La banca española se ha puesto seria en materia de ciberseguridad. El Centro de Cooperación Interbancaria (CCI) ha lanzado la plataforma Pinakes –su nombre es un homenaje al primer catálogo de los libros conservados en la biblioteca de Alejandría–, un modelo que apuesta por la supervisión y calificación de la ciberseguridad de los servicios de manera centralizada y con criterios uniformes. De esta forma, los bancos adheridos al CCI ya disponen de una información completa sobre los niveles de seguridad de sus proveedores en la prestación de sus servicios.
El sistema está basado en el modelo de LEET Security, agencia de calificación española, que permite que las entidades cumplan con una de las regulaciones más exigentes en la gestión de riesgos tecnológicos: la establecida por la Autoridad Bancaria Europea (EBA). Esta normativa obliga a bancos y entidades tanto de crédito, pago y de dinero electrónico a garantizar que todos los proveedores en los que se externalizan funciones de relevancia para el negocio cumplan con los requisitos de seguridad establecidos por cada una de las entidades.
Pinakes nace con el compromiso de participación de las 124 entidades depósito asociadas al CCI, y que a su vez constituyen la práctica totalidad de la banca española. Según los datos de los propios bancos, más de un millar de proveedores debería contar con una supervisión sistemática y centralizada de ciberseguridad que garantice los niveles de seguridad de sus servicios. Dicho de otro modo: urge la necesidad de un modelo capaz de avalar que los proveedores de entidades financieras cumplen con la normativa vigente de ciberseguridad.
Las principales empresas tecnológicas del mundo, las de servicios financieros y las grandes consultoras ya han solicitado su participación en esta plataforma. Algo que enorgullece a Herminio del Campo, director general del CCI: "Vamos a poder promover y desarrollar ideas de interés para el sector y servir de vehículo para el desarrollo y el funcionamiento de proyectos de libre adhesión para nuestros asociados". Del Campo recalca que Pinakes no beneficia solo en exclusiva a los miembros del CCI, sino que "también favorece a sus proveedores que, en caso de utilizarlo, no deberán multiplicar sus esfuerzos para atender múltiples requerimientos de diferentes entidades clientes".
El aumento continuo de incidentes de seguridad a través de la cadena de suministro demuestra la necesidad de que exista una supervisión de los proveedores. Aunque la ejecución de las directrices de la EBA supone un verdadero problema para todas las entidades, que en ocasiones cuentan con cientos de proveedores. En muchas ocasiones, de hecho, resulta imposible llevar a cabo tanto las evaluaciones previas como las auditorías durante el periodo de prestación de los servicios. Por otra parte, los proveedores que dan servicio a varias entidades están sometidos a auditorías de cada una de ellas, lo que conduce a una situación ineficiente.
Según datos de la propia banca española, las entidades de mayor tamaño cuentan con más de 500 proveedores y los de menor tamaño superan el centenar. Además, muchos de estos lo son de varios clientes, generalmente con más de un servicio. Esto complica que los bancos puedan auditar a todos sus proveedores y, por otro lado, estos soportan evaluaciones múltiples para el mismo servicio. De esta forma, la creación de un sistema capaz de unificar en un solo modelo todas las auditorías y evaluaciones previas, necesarias para garantizar la seguridad de los proveedores de los sistemas financieros, es una solución que agiliza todos los procesos del sector y garantiza la seguridad de los servicios prestados por terceros.
Un 'marketplace' de ciberseguridad
La colaboración entre el CCI y LEET Security se ha extendido hasta desarrollar un modelo de supervisión de proveedores centralizado, en el que se dispondrá de un catálogo con una completa información de proveedores y el nivel de seguridad obtenido en cada uno de sus servicios auditados. Un 'marketplace' similar al usado por las agencias de calificación financiera como Moody’s.
Por un lado, se encuentra la entidad financiera que necesita determinar, conocer y supervisar el nivel de seguridad de las funciones que externaliza; por otro, están los proveedores de servicios; y en medio, se sitúa Pinakes con un conjunto de empresas auditoras homologadas que evalúan el nivel de ciberseguridad de los diferentes servicios ofrecidos por un proveedor. El resultado es una “calificación” que permite conocer el grado de seguridad con el que cuenta un servicio, que evalúa hasta 76 factores diferentes. De esta forma, cada entidad puede comprobar si el servicio ofrecido resulta adecuado a las condiciones requeridas para la contratación, en función de la criticidad o la importancia de la función a externalizar.
Esta tecnología ha sido desarrollada a lo largo de los últimos 10 años. Para Antonio Ramos, CEO y Socio Fundador de LEET Security, "Pinakes es un servicio único en el escenario europeo que pone de manifiesto el carácter puntero de la banca española y que va a hacer, sin duda, que el ecosistema empresarial español sea más ciberseguro, gracias a la transparencia sobre el nivel de ciberseguridad de los actores".
