Tres CISO nos hablan del papel clave que juega la seguridad cibernética para cuidar la información y por ende, la operación de empresas del sector bursátil.

En los últimos años la posición del Chief Information Security Officer (CISO) en las empresas del sector bursátil ha cobrado mucha relevancia para el buen funcionamiento y operación de las organizaciones.

Con la rápida evolución de la tecnología, ha también crecido la necesidad de cuidar y proteger a las empresas y los clientes en diferentes plataformas.

Para conocer de los retos y perspectivas de la seguridad de la información, conversamos con tres expertas en el tema, CISO de importantes compañías del sector bursátil.

LA EVOLUCIÓN CONSTANTE DE LA SEGURIDAD EN LA INFORMACIÓN

Conversación con Regina Madero Torres, Chief Information Security Officer (CISO), Finamex Casa de Bolsa

¿Qué habilidades y conocimientos son esenciales para un Chief Information Security Officer (CISO)?

El papel del CISO ha ido tomando fuerza e importancia en los últimos años, igual manera, las habilidades y conocimientos requeridos para el desempeño eficaz de este rol en la organización son cada vez más. Lo principal, es tener un buen equilibrio entre habilidades de gestión, comunicación y conocimientos técnicos.

La seguridad de la información abarca un espectro muy amplio. Por lo tanto, aunque el CISO es el último responsable, no puede pretender cubrir todo por sí solo. Se requiere de un equipo que apoye en cada uno de los rubros que conlleva la seguridad de la información. De esta manera, aunque es verdad que se requieren los conocimientos técnicos, también es importante la capacidad de gestión y comunicación.

Tener una buena gestión y comunicación es lo más importante para un CISO. La gestión, por un lado, ayuda a tener una total visibilidad y administración por todo lo que implica la seguridad de la información. Una buena comunicación, a su vez, nos permite involucrar a toda la empresa en la seguridad de la información, desde los más altos niveles de dirección, hasta las personas que participan de manera indirecta.

Tener una buena gestión y comunicación es lo más importante para un CISO. La gestión, por un lado, ayuda a tener una total visibilidad y administración por todo lo que implica la seguridad de la información. Una buena comunicación, a su vez, nos permite involucrar a toda la empresa en la seguridad de la información, desde los más altos niveles de dirección, hasta las personas que participan de manera indirecta.

¿Cuáles son las principales amenazas de seguridad que enfrenta el sector bursátil?

El sector bursátil es de los más atractivos para los delincuentes, ya que en buena medida somos los custodios del patrimonio de la gente. La principal motivación de los delincuentes suele ser el dinero, y es eso lo que resguarda el sector bursátil. Por ello, una de las principales amenazas que enfrentamos en el sector son los ciberataques, el fraude financiero e ingeniería social, amenazas internas y errores humanos, entre otros.

Al estar inmersos en el mundo digital los ciberataques han aumentado alrededor de un 25%, en promedio anual, desde el 2021. También destaca el fraude financiero y la ingeniería social, en que el atacante busca robar la identidad del cliente y/o usuario para ingresar a la red bursátil o, más sencillo, llevarse el dinero del cliente. Por esto, también es de vital importancia generar consciencia entre nuestros clientes.

Asimismo, las amenazas internas generan un riesgo. Con esto me refiero a empleados descontentos o malintencionados, quienes también representan un riesgo importante en la seguridad de la información. Además hay que incluir en esta lista los errores humanos, que a pesar de que no son malintencionados, son parte de los riesgos que tenemos que afrontar.

¿Cómo se fomenta una cultura de seguridad en las organizaciones?

Este tema es importantísimo y crucial dentro de la ciberseguridad. Como lo he dicho, las amenazas internas representan uno de los riesgos más importantes que enfrenta un CISO. Y de ahí la importancia de generar consciencia entre los empleados.

Fomentar la cultura de seguridad de la información dentro de la organización es de los temas que más me gustan. El reto implica conscientizar a empleados de todas las áreas y niveles, de diferentes edades, culturas y costumbres. Por lo que no es sencillo crear un plan de concientización en seguridad de la información.

