Durante la última semana de julio, como SBIF visitamos a los reguladores de Estados Unidos, el mayor mercado bancario del mundo, así como a instituciones financieras y algunos bancos globales. De estas reuniones pudimos sacar valiosas lecciones sobre la organización existente en materias de regulación y supervisión de ciberseguridad.
Uno de los aspectos donde se nota el mayor desarrollo del mercado financiero de ese país es la institucionalidad existente para compartir información sobre incidentes de seguridad. Por defecto, los incidentes son asumidos como maliciosos, calificación que no cambia hasta que se pruebe lo contrario. La respuesta proactiva del sector privado y su interacción con el Estado se ha materializado en la creación de múltiples instancias de colaboración.
Éstas reúnen a un amplio número de instituciones financieras, así como a reguladores como la Reserva Federal y el OCC.
Una de estas instancias, el Financial Services Information Sharing and Analysis Center (FS-ISAC), por ejemplo, cuenta con alrededor de 7.000 miembros de todo el mundo, que reportan continuamente incidentes. El rol de FS-ISAC es alertar a la comunidad financiera, compartir reportes técnicos, educación, entrenamiento y ejercicios de simulación. La ciberseguridad es un ámbito en que las instituciones no compiten. La fortaleza está en la colaboración.
Como en Chile, la regulación está basada en principios y buenas prácticas, considerando el tipo de institución de que se trata, los riesgos a que la institución se expone en razón de su modelo de negocios y su tamaño.
Otro elemento de interés es que tanto en Estados Unidos como en Chile el rol del gobierno corporativo de los bancos y su nivel de involucramiento en la ciberseguridad es considerado como esencial. La conciencia de la alta relevancia de la ciberseguridad debe venir desde lo más alto de las organizaciones, el denominado "tone from de top". Otro elemento clave son los planes de contingencia y de continuidad operacional. Éstos no solo existen, se preparan y actualizan, también pasan por procedimientos de validación, como prueba de que realmente funcionan.
En Estados Unidos las organizaciones dedican grandes esfuerzos y cuantiosos recursos para probar sus planes y realizar simulaciones periódicas individuales y de la industria. Esto permite superar las brechas detectadas en estos ejercicios con el compromiso de toda la organización.
No existen sistemas ni fórmulas perfectas, y el enfoque del regulador norteamericano en su supervisión es uno entre varios a nivel mundial, pero es relevante considerar esta experiencia a la hora de avanzar en la adopción de mejores prácticas. El nivel de desarrollo y madurez alcanzado por los reguladores y los bancos se manifiesta en una verdadera "cultura de ciberseguridad".
Esta cultura se hace material y visible en que cada persona entiende el rol que le cabe en proteger la información. El camino a recorrer no es fácil, pero sin duda hay pasos en los cuales podemos avanzar en forma decidida y entender urgentemente que la ciberseguridad es un desafío que se enfrenta en equipo.