Llegamos a ustedes gracias a:



Noticias

Asbanc detalla los avances de su Comité de Seguridad de la Información

[28/08/2012] Durante la conferencia Cyber Security realizada en días pasado, Javier Ríos, presidente del Comité de Seguridad de la Información de la Asociación de Bancos (Asbanc) y subgerente de Seguridad de la Información de Interbank, comentó lo que hasta el momento ha logrado el comité y lo que planea hacer para integrar los esfuerzos de sus asociados.
La tecnología de la información es fundamental para la seguridad -una no puede vivir sin la otra, dijo Ríos- y, a pesar de ello, representa tan solo unos de los dos ejes tácticos en los que se basan las acciones del comité. Además, a pesar de su importancia para la seguridad, la tecnología de la información debe mantenerse independiente de la primera.
El comité no es nuevo, tiene ya un año de creado, pero en ese tiempo ha podido dividir las tareas para las cuales fue fundado. Para ello ha generado tres comisiones, cuyos presidentes, junto con el presidente y el vicepresidente del Comité, conforman la dirección del organismo.
En la actualidad el presidente es Javier Ríos, como ya se mencionó; el vicepresidente es Javier Benvenuto, del Banco de Crédito; Claudia Vásquez, proveniente de MiBanco, es la presidenta de la comisión de Formación y Difusión de Cultura; Dennis Cabrejos, del Citibank, es la presidenta de la comisión de Análisis y Reporte de Incidentes; mientras que Carlos Morales, del Banco Falabella, es el presidente de la comisión de Cumplimiento Regulatorio, Normativo y Buenas Prácticas.
En un sentido más amplio, el comité está conformado por todos los bancos, cajas y financieras del Perú que se reúnen con cierta periodicidad con el fin de definir estándares.
Lo que nosotros tenemos que ir haciendo en los bancos es ver de qué manera podemos formar estándares de seguridad que nos permitan adelantarnos a cualquier actividad ilícita que puedan realizar los atacantes. Éste es el objetivo principal del comité, es decir, compartir buenas prácticas entre nosotros, detalló Ríos en su exposición.
En tiempos en los que la innovación es muy importante para las organizaciones, lo es también tener en cuenta que con cada innovación se puede incrementar el nivel de riesgo. El comité, entonces, no busca interrumpir la adopción de estas nuevas innovaciones pero sí reducir el nivel de riesgo que ellas pueden representar para la institución.
Las comisiones
Ríos sostuvo que la primera de las áreas, la de Formación y Difusión de Cultura, básicamente, de lo que se encarga es de -a través de una estrategia conjunta- realizar concientización en seguridad de la información en cada una de las áreas internas del banco y también en los clientes.
Este comité se encarga de ver cuales son los lineamientos a nivel de concientización, cuáles son los estándares y políticas, y cuáles van a ser los mensajes que finalmente vamos a dar a nuestros clientes. Con esto, indirectamente también estamos fortaleciendo la cultura de la seguridad de la información en todas las empresas, sostuvo Ríos.
La comisión de Análisis y Reporte de Incidentes tiene por meta formar un CSIRT (Computer Security Incident Response Team), un centro de respuesta a incidentes de seguridad, con el objetivo de que apoye a cada uno de los bancos y permita, de una manera centralizada, gestionar todos los incidentes de seguridad. De hecho, el comité se encuentra en un proceso de formación de este organismo y de contratación de un grupo de personas que puedan hacerse cargo de este CSIRT.
Y hacer esto es necesario, porque los atacantes primero atacan un banco, gastan todas sus balas en él, y luego pasan a otro y luego a otro, pero las técnicas y las tácticas que utilizan son básicamente las mismas. El problema es que actualmente cada banco tiene un grupo y un área de operaciones que se encarga de analizar y evaluar cada uno de los ataques y combatirlo, indicó el ejecutivo.
Toda esta parte operativa la vamos a centralizar en Asbanc, y lo que vamos a hacer es que todos los bancos alimenten una gran base de incidentes y, finalmente, podamos tener todo centralizado y ya no tengamos esfuerzos separados que nos dan mayor carga operativa, sostuvo Ríos.
Finalmente, el comité de Cumplimiento básicamente tiene que ver con todas las regulaciones y cumplimientos de regulaciones que se deben mantener dentro de las organizaciones.
Muchas veces decimos a los jefes que tenemos que cumplir regulatoriamente pero en realidad debería ser al revés. Deberíamos decir que queremos establecer los controles necesarios para mitigar los riesgos y eso finalmente redunda en un cumplimiento regulatorio, explicó el ejecutivo.
Los ejes estratégicos
El comité se basa en cuatro ejes estratégicos y dos ejes tácticos. El primero de estos ejes es el fortalecimiento de los vínculos con socios estratégicos.
Tenemos que tener en claro cuáles son los socios estratégicos que nos van a ayudar a levantar un incidente de seguridad rápidamente. En el caso de Asbanc tenemos claro que es la Divindat, y también en algunos casos los entes reguladores. Estamos en el proceso de establecer los lazos que nos permitan gestionar adecuadamente la seguridad, sostuvo el ejecutivo.
Los otros ejes estratégicos son: Formación y Difusión de la Cultura de Seguridad de la Información, Análisis y Reportes de Incidentes de Seguridad de la Información -el CSIRT que se va a definir- y Cumplimiento Regulatorio, Normativo y Buenas Prácticas en Seguridad de la Información.
El primer eje táctico es el de los Procesos Operativos, con el que buscan tercerizar o centralizar estos procesos en un solo lugar para poder desprenderse de esos costos y asumirlos como un solo, en conjunto entre todas las instituciones.
Finalmente, el segundo eje táctico es el de la Tecnología de la Información.
Es un paso importantísimo dentro de la seguridad de la información, ya que la segunda no puede existir sin la primera, y viceversa. Pero tienen que mantenerse de manera independiente; pues en el momento en el que comiencen a establecerse las visiones en conjunto de ambas áreas, pueden darse prioridades en algunos temas tecnológicos por sobre los de seguridad, finalizó Ríos.
Jose Antonio Trujillo, CIO Perú