Creo que es fundamental apoyarnos en la tecnología, por lo que decidí utilizar una herramienta que contiene más de mil módulos de concientización en seguridad de la información, incluyendo videos, juegos, newsletters, plantillas de correos phishing simulado; esta herramienta me ha permitido crear campañas de concientización automatizadas, tomando en cuenta los factores antes mencionados, así como establecer KPIs para medir la eficacia de cada una de las campañas que voy creando.

Por otro lado, me he apoyado en mis amistades dentro de la empresa, quienes con el tiempo y la confianza empiezan a valorar la importancia de tu área. Ellos, con el tiempo, terminan siendo factores positivos dentro de sus respectivas áreas, ayudando en el trabajo de generar consciencia.

Un ejemplo del trabajo de concientización muy sencillo, es un acuerdo que tenemos en nuestra zona de trabajo donde, si alguien deja su máquina desbloqueada cualquiera puede entrar a su Teams y poner un mensaje al grupo como: “yo les invito donas a todos mañana”; así, la persona que dejó su equipo desbloqueado al día siguiente deberá cumplir. Parece algo irrelevante, pero es una manera de generar conciencia a partir de lo más sencillo.

El sector bursátil es de los más atractivos para los delincuentes, ya que en buena medida somos los custodios del patrimonio de la gente.

¿Cuáles considera que son las tendencias en ciberseguridad en el corto plazo?

Me parece que la tendencia más reciente y que a todos nos ha impactado tras la pandemia de covid-19 y el incremento del trabajo remoto, es la adopción generalizada de los servicios en la nube. Esto ha supuesto un gran reto para quienes estamos del lado de ciberseguridad, ya que a la par se ha tenido que invertir para proteger adecuadamente los datos e información dentro de estas plataformas.

Por otro lado, una de las tendencias que se encuentra ya tocando la puerta, sin duda, es el aumento de la inteligencia artificial y machine learning. Las cuales impactan en dos vertientes, tanto para realizar ataques de fuerza bruta en menor tiempo, como para detectar y responder a amenazas en tiempo real.

Además, podemos decir que existen tendencias en ciberseguridad que no pasarán de moda, como la gestión de incidentes y recuperación, protección de la identidad y gestión de accesos, atención a las entidades regulatorias, seguridad en entornos híbridos y distribuidos. Con esto ayudamos a mantener un enfoque integral de la ciberseguridad.

¿Qué papel tiene la inteligencia artificial (IA) en la seguridad de la información?

Cada vez va cobrando más fuerza en el mundo de las tecnologías de la información y por lo tanto en la seguridad de la información. Esto, tanto para la parte atacante, como para la parte de protección y defensa.

Existen varias ventajas para utilizar la IA dentro de la seguridad de la información; una de las principales es la detección de amenazas, ya que estas tecnologías nos permiten analizar grandes volúmenes de datos en poco tiempo para encontrar patrones que puedan indicar una amenaza.

Por otro lado, me han ofrecido servicios de análisis de vulnerabilidades a infraestructura utilizando la inteligencia artificial. Esto suena muy atractivo y creo que en poco tiempo será de gran utilidad, aunque hoy le falta madurar. Si lo que buscamos no es un análisis profundo sino un simple escaneo me parece que una herramienta así podría ser suficiente. Sin embargo, para mí hay más certeza con un análisis más exhaustivo.

Además, podemos usar la inteligencia artificial para muchas otras tareas. Desde capacitación mediante la personalización de programas de educación para empleados, monitoreo continuo de redes y sistemas para detectar amenazas en tiempo real, mejorar sistemas de autenticación mediante técnicas de reconocimiento biométrico, entre muchas otras.

En conclusión, las tecnologías de la información están en constante evolución, y la seguridad de la información debe de ir en sinergia con ellas.

La IA nos ofrece herramientas avanzadas para tener una protección y defensa proactiva de acuerdo con desafíos tecnológicos que hoy se presentan.

