Jorge Díaz-Cardiel

Opinión

Los bancos norteamericanos son responsables de su ciberseguridad en la nube

Guardar

Estados Unidos se está tomando en serio las amenazas a la ciberseguridad de sus bancos, entre otras grandes empresas. Además de las amenazas cibernéticas enmarcadas en la seguridad nacional fruto de un complicado escenario geoestratégico con China, Corea del Norte, Rusia e Irán, entre otros actores internacionales que amenazan a Estados Unidos, tanto en sus sistemas de defensa como en el ámbito corporativo, Norteamérica teme por la ciberseguridad de las entidades financieras, de las que las cinco primeras tienen activos equivalentes al 56% del PIB norteamericano. JP Morgan Chase, Wells Fargo, Morgan Stanley, Citigroup y Goldman Sachs son esenciales para la economía norteamericana: son “too big to fail”. Y los enemigos de Estados Unidos, lo saben y, tras atacar en 2019 a Google, Microsoft, Intel, General Electric y hasta el propio Pentágono, los bancos, que garantizan el flujo de financiación para empresas y familias, son objetivo primordial de hackers que trabajan para estados que amenazan la estabilidad del mundo.

Las preocupaciones sobre la seguridad en la nube provocan más escrutinio de los reguladores financieros sobre las entidades financieras

En consecuencia, los reguladores americanos llaman laatención a las entidades financieras sistémicas norteamericanas para que setomen en serio su autoprotección cibernética. Los reguladores de las agenciasfederales y los organismos de la industria financiera han dejado claro que “considerana las propias empresas responsables de cualquier violación de datos einformación”.

Los reguladores financieros de EEUU han notifican a losbancos y a los intermediarios financieros (traders) que una parte clavede las auditorías de cumplimiento de sus obligaciones (test de estrés,requerimientos de capital, cumplimiento de la ley Dodd-Frank, etc) será elescrutinio de cómo estas empresas controlan la información que almacenan en lanube. Independientemente de cualquier acuerdo bajo modelos que dividan laresponsabilidad entre los usuarios y proveedores de la nube, los reguladores delas agencias federales y los organismos de la industria consideran que laspropias empresas financieras son responsables de cualquier incumplimiento. Estematiz es muy importante porque son muchas las empresas tecnológicas que proveenservicios en la nube (cloud) como Oracle, SAP, Salesforce, IBM, AWS deAmazon.com, Microsoft Azure, etc, que -en sus contratos con los clientes-han de asumir la responsabilidad de posibles quiebras en la ciberseguridad desus clientes. Para el regulador financiero norteamericano, la primeraresponsabilidad de protegerse reside en la empresa financiera cliente y, ensegunda instancia, en el proveedor de servicios de cloud computing:

"Incluso si se ha identificado quién tiene laresponsabilidad de qué controles, el banco todavía está subcontratando aempresas tecnológicas proveedoras servicios y su control de sus datos, por loque la empresa financiera cliente seguirá siendo responsable", especifica eldocumento guía elaborado por el regulador (Securities and Exchange Comision oSEC).

La responsabilidad de la protección de datos sigue siendo del banco, incluso si usa la nube con proveedores externos, dice el regulador estadounidense

Una serie de violaciones de datos que involucran serviciosen la nube han resaltado el problema de la seguridad en los últimos años. CapitalOne Financial Corp., por ejemplo, reveló una violación de datos en julio de2019, en la que se robaron más de 100 millones de registros que contieneninformación sobre clientes y solicitantes. Facebook Inc. también sufrió una brechaa principios de 2019 que surgió de un servidor en la nube de acceso públicoque expuso información sobre millones de sus usuarios. En 2018, Equifaxreconoció que 148 millones de cuentas de clientes estadounidenses habían sidohackeadas.

Los reguladores dicen que están analizando cómo las tareaspara administrar el almacenamiento y la seguridad de esta información sedividen entre los usuarios de la nube y los proveedores de la nube. "Debe estarclaro cuál es la responsabilidad interna del banco cliente y cuál es laresponsabilidad del proveedor de la nube", dice la SEC.

Los proveedores de la nube, como el negocio de Amazon WebServices de Amazon.com Inc., el más grande por cuota de mercado, dicen quese consideran responsables del servicio en la nube PERO que sus clientes sonresponsables de lo que ponen en ese servicio. Es decir, los proveedorestecnológicos de servicios cloud se lavan las manos y pasan la responsabilidad asus clientes de potenciales brechas de seguridad.

Algunos proveedores están adoptando un enfoque activo sobrecómo sus usuarios configuran sus servicios en cloud. Oracle Corp., porejemplo, asume el control de muchas disposiciones básicas de seguridad paradatos y aplicaciones en su nube. Los clientes reciben alertas automáticas siintentan configurar los ajustes de seguridad de una manera que hace que lossistemas sean vulnerables. En algunos casos, el cliente es bloqueado inmediatamentesi intenta realizar realizar tales cambios poniendo en riesgo la seguridad delbanco. Por tanto, hay empresas TI en cloud que se lavan las manos (Amazon,AWS) y otras que asumen su responsabilidad (Oracle). En ese sentido,los reguladores están buscando evidencia de que los clientes de la nubesupervisan a sus proveedores cloud y son conscientes de las preocupaciones de lagestión de riesgos derivadas del almacenamiento externo de informaciónconfidencial. Y reguladores y legisladores están demostrando una crecientepreocupación sobre cómo las empresas financieras manejan estos controles. Enmayo de 2019 la SEC envió una serie de cuestionarios detallados a los asesoresde inversiones sobre su seguridad en la nube.

La SEC solicitó a los asesores financieros que brindencopias de las evaluaciones de riesgos y que describan cómo se encriptan losdatos y se administra el acceso, entre otras cuestiones. La SEC también quieresaber de casos en los que un proveedor de servicios en la nube no pudo ofrecerservicios online conforme a lo pactado contractualmente con el cliente. Enotras palabras, los bancos son responsables de su ciberseguridad, pero no sonlos únicos responsables: sus proveedores cloud también lo son

Según el Secretario del Tesoro, Steven Mnuchin, losreguladores financieros deben “etiquetar a los grandes proveedores de la nubecomo sistémicamente importantes debido a su papel cada vez más importanteen el sector financiero. Hollywood, muchas veces por delante de la realidad, yaha hecho muchas películas en las que los ladrones de bancos no lleganguantes blancos sino ordenadores portátiles

  • Socio Director General de Advice Strategic Consultants