para su trabajo, al tiempo que sienta las bases de la sólida cultura de seguridad que todas y cada una de las organizaciones deben crear antes de que sea demasiado tarde.