Publicado originalmente en Reglamento Asia.
Con el aumento de los ciberataques, que afectan a todo tipo de organizaciones y a todos los sectores, la amenaza de que se produzcan violaciones de datos costosas, embarazosas y que afecten a los resultados es muy real. El problema no se está reduciendo, sino que está creciendo como un tumor.
A menudo se me pide que proporcione ejemplos de qué organizaciones están combatiendo este problema, navegando por el "salvaje oeste" de la ciberseguridad y las mejores prácticas de AppSec con especial delicadeza y maestría. Me encuentro con una respuesta más frecuente que otras: es el sector financiero el que lo está haciendo mejor que la mayoría.
La normativa: Un factor que impulsa el liderazgo en ciberseguridad del sector financiero
Una de las razones por las que el sector financiero se desenvuelve tan bien en el espacio de AppSec es que (al menos en parte) se ven impulsados por la preocupación de los reguladores globales, regionales y nacionales por los impactos universales -por no hablar de catastróficos- que podrían resultar de un ataque de ciberseguridad o un robo de datos con éxito.
El BCBS (Comité de Supervisión Bancaria de Basilea) publicó en diciembre un informe en el que se detalla la variedad de prácticas de ciberresistencia observadas en bancos, reguladores y supervisores de múltiples jurisdicciones. Entre sus principales conclusiones figura el problema de la escasez de competencias en ciberseguridad, un factor que solo unas pocas jurisdicciones han tratado de afrontar mediante la implantación de certificaciones cibernéticas específicas.
"Algunas jurisdicciones tienen normas específicas de TI que abordan las responsabilidades de la fuerza de trabajo de TI y las funciones de seguridad de la información, con especial atención a la formación y las competencias de la fuerza de trabajo de ciberseguridad", dice el informe. Pero la mayoría de las jurisdicciones están en las "primeras etapas" de la aplicación de prácticas de supervisión para controlar las competencias y los recursos de la fuerza de trabajo cibernética de un banco.
En su mayor parte, los regímenes normativos exigen a las entidades reguladas que gestionen los riesgos, pero rara vez existe una vía clara para mitigar con éxito este riesgo. No establecen requisitos específicos (o, de hecho, puntos de referencia) para abordar las habilidades y los recursos de la fuerza de trabajo de ciberseguridad. La mayoría de los reguladores evalúan el personal de ciberseguridad de las instituciones a través de inspecciones in situ, en las que los cuestionarios deassessment son una práctica común, y los procesos de formación son particularmente examinados, pero sólo en unas pocas jurisdicciones las regulaciones abordan específicamente las funciones y responsabilidades del personal de TI. En pocas palabras, el margen de error es grande y el énfasis en la formación adecuada y la posterior assessment de las habilidades es bastante pequeño.
En Japón y Corea del Sur, las autoridades públicas han establecido directrices sobre la gestión adecuada de la mano de obra de ciberseguridad. En la mayoría de las demás jurisdicciones, sin embargo, los requisitos normativos para la gestión de la ciberplantilla se limitan a las expectativas de supervisión, donde a menudo no hay assessment por parte de los supervisores de las habilidades de ciberseguridad y la formación del personal en las organizaciones reguladas.
Sólo Hong Kong, Singapur y el Reino Unido han emitido marcos específicos para certificar las habilidades y competencias de los cibertrabajadores. Aunque palabras como "cumplimiento" y "certificación" tienden a provocar un escalofrío en la espina dorsal del desarrollador medio, creativo y resolutivo, encargado de crear grandes funciones de software (con ellos, la seguridad se considera a menudo un problema de otros, concretamente del equipo de seguridad), las enormes cantidades de datos sensibles que poseen muchas entidades reguladas son sencillamente demasiado valiosas para dejarlas en manos de aquellos cuyas habilidades se "suponen" en lugar de verificarse adecuadamente.
Afortunadamente, muchas instituciones bancarias y financieras lo reconocen sin depender necesariamente de una vía normativa obvia. La normativa ofrece ciertamente una visión general de las expectativas de resultado final (es decir, software seguro), pero han identificado que para lograrlo es necesario sortear la escasez de competencias en ciberseguridad mediante la formación de los desarrolladores, el fomento de su relación con los profesionales de AppSec existentes y la creación de una cultura de seguridad positiva que genere responsabilidad y propiedad.
¿Por qué el sector financiero tiene el "factor X" de la ciberseguridad?
Hay varios elementos en juego para las empresas de los sectores bancario, de servicios financieros y de seguros, que se unen como pilares de fortaleza en los que se basa su posición de liderazgo en el panorama de la ciberseguridad.
Naturalmente, como guardianes de las finanzas del mundo (por no hablar de los millones de registros de datos altamente sensibles), suelen ser organizaciones muy reguladas y orientadas al cumplimiento de la normativa: se esperan y se planifican directrices, reglamentos y requisitos actualizados de manera significativa. En consecuencia, se han adaptado como patos al agua a las necesidades cambiantes de mitigación del riesgo cibernético, y cuentan con algunas de las políticas de mejores prácticas de ciberseguridad más estrictas, así como con procesos integrales para reducir su exposición a posibles ataques.
