seguritecnia 410

80 SEGURITECNIA Julio-Agosto 2014 Seguridad en Entidades Financieras L levamos ya más de una dé- cada en la que la seguridad TIC y, a mayores, en los últi- mos años la seguridad integral están tomando una relevancia extraordinaria en los procesos, servicios y aplicaciones, así como en las plataformas, infraestruc- turas y redes de comunicaciones donde se soportan, sin olvidar uno de los ac- tores relevantes, las personas. Todo ello motivado por el crecimiento exponen- cial de los riesgos y los escenarios de impacto ante los nuevos usos de las tecnologías y la evolución de las mis- mas hacia la movilidad total. Acceder a un servicio es “aquí y ahora”, a través de un mundo interconectado y donde las cibermafias, ya no simples hackers que buscan notoriedad o cometer un fraude acotado, han visto una industria del crimen organizado donde los vec- tores de ataque son novedosos y cada vez más ingeniosos, combinando técni- cas de todo tipo, desde la ingeniería so- cial hasta los más sofisticados malware , troyanos o APT dirigidas. La seguridad TIC tradicional ha es- tado inicialmente concebida por lo que podríamos denominar “implanta- ción por impulsos” y de manera más bien reactiva, dado que no existía, y aún es digna de mejora, una cultura a todos los niveles en la que cons- truir servicios y aplicaciones seguros sea visto como una inversión y no un gasto, o que configurar los sistemas o bases de datos de manera que es- tén bastionados no es un capricho de unos “sekis” de la seguridad, sino una necesidad para garantizar la CID (Con- fidencialidad, lntegridad y Disponibi- lidad). Precisamente los cambios y prolifera- ción de vectores de ataque que ya no sólo ponen en tela de juicio al ámbito empresarial y privado de diferentes sec- tores, como por ejemplo el fraude on- line en la banca a distancia o en medios de pago (tarjetas), sino también a nive- les de otro tipo de sistemas, como los SCADA, que soportan servicios y sumi- nistros esenciales para nuestro ecosis- tema social e incluso ataques o subs- tracción de información a otros nive- les, están haciendo virar el rumbo de la cultura de seguridad hacia una conver- gencia de las distintas seguridades, lle- gando incluso a preocuparnos por la continuidad cada vez más global y la gestión de las crisis y emergencias. En definitiva, estamos empezando a mirar hacia la prevención en todos los ámbi- tos (estratégico y de gobierno, táctico y de gestión y operativo y técnico) como una potente herramienta que mejora el enfoque tradicional caracterizado por el análisis de riesgos de forma sesgada y por partes. Estamos pasando ahora a un enfoque mucho más moderno de la gestión integral de todos y cada uno de los riesgos y, a mayores incluso, al análi- sis de impactos, puesto que, