Cabecera Home
Revista Segurilatam Edición impresa
Síguenos:
Valoración
  • Actualmente 5 de 5 Estrellas.
Tu valoración
  • Actualmente 5 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
OPINIÓN

David Romero, Director de Inteligencia y Seguridad Corporativa de Banco Sabadell México

Lo natural y lo responsable de la protección de infraestructuras críticas

Muchos recordarán las noticias de 2017 sobre ataques cibernéticos tipo ‘watering hole’ a bancos en varios países. Los atacantes inoculaban un ‘malware’ en sitios a los que los bancos debían acceder y allí algunos eran infectados. Autor: David Romero, director de Inteligencia y Seguridad Corporativa de Banco Sabadell México.

Ese modus operandi toma nombre de métodos de caza existentes en la naturaleza, con los cuales un depredador paciente, cerca de la orilla de un lago que ofrece beber a las presas, tiene más probabilidad de éxito en el ataque con menos consumo de energía. Ahora bien, la naturaleza también sabe protegerse.

Esto de ser atacado durante un proceso crítico es un riesgo que en el reino animal se evalúa de algún modo primitivo y también se mitiga. Por ejemplo, reduciendo la exposición a la amenaza. Haciendo el animal, pongamos una gacela, más rápido su repostaje. Del mismo modo que lo debería hacer un conductor en carretera si quiere reducir el riesgo de que un posible halconeo dé lugar, kilómetros adelante, a un asalto. Otro ejemplo de mitigación es la detección y alerta a través de sistemas sociales de alarma, bufidos aquí. La detección es clave.

El sistema de alarma de la gacela, como especie, lo componen cientos de individuos siempre atentos y que duermen poco. Permite una repuesta, la huida, más pronta. O, incluso, disuadir al guepardo, quien pierde el factor sorpresa y ve enfrente agruparse un comité de crisis que yergue sus defensas puntiagudas. Existen también vigilantes de otras especies, vigilantes globales, como algunas aves, a las cuales también perjudican los depredadores y en cuyas alertas tempranas confían otros animales. También se conocen casos de cooperación simbiótica donde aparecen defensas más activas, claro, como el de ejércitos de hormigas en hilera que protegen a cierta acacia, cortando las plantas trepadoras que le compiten deslealmente o atacando a los insectos que comen sus hojas.

Respuesta coordinada

La interconexión dentro del mundo físico y del digital, del biológico y del social, tiene pros y contras. En el ámbito corporativo, donde la continuidad y la seguridad de la compañía dependen también de terceros, cosa que los atacantes conocen, la contingencia de un proveedor puede suponer tu contingencia; debe exigírsele seguridad. Por otra parte, como ventaja, la creciente interconexión posibilita la mayor eficacia agregada de la alerta ante una amenaza.

Hace poco se produjo una interrupción durante unas horas en los sistemas de un procesador de pagos de tarjetas, proveedor de varias instituciones financieras. Esto ocasionó que muchas transacciones se vieran afectadas. Y que, por ejemplo, no pudiera pagarse en el restaurante o en el supermercado. Recuerdo un tuit en el que un ciudadano decía que había tenido que dejar en prenda su reloj en una tienda de conveniencia.

Los responsables de seguridad de muchas compañías trataron el caso al interior de sus empresas. En el sector financiero se dio seguimiento con los organismos reguladores y en las asociaciones de seguridad, como, por ejemplo, el Grupo de Ejecutivos en Manejo de Riesgos Corporativos (Gemarc), integrado por las cabezas de seguridad de empresas de diversos sectores, se compartía información en tiempo real. Lo cual ayudaba a entender mejor el impacto, prever el restablecimiento y evitar rumores. Bien es cierto que esto no sustituye una comunicación multisectorial entre el sector privado y el público, una notificación protocolizada por taxonomía de ciberincidente que encamine a una gestión integral y coordinada del mismo por un organismo específico.

En México existen canales y mecanismos de cooperación con un elevado nivel de desarrollo, como en el caso de la banca. Tradicionalmente, el sector ha sido un ejemplo de organización y colaboración en materia de seguridad e inteligencia para la prevención del delito, tanto al interior del propio gremio como hacia organismos públicos. Aunque a raíz de los ciberincidentes de mayo de 2018, con afectación a cinco entidades financieras participantes en el Sistema de Pagos Electrónicos Interbancarios (SPEI), el sistema se reforzó de forma notable.

Se regularon refuerzos en la gobernanza de la seguridad de la información de las instituciones; se impulsaron mayores medidas y controles; se desarrollaron los procesos de alertamiento conjunto y respuesta a incidentes; Banco de México creó su Dirección de Ciberseguridad, y las autoridades reguladoras financieras, junto a las principales asociaciones financieras y la entonces Procuraduría General de la República, firmaron las Bases de Coordinación en Materia de Seguridad de la Información. Un buen avance que seguirá madurando el modelo.

Imagine ahora que la reciente situación de las tarjetas hubiera ocurrido en el mes de enero, durante los días en que el suministro de gasolina se vio afectado derivado de las medidas para combatir el huachicoleo (robo de combustible a nivel macro). Cuando muchos ciudadanos tuvieron que esperar horas en filas para repostar. Ahí un sistema casual de prenda o empeño en cada gasolinería no sería viable ni suficiente. En un escenario como ese, con interrupciones combinadas en servicios esenciales, se requeriría una repuesta coordinada a mayor nivel.

