La banca española une fuerzas y crea un ‘marketplace’ para evitar los ciberataques

La banca española ha decidido sumar fuerzas para hacer frente a un enemigo común: los ciberataques. Y lo hace de la mano del Centro de Cooperación Interbancaria (CCI), al que están asociadas 124 entidades financieras en el país, entre ellas Santander, BBVA, CaixaBank, Bankinter o Banco Sabadell. El citado centro acaba de poner en marcha una plataforma, denominada Pinakes, que permite evaluar que los proveedores de todas esas entidades cumplen con la normativa vigente de ciberseguridad.

La plataforma actuará como un marketplace donde se reunirá a las propias entidades financieras, sus cientos de proveedores (empresas tecnológicas, de externalización de servicios, consultoras, despachos de abogados, etcétera) y un conjunto de auditoras, que se encargarán de auditar el nivel de seguridad de cada servicio que se ofrezca a la banca. “De este modo, disponemos de un mecanismo eficiente para asegurarse la fiabilidad de los servicios prestados, y poder cumplir con una de las regulaciones más exigentes en la gestión de riesgos tecnológicos, la establecida por la Autoridad Bancaria Europea (EBA), que para llevarse a cabo de forma individual resulta de enorme dificultad, si no imposible, debido a la enorme cantidad de proveedores a supervisar por cada entidad financiera”, explica a CincoDías Herminio del Campo Cueva, director general del CCI.

Dicha normativa obliga a bancos, entidades de crédito, entidades de pago y de dinero electrónico a garantizar que todos los proveedores en los que se externaliza funciones esenciales o importantes para el negocio cumplan con los requisitos de seguridad establecidos por cada una de las entidades. Y según los datos de los propios bancos, las entidades bancarias de mayor tamaño cuentan con más de 500 proveedores y los de menor tamaño superan el centenar, lo que llevaría a que más de un millar de proveedores debería contar con una supervisión sistemática y centralizada de ciberseguridad que garantice los niveles de seguridad de sus servicios.

El contexto que afrontan es preocupante, pues como apunta Del Campo "a nadie se le escapa que la banca es uno de los principales sectores objetivo de ataques informáticos". De hecho, los ciberataques al sistema financiero se han triplicado en 10 años y, según un estudio del Fondo Monetario Internacional, en 2020 se produjeron 1.500 ataques a entidades del sector frente a los 400 de 2012.

“Se da la circunstancia, además, de que el sector financiero es, junto con el asegurador, el que trabaja con más proveedores. Tiene un ecosistema muy amplio, y lo que se ha visto en los últimos años es un aumento continuo de incidentes de seguridad a través de su cadena de suministro. Ello demuestra que no es suficiente con que las entidades financieras inviertan mucho internamente para ser inexpugnables, pues sus fortalezas pueden estar llenas de agujeros de seguridad como un queso gruyere si no trabajan con proveedores que garanticen al menos el nivel que se exigen internamente. Por ello, desde el CCI quieren robustecer ese eslabón más débil de la cadena”, asegura Antonio Ramos, CEO y socio fundador de LEET Security, una compañía que ofrece una calificación específica de seguridad de los servicios TIC y que ha licenciado su know-how al Centro de Cooperación Interbancaria.

Pinakes nace con el compromiso de participación de la práctica totalidad de las 124 entidades de depósito asociadas a CCI y que constituyen la práctica totalidad del sistema financiero español, de las que 14 de ellas (que suman más del 90% de los activos del sector) han formado parte además del desarrollo de la plataforma desde septiembre de 2019.

El sistema que utiliza la plataforma, y que ha proporcionado LEET Security, es similar al usado por las agencias de calificación financiera como Moody’s, lo único que en vez de ofrecer calificaciones crediticias, subiendo o bajando los rating en función de sus riesgos a nivel financiero, aquí lo que se obtiene es una calificación que permite conocer el grado de seguridad con el que cuenta un servicio. En las auditorías se evaluarán hasta 76 factores diferentes.

“Por un lado, estará la entidad financiera que necesita determinar, conocer y supervisar el nivel de seguridad de las funciones que externaliza; por otro, los proveedores de servicios, y en medio, estará Pinakes con un conjunto de empresas auditoras homologadas que evaluarán ese nivel de ciberseguridad de los diferentes servicios”, resume Del Campo.

Además, Pinakes ofrecerá una monitorización digital continuada. Es decir, que además de la calificación de ciberseguridad obtenida tras la auditoría, durante el periodo de vigencia de la calificación obtenida se hará un seguimiento en busca de posibles objetivos que puedan ser aprovechados para causar una brecha de seguridad.

Los impulsores de la plataforma resaltan igualmente que los beneficios de tener un modelo de supervisión de proveedores centralizados no son solo para las entidades financieras, que evitarán destinar recursos a estas auditorías, pues el coste para ellas de utilizar este servicio se limita al pago que hacen por pertenecer al CCI. “También aporta un gran valor a los proveedores, pues la mayoría se ven ahora obligados a soportar evaluaciones múltiples por el mismo servicio al tener a muchas entidades como cliente, lo que conduce a una situación absolutamente ineficiente para todos”.

El lanzamiento de Pinakes pasa por la adhesión de los asociados de CCI, a los que ya les han hecho llegar el contrato, “que ahora está circulando para aprobación por los respectivos servicios jurídicos”, dice Herminio del Campo. La plataforma ya ha sido presentada a más de 140 proveedores y a las principales auditoras presentes en el país “y la mayoría han mostrado interés en participar. Algunas auditoras ya están en el proceso de tramitación previo a su incorporación”, añade. La plataforma se financiará con la tarifa anual que deberán pagar los proveedores para estar ahí y la que abonarán las auditoras por estar homologadas. El acuerdo que cierren proveedor y auditor está fuera del marco del servicio.

“El plan de negocio persigue compensar los gastos e inversiones necesarios para prestar el servicio de una manera adecuada. No hay ánimo de lucro. Por eso, las tarifas no representan un montante significativo y no constituirán una barrera de entrada para los proveedores, pues además tendrá en consideración el tamaño de los mismos”.

Las auditoras, según advierten desde el CCI, deberán acreditar altos estándares en la realización de auditorías, capacitación técnica de su personal, así como asegurar una total imparcialidad y ausencia de conflictos de intereses en la realización de las evaluaciones antes de ser homologadas.

“Pinakes es un servicio único en el escenario europeo”, según Ramos, que señala que la iniciativa muestra “el carácter puntero de la banca española y va a hacer que el ecosistema empresarial español será más ciberseguro, gracias a la transparencia sobre el nivel de ciberseguridad de los diferentes actores”.