Los bancos norteamericanos son responsables de su ciberseguridad en la nube

487
Jorge Díaz Cardiel

Estados Unidos se está tomando en serio las amenazas a la ciberseguridad de sus bancos, entre otras grandes empresas. Además de las amenazas cibernéticas enmarcadas en la seguridad nacional fruto de un complicado escenario geoestratégico con China, Corea del Norte, Rusia e Irán, entre otros actores internacionales que amenazan a Estados Unidos, tanto en sus sistemas de defensa como en el ámbito corporativo, Norteamérica teme por la ciberseguridad de las entidades financieras, de las que las cinco primeras tienen activos equivalentes al 56% del PIB norteamericano. JP Morgan Chase, Wells Fargo, Morgan Stanley, Citigroup y Goldman Sachs son esenciales para la economía norteamericana: son “too big to fail”. Y los enemigos de Estados Unidos, lo saben y, tras atacar en 2019 a Google, Microsoft, Intel, General Electric y hasta el propio Pentágono, los bancos, que garantizan el flujo de financiación para empresas y familias, son objetivo primordial de hackers que trabajan para estados que amenazan la estabilidad del mundo.

Las preocupaciones sobre la seguridad en la nube provocan más escrutinio de los reguladores financieros sobre las entidades financieras

En consecuencia, los reguladores americanos llaman la atención a las entidades financieras sistémicas norteamericanas para que se tomen en serio su autoprotección cibernética. Los reguladores de las agencias federales y los organismos de la industria financiera han dejado claro que “consideran a las propias empresas responsables de cualquier violación de datos e información”.

Los reguladores financieros de EEUU han notifican a los bancos y a los intermediarios financieros (traders) que una parte clave de las auditorías de cumplimiento de sus obligaciones (test de estrés, requerimientos de capital, cumplimiento de la ley Dodd-Frank, etc) será el escrutinio de cómo estas empresas controlan la información que almacenan en la nube. Independientemente de cualquier acuerdo bajo modelos que dividan la responsabilidad entre los usuarios y proveedores de la nube, los reguladores de las agencias federales y los organismos de la industria consideran que las propias empresas financieras son responsables de cualquier incumplimiento. Este matiz es muy importante porque son muchas las empresas tecnológicas que proveen servicios en la nube (cloud) como Oracle, SAP, Salesforce, IBM, AWS de Amazon.com, Microsoft Azure, etc, que -en sus contratos con los clientes- han de asumir la responsabilidad de posibles quiebras en la ciberseguridad de sus clientes. Para el regulador financiero norteamericano, la primera responsabilidad de protegerse reside en la empresa financiera cliente y, en segunda instancia, en el proveedor de servicios de cloud computing:

“Incluso si se ha identificado quién tiene la responsabilidad de qué controles, el banco todavía está subcontratando a empresas tecnológicas proveedoras servicios y su control de sus datos, por lo que la empresa financiera cliente seguirá siendo responsable”, especifica el documento guía elaborado por el regulador (Securities and Exchange Comision o SEC).

La responsabilidad de la protección de datos sigue siendo del banco, incluso si usa la nube con proveedores externos, dice el regulador estadounidense

Una serie de violaciones de datos que involucran servicios en la nube han resaltado el problema de la seguridad en los últimos años. Capital One Financial Corp., por ejemplo, reveló una violación de datos en julio de 2019, en la que se robaron más de 100 millones de registros que contienen información sobre clientes y solicitantes. Facebook Inc. también sufrió una brecha a principios de 2019 que surgió de un servidor en la nube de acceso público que expuso información sobre millones de sus usuarios. En 2018, Equifax reconoció que 148 millones de cuentas de clientes estadounidenses habían sido hackeadas.

Los reguladores dicen que están analizando cómo las tareas para administrar el almacenamiento y la seguridad de esta información se dividen entre los usuarios de la nube y los proveedores de la nube. “Debe estar claro cuál es la responsabilidad interna del banco cliente y cuál es la responsabilidad del proveedor de la nube”, dice la SEC.

Los proveedores de la nube, como el negocio de Amazon Web Services de Amazon.com Inc., el más grande por cuota de mercado, dicen que se consideran responsables del servicio en la nube PERO que sus clientes son responsables de lo que ponen en ese servicio. Es decir, los proveedores tecnológicos de servicios cloud se lavan las manos y pasan la responsabilidad a sus clientes de potenciales brechas de seguridad.

Algunos proveedores están adoptando un enfoque activo sobre cómo sus usuarios configuran sus servicios en cloud. Oracle Corp., por ejemplo, asume el control de muchas disposiciones básicas de seguridad para datos y aplicaciones en su nube. Los clientes reciben alertas automáticas si intentan configurar los ajustes de seguridad de una manera que hace que los sistemas sean vulnerables. En algunos casos, el cliente es bloqueado inmediatamente si intenta realizar realizar tales cambios poniendo en riesgo la seguridad del banco. Por tanto, hay empresas TI en cloud que se lavan las manos (Amazon, AWS) y otras que asumen su responsabilidad (Oracle). En ese sentido, los reguladores están buscando evidencia de que los clientes de la nube supervisan a sus proveedores cloud y son conscientes de las preocupaciones de la gestión de riesgos derivadas del almacenamiento externo de información confidencial. Y reguladores y legisladores están demostrando una creciente preocupación sobre cómo las empresas financieras manejan estos controles. En mayo de 2019 la SEC envió una serie de cuestionarios detallados a los asesores de inversiones sobre su seguridad en la nube.

La SEC solicitó a los asesores financieros que brinden copias de las evaluaciones de riesgos y que describan cómo se encriptan los datos y se administra el acceso, entre otras cuestiones. La SEC también quiere saber de casos en los que un proveedor de servicios en la nube no pudo ofrecer servicios online conforme a lo pactado contractualmente con el cliente. En otras palabras, los bancos son responsables de su ciberseguridad, pero no son los únicos responsables: sus proveedores cloud también lo son

Según el Secretario del Tesoro, Steven Mnuchin, los reguladores financieros deben “etiquetar a los grandes proveedores de la nube como sistémicamente importantes debido a su papel cada vez más importante en el sector financiero. Hollywood, muchas veces por delante de la realidad, ya ha hecho muchas películas en las que los ladrones de bancos no llegan guantes blancos sino ordenadores portátiles

  • Socio Director General de Advice Strategic Consultants