LA MEJOR ESTRATEGIA DE CIBERSEGURIDAD

Conversación con Mariana Lizbeth Dominguez Paredes, Chief Information Security Officer ( CISO), GBM

¿Qué habilidades y conocimientos son esenciales para un CISO?

El CISO debe tener buenos conocimientos técnicos en ciberseguridad, sin embargo, un papel muy importante se relaciona con sus capacidades de liderazgo dentro de la organización.

Sin liderazgo no hay influencia en la organización y, por ende, los resultados esperados pueden verse comprometidos. Asimismo, se requiere para la integración y manejo de equipos con diversos conocimientos y habilidades, para la comunicación oportuna en diversos niveles de la organización y para tener una visión estratégica.

La ciberseguridad hoy en día se divide en muchas áreas de especialización, por lo que la capacidad del CISO no debe ser vista solo en su dominio técnico especializado en cada una de las áreas, pero sí como un gran estratega para integrar de manera holística todos los recursos y esfuerzos requeridos para cubrir los objetivos de seguridad dentro de la organización.

¿Cuál ha sido el mayor desafío que ha enfrentado en su carrera?

Desempeñar el rol de CISO es un desafío constante que me motiva cada día. El ecosistema está en constante evolución, presentando siempre nuevos retos.

Uno de los retos más relevantes que he enfrentado es la conformación de un equipo autogestionado, multidisciplinario, además de mantenerlos motivados. Además, es crucial mantenerse actualizado en las últimas tecnologías, amenazas, proyectos, metodologías, etcétera.

Y estar preparado para manejar situaciones de crisis e incidentes de manera efectiva. Encontrar un balance de bienestar personal es clave para desempeñar la función de manera óptima a lo largo del tiempo.

Y estar preparado para manejar situaciones de crisis e incidentes de manera efectiva. Encontrar un balance de bienestar personal es clave para desempeñar la función de manera óptima a lo largo del tiempo.

¿Cuenta con una estrategia para emitir comunicados a clientes en caso de incidentes mayores que puedan afectar la organización?

Se han definido protocolos que integran a varios equipos, a fin de enfocar las acciones de comunicación hacia los clientes de manera clara y oportuna, siempre dando certeza de la afectación que pueden tener.

El equipo debe ser integrado además del CISO, por áreas como Cumplimiento Normativo, Comunicación a Clientes, Área de atención a clientes, Legal.

¿Cuál es la estrategia de ciberseguridad de la organización y cómo está alineada a los objetivos de negocio?

La mejor estrategia de ciberseguridad es la que cubre las necesidades de la organización para cumplir sus objetivos de negocio, esta debe buscar fortalecer la confianza de los clientes e inversionistas, robustecer la cultura de seguridad en la organización, contar con las plataformas tecnológicas adecuadas de protección, así como de personal capacitado en cada una de las áreas de especialización de ciberseguridad. Todo esto, orquestado bajo un correcto establecimiento de un sistema de gestión de seguridad de la información que permita definir planes para la minimización del nivel de exposición al riesgo, la resiliencia y mejora continua.

¿Qué métricas usa para evaluar la efectividad del programa de seguridad?

Actualmente, en la organización tomamos en cuenta varias métricas para evaluar la efectividad del programa: por ejemplo, el porcentaje del personal que cae en pruebas de phishing, el porcentaje en el incremento de personal que notifica algún evento de seguridad, incidentes de seguridad ocurridos, o el porcentaje de nivel de cumplimiento de controles de seguridad establecidos.

¿Cómo se maneja el balance entre la seguridad y la usabilidad de los sistemas?

Se determina principalmente por el nivel de riesgo que la organización puede aceptar. Hay requisitos regulatorios que se deben cumplir de manera obligatoria, y a partir de ahí se mide el riesgo que la propia organización puede aceptar.

En concreto, todos los sistemas, de forma obligatoria, deberían cumplir con una base de controles mínimos, y todos los riesgos deben ser claramente identificados, evaluados, comunicados y tratados.

¿Cuáles son las principales amenazas de seguridad en el sector bursátil?