Entonces, ¿qué hacen las instituciones financieras de forma diferente a las demás? Según mi experiencia, han sentado las bases para ser más conscientes de la seguridad que los demás, identificando la necesidad de programas de formación holísticos, y dedicando recursos a ellos, no solo para los profesionales de la seguridad de las aplicaciones y los encargados de las pruebas de penetración, sino también para sus equipos de desarrollo (normalmente muy grandes y dispersos por todo el mundo).
Dado que la ciberseguridad es algo relativamente nuevo en la mayoría de las organizaciones, es refrescante que las instituciones financieras tengan una mentalidad verdaderamente abierta e innovadora en su intento de proporcionar un software seguro. Muchas han visto las ventajas de mejorar las competencias del grupo de desarrolladores con una formación atractiva que los saque del aula y los lleve a una experiencia de aprendizaje práctica y relevante que les ayude no solo a solucionar problemas, sino a comprender la importancia de la codificación segura en general.
Después de todo, la codificación segura es un ingrediente clave para forjar una relación sólida y funcional entre los desarrolladores y el equipo de seguridad de las aplicaciones, así como para mantener una cultura de seguridad sólida dentro de la empresa. Otro factor clave que impulsa el éxito de un programa de seguridad es asegurarse de que las partes interesadas clave están a bordo y ven los beneficios, incluso si no son profesionales de la seguridad.
Las instituciones financieras tienden a comunicarse bien con la dirección ejecutiva, asegurándose de que los responsables de la toma de decisiones al más alto nivel comprendan que los procesos de seguridad no son medidas "fijas y olvidadas"; deben evolucionar tan rápidamente como la tecnología que se utiliza y adaptarse a los riesgos variables.
Puede que ahora cueste tiempo y dinero, pero con las vulnerabilidades treinta veces más caras de corregir en el código comprometido, un programa de seguridad bien completo " que incluya la formación desde el principio " es un ahorro de dinero a largo plazo: es mucho más barato cuando los problemas de seguridad se solucionan a medida que son escritos por desarrolladores conscientes de la seguridad.
Las normas de seguridad empiezan a estar a la altura de los crecientes riesgos
El Consejo de Normas de Seguridad de la Industria de la Tarjeta de Pago (PCI), que mantiene su compromiso de ayudar a las organizaciones financieras a aplicar políticas de seguridad viables y a mantener las directrices en todos los ámbitos, es un importante impulsor del cumplimiento de la normativa en materia de ciberseguridad en el sector financiero. Ha sido una fuerza positiva para ayudar a este sector a alcanzar uno de los niveles más altos de seguridad en el software de pagos.
Sin embargo, hay que decir que muchos de nuestros clientes del sector financiero han superado incluso las directrices actuales del PCI Security Standards Council. Aunque estas directrices recomiendan la formación de los desarrolladores, (como se ha mencionado antes con otros ejemplos de información reglamentaria) no especifican un tipo concreto ni un punto de referencia determinado a cumplir para indicar que la formación ha sido eficaz.
Dado que muchas vulnerabilidades, como la inyección SQL y el cross-site scripting (XSS), llevan rondando más de veinte años (y siguen causando problemas en 2019), está claro que no toda la formación es igual ni eficaz. Al adoptar una formación segura, práctica y gamificada, los bancos y otras empresas de servicios financieros están viendo resultados mucho mejores y una reducción real de las vulnerabilidades que pueden causar estragos si se explotan.
Un gran ejemplo es la forma en que la institución bancaria estadounidense Capital One ha utilizado técnicas de formación gamificadas como parte de su innovador sistema de certificación y Colegio Tecnológico. Según Russell Wolfe, su Director de Educación en Ciberseguridad y Computación en la Nube, en un seminario web reciente, los programas de formación voluntarios y la codificación tournaments ganaron tracción muy rápidamente, con una demanda sin precedentes y una motivación orgánica de los compañeros para obtener la certificación y ayudar a mejorar las habilidades de otros.
¿Qué pueden hacer los reguladores para asegurarse de que los trabajadores de la ciberseguridad están adecuadamente formados?
Los reguladores de todo el mundo pueden realmente "mejorar" sus políticas y directrices de ciberregulación existentes, simplemente esbozando las metodologías y normas de formación aceptadas que deben cumplir los encargados de proteger nuestros datos. Por el momento, parece que hay una referencia general a un requisito de formación en la mayoría de las políticas reguladoras, pero hay poco seguimiento para garantizar que los que pasan por cualquier formación prescrita están absorbiendo el contenido y las técnicas necesarias para ayudar realmente en la lucha contra las amenazas cibernéticas.
Sin embargo, la reciente decisión de la Autoridad Monetaria de Singapur (MAS) de incluir la adopción de programas de formación sobre seguridad y las mejores prácticas de desarrollo de software seguro en la última iteración de sus Directrices sobre Riesgos Tecnológicos es alentadora. Una vez que las directrices entren en vigor, exigirán a las instituciones financieras que se aseguren de que sus desarrolladores de software están formados para aplicar la codificación segura, la revisión del código fuente y las normas de prueba de AppSec al desarrollar el software, lo que debería contribuir en gran medida a minimizar los errores y las vulnerabilidades.
Para mí, la formación de la cohorte de desarrollo con técnicas prácticas del mundo real es, con mucho, la más atractiva y relevante para sus trabajos, al tiempo que sienta las bases de la sólida cultura de seguridad que todas las organizaciones deben crear antes de que sea demasiado tarde.