Modelo preventivo

Ante amenazas impredecibles, no como que un león te coma al beber en una laguna en el desierto, sino amenazas en tiempos de 5G e inteligencia artificial, son necesarios mecanismos ágiles, muy adaptables. Si tomamos como referencia un sistema de seguridad de eficacia milenaria como es el inmunológico, acostumbrado a combatir amenazas desconocidas, observamos que contempla características interesantes para un plan nacional de protección de infraestructuras críticas: redundancia, flexibilidad y control “difuso”, esto es, que se cuente con el apoyo de órganos que funcionen de manera semiautónoma.

Esto, en un ecosistema económico, se logra mediante la participación amplia y heterogénea de operadores críticos que proveen servicios esenciales, quienes deberán tener robustos planes de seguridad y de protección específica; y también mediante la coordinación e impulso de una institución nacional con un plan estratégico. Que prime, más que la exigencia regulatoria, la protección y la proactividad colaborativa. Con protocolos homogéneos para notificar entre ambos lados incidentes con fluidez y seguridad que permitan la alerta temprana a otros operadores y recibir los afectados asesoramiento y apoyo de dicha institución. Que, además, contará con capacidades difícilmente existentes en el sector privado. En Banco Sabadell España este modelo preventivo se conoce bien. Y se considera que sus estándares y metodologías aportan valor a la sociedad y al operador crítico. Aun con una función de seguridad sumamente desarrollada.

Sistema PIC

Dentro del sistema español de Protección de Infraestructuras Críticas (Sistema PIC), además de un plan nacional (PNPIC) y un completo marco normativo, tiene especial relevancia el Centro Nacional para la Protección de las Infraestructuras y Ciberseguridad (CNPIC), que se integra en la Secretaría de Estado de Seguridad. En México, veo posible que en el contexto del nuevo modelo estructural de seguridad, con una Secretaría de Seguridad y Protección Ciudadana en la que actualmente se ubica el Centro Nacional de Inteligencia (CNI), cuyo homólogo en España es figura clave en el Sistema PIC, se materialice un nuevo impulso en la materia.

Al principio vimos un escenario hipotético con afectación directa a dos sectores estratégicos: financiero y energético. Hipotéticamente, se podrían añadir más –agua, salud, alimentación o telecomunicaciones– y sus efectos multiplicadores en la crisis. En España, el PNPIC inició con cierto foco en las amenazas por terrorismo, crimen organizado, incluyendo sus vertientes ciber, y hacktivismo. Paulatinamente se fue girando hacia un enfoque más basado en el impacto que en la naturaleza de las amenazas.

Sismo de 2017

En México, otras causas de riesgo para la continuidad son también muy relevantes, como el contexto social y los desastres naturales. Y la combinación de unos y otros factores. Sabemos que durante los días siguientes al sismo del 19 de septiembre de 2017 abundaron asaltos a transeúntes aprovechando la transferencia de policías hacia zonas afectadas. Es posible que trágicas circunstancias puedan ser una oportunidad para complejos ataques combinados. Lo que recuerda la necesidad de una coordinación y amplia participación de sectores, además de una mayor integración entre la seguridad física y la digital.

La sociedad mexicana es resiliente. Su ecosistema económico, también. En estos tiempos, la responsabilidad social corporativa, el crear valor y bienestar en el entorno de las empresas, desde sus clientes y empleados hasta la sociedad en la que operan, se está posicionando como un genuino objetivo estratégico de las compañías.

Por ejemplo, no como ornamento, la organización Business Roundtable, que reúne a 181 de las mayores corporaciones de Estados Unidos, acaba de declarar que no se trata de maximizar la rentabilidad por encima de cualquier otra consideración. Por eso hace pleno sentido que, en momentos difíciles, las compañías sean, por vocación, componente esencial de la resiliencia de un país. Y esto tal vez se vaya plasmando en evaluaciones de riesgo que den un mayor coeficiente de ponderación al impacto social que a la probabilidad de ocurrencia.

Tras el sismo de septiembre de 2017, los bancos mexicanos apoyamos a los damnificados, a la reconstrucción y, en general, a la recuperación por múltiples vías. También se produjo una colaboración intersectorial: sirva de ejemplo el caso de algunos empleados nuestros y familiares que, por daños estructurales a sus viviendas, se quedaron de repente sin casa y a quienes se pudo ofrecer alojamiento, sin costo, a través del impulso de algunas consejerías de la Embajada de España y el apoyo de los hoteles NH. El personal que recibió este apoyo se siguió presentando voluntarioso a trabajar, lo cual sumó.

En Banco Sabadell teníamos muy claro que era nuestro deber hacia los clientes y la sociedad mexicana realizar el máximo esfuerzo para mantener la operación. Al momento se dio la necesidad de trasladar personal que realizaba un proceso crítico a una sede alterna mientras se revisaba un edificio y también tuvimos algunos días personal afectado directa o indirectamente. A pesar de esto, los servicios continuaron todos los días.

Hay muchas maneras de corresponder a la sociedad. En cualquier ecosistema, desde los entes biológicos más minúsculos hasta las diferentes especies, existe el mutuo cuidado. En un país, esta responsabilidad conjunta debe tender al mayor nivel de desarrollo, naturalmente.

Mi agradecimiento a mi compañero Xavier Rebollo por su ayuda para conocer mejor el Sistema PIC y sus siempre valiosos comentarios.

Volver

Recibe GRATIS noticias en tu e-mail

¿Quieres estar informado? Ya puedes suscribirte de forma gratuita a nuestra newsletter