Actualmente hay un incremento en los ataques dirigidos a clientes digitales mediante campañas de suplantación de identidad y fraude, por lo que se vuelve muy importante centrar esfuerzos en crear campañas para generar consciencia entre nuestros clientes y enseñarlos a identificar herramientas como el MFA para proteger su información y los accesos a sus plataformas digitales de correo electrónico, banca, inversión, etcétera.

¿Cómo se fomenta una cultura de seguridad en las organizaciones?

Lo hacemos mediante un programa holístico de concientización, comunicación, evaluación de cumplimiento. Lo primero es comunicar de manera eficaz a toda la organización la importancia de la seguridad de la información en el día a día y, adicionalmente, incentivar una comunicación abierta mediante diferentes medios para informar cualquier evento o sospecha de vulneración.

¿Cuáles son las tendencias en ciberseguridad en el corto plazo?

La adopción de herramientas de Inteligencia Artificial para detección de amenazas, fraudes, y automatización de tareas recurrentes.

¿Qué papel tiene la inteligencia artificial en la seguridad de la información?

Será preponderante para optimizar los esfuerzos dedicados a la identificación de amenazas y automatización de tareas tanto de gestión como de operación. Será clave saber sacar ventajas de estas tecnologías para hacer mejor nuestro trabajo de protección de nuestras organizaciones.

¿Qué libro, podcast o recurso recomienda para los interesados en ciberseguridad?

Recomiendo el libro de Tribe of Hackers, que tiene una recopilación de experiencias vividas por expertos en seguridad a lo largo de su carrera, me gusta mucho porque una de las mejores formas de aprender algo es a través de las experiencias de otros.

La mejor estrategia de ciberseguridad es la que cubre las necesidades de la organización para cumplir sus objetivos de negocio.

¿Qué tan importante es contar con un plan de respuesta ante incidentes y de continuidad del negocio para lidiar con algún incidente de ciberseguridad?

Los incidentes de seguridad tarde o temprano ocurrirán por lo que es clave contar con un plan de respuesta que permita a la organización estar preparada y capacitada para responder de manera oportuna y lograr contener los impactos que pueda causar el incidente.

Es importante considerar dentro del plan el involucramiento no solo de las áreas técnicas de ciberseguridad y tecnología, sino a otros roles dentro de la organización que se enfocarán en el seguimiento con las autoridades pertinentes, clientes, dirección, etcétera.

¿Realiza campañas de concientización para sus colaboradores sobre los riesgos de las vulnerabilidades y de los grupos de amenazas?

Sí, las campañas son un pilar importante en la organización. La cultura que buscamos promover es de colaboración entre todos, enfocado a la prevención, ofrecer herramientas al personal para proteger mejor la información de la empresa, pero también la de su vida personal.

El programa de concientización es continuo y utilizando diversos medios de comunicación: capacitaciones presenciales, videos, correos electrónicos, entre otros.

EN BUSCA DEL BALANCE EN CIBERSEGURIDAD

Conversación con E. Karen Torres, Chief Information Security Officer (CISO), Masari Casa de Bolsa

¿Cuál ha sido el mayor desafío que ha enfrentado en su carrera?

Como CISO dentro del sector financiero, principalmente, uno de los mayores retos ha sido lograr un balance entre la constante innovación de las diferentes soluciones tecnológicas en seguridad y las inversiones asociadas a cada una de estas con el objetivo de cumplir las metas del negocio y reducir las áreas de ataques cibernéticos.

Asimismo, el cumplimiento de normativas y regulaciones vigentes aplicables al sector financiero, sumado a la implementación de estándares o marcos normativos de referencia de la industria, por lo que en general los retos son muchos y variados. Esto implica estar siempre al tanto de los cambios emitidos por los distintos organismos reguladores y asegurarse de que los sistemas informáticos y procesos internos de la organización estén alineados con los requisitos establecidos en dichas normativas además de los propios, según sea la estrategia de seguridad en la empresa.

Otro reto importante es la elaboración y aprobación del presupuesto para las iniciativas y diferentes acciones de ciberseguridad. Para lograr una adecuada gestión en este tema es importante permear entre los principales directivos de la organización la idea de que la ciberseguridad debe ser proactiva y preventiva, convenciéndolos de que la inversión es necesaria antes de que ocurra un problema, y no después.

