El Centro de Cooperación Interbancaria (CCI) ha puesto en marcha la plataforma Pinakes, un modelo que permite la supervisión y calificación de ciberseguridad de los servicios de manera centralizada y con criterios uniformes. De esta forma, los bancos adheridos a CCI disponen de una información completa sobre los niveles de seguridad de sus proveedores en la prestación de sus servicios.
Este sistema, basado en el modelo de la agencia de calificación española LEET Security, permite que las entidades cumplan con una de las regulaciones más exigentes en la gestión de riesgos tecnológicos, la establecida por la Autoridad Bancaria Europea (EBA). Esta normativa obliga a bancos, entidades de crédito, entidades de pago y entidades de dinero electrónico, a garantizar que todos los proveedores en los que se externalizan funciones esenciales o importantes para el negocio, cumplan con los requisitos de seguridad establecidos por cada una de las entidades.
Pinakes nace con el compromiso de participación de la práctica totalidad de las 124 entidades de depósito asociadas a CCI y que constituyen la práctica totalidad del sistema financiero español. Según los datos de los propios bancos, más de un millar de proveedores debería contar con una supervisión sistemática y centralizada de ciberseguridad que garantice los niveles de seguridad de sus servicios, por lo que urge la necesidad de un modelo capaz de avalar que los proveedores de entidades financieras cumplen con la normativa vigente de ciberseguridad.
¿Cómo identificar los riesgos de los servicios externalizados?
El aumento continuo de incidentes de seguridad a través de la cadena de suministro demuestra la necesidad de que exista una supervisión de los proveedores. Pero es cierto que la ejecución de las directrices de la EBA supone un verdadero problema para todas las entidades, que en ocasiones cuentan con cientos de proveedores.
Según datos de los propios bancos, las entidades de mayor tamaño cuentan con más de 500 proveedores y los de menor tamaño superan el centenar. Además, muchos de estos lo son de varios clientes, generalmente con más de un servicio.
De esta forma, la creación de un sistema capaz de unificar en un solo modelo todas las auditorías y evaluaciones previas, necesarias para garantizar la seguridad de los proveedores de los sistemas financieros, es una solución que agiliza todos los procesos del sector y garantiza la seguridad de los servicios prestados por terceros.
El sistema puesto en marcha por el CCI y la agencia Leet Security, es sencillo: por un lado, se encuentra la entidad financiera que necesita determinar, conocer y supervisar el nivel de seguridad de las funciones que externaliza, por otro, están los proveedores de servicios y en medio, se sitúa Pinakes con un conjunto de empresas auditoras homologadas que evalúan el nivel de ciberseguridad de los diferentes servicios ofrecidos por un proveedor.
El resultado es una “calificación” que permite conocer el grado de seguridad con el que cuenta un servicio, que evalúa hasta 76 factores diferentes. De esta forma, cada entidad puede comprobar si el servicio ofrecido resulta adecuado a las condiciones requeridas para la contratación, en función de la criticidad o la importancia de la función a externalizar.
Auditorías homologadas
Las evaluaciones las realizarán las empresas de auditoría que estén homologadas para hacerlo. Para homologarse, las auditoras deberán acreditar altos estándares en la realización de auditorías, capacitación técnica de su personal, así como asegurar una total imparcialidad y ausencia de conflictos de intereses en la realización de las evaluaciones.
Además, Pinakes ofrece una monitorización digital continuada. Esto significa que, además de la calificación de ciberseguridad del servicio obtenida tras la correspondiente auditoría, durante el periodo de vigencia de esa calificación, la monitorización digital explora en busca de posibles objetivos que puedan ser aprovechados para causar una brecha de seguridad.
Según afirma Antonio Ramos, CEO y socio Fundador de LEET Security, «Pinakes pone de manifiesto el carácter puntero de la banca española, y va a hacer, sin duda, que el ecosistema empresarial español sea más ciberseguro, gracias a la transparencia sobre el nivel de ciberseguridad de los actores. Estamos muy orgullosos del grado de aceptación que ha tenido nuestro sistema de calificación entre todos los actores involucrados».