El objetivo es estar lo mejor preparados para responder y actuar ante un evento inesperado que ponga en riesgo una de las capas de seguridad. Asimismo, mantener un programa de fortalecimiento y actualización de las distintas tecnologías y estrategias actuales de ciberseguridad es también un desafío constante.

Por último, debo agregar que en más de 12 años de experiencia laboral en este sector, que tradicionalmente es dominado por hombres, ser una mujer profesional desempeñando funciones y responsabilidades como CISO ha presentado desafíos en sí mismo, ya que hay una diversidad de género limitada y nos enfrentamos a la tarea de demostrar capacidades y habilidades profesionales continuamente. Además, claro, de destacar la relevancia del rol dentro de la organización.

¿Qué habilidades y conocimientos consideran son esenciales para un CISO?

En mi carrera, se han fortalecido diversas habilidades y conocimientos, en lo particular considero que los soft skills para dicho rol deben ser amplios e integrales, destacando que abarcan tantos aspectos técnicos, de conocimiento del negocio y estratégicos.

Primero, certificaciones relevantes como la CISM (Certified Information Security Manager), dirigida a profesionales experimentados en la Seguridad de la Información y enfocada en la gestión, promueve prácticas internacionales de seguridad y acredita personas que administran, diseñan, supervisan y evalúan la seguridad de la información de una empresa. La CISSP (Certified Information System Security Professional), otorgada por la ISC2 (International Information System Security Consortium).

Posteriormente, la comprensión del marco regulatorio y legislaciones aplicables a la actividad del negocio, asi como estándares y mejores prácticas de la industria, tales como metodologías de análisis de riesgos y ciberseguridad, como pueden ser las emitas por autoridades CNBV, BANXICO, NIST, ISO 27001, entre otras.

Otro punto importante es la comunicación efectiva entre los equipos de seguridad y los líderes dentro de la empresa, fundamental para la toma de decisiones informadas.

El CISO debe ser un experto técnico, así como un líder estratégico y comunicador eficaz, capaz de proteger los activos de una empresa y responder con rapidez y eficiencia.

El liderazgo y la capacidad para tomar decisiones, además del manejo de casos de crisis. Asimismo, la inteligencia emocional para manejar situaciones estresantes y comunicarse de manera efectiva. En ese sentido, la Comunicación efectiva, flexibilidad y adaptabilidad.

¿Cuáles consideran que son las tendencias en ciberseguridad en el corto plazo?

Las principales tendencias en ciberseguridad que se estan ya viviendo y se mantendrán en los proximos años consideran los siguientes temas principalmente:

• Inteligencia Artificial en todas sus variantes: La IA generativa es la que principalmente se está utilizando para mejorar la detección y respuesta de amenazas, modelados de ataque y defensa más agiles.

• Gestión de riesgos de terceros: La gestión de terceros/ socios comerciales y de negocio, como los proveedores estratégicos de productos y servicios tecnológicos, de seguridad y otros servicios críticos para las organizaciones es crucial para protegerse contra amenazas y vulnerabilidades.

• Comportamiento de los colaboradores: La concientización y la formación de los colaboradores de una organización son esenciales para reducir los impactos de los riesgos y vulnerabilidades que puedan comprometer la seguridad.

• Enfoques basados en la identidad: La autenticación multifactor y la gestión de identidades y accesos de una manera más agil.

¿Qué libro, podcast o recurso recomienda para los interesados en ciberseguridad?

Para cultivar el networking es recomendable formar parte de grupos de profesionales de ciberseguridad para estar al tanto de eventos y oportunidades para discutir y aprender de otros profesionales. Destaco algunas de las principales comunidades en las cuales me encuentro muy activa constantemente con una red de colegas y acceso a diversos recursos educativos: SANS, ISACA, NIST, WOMCY, Autoridades BANXICO, CNBV, diversos grupos de trabajo y colaboración AMIB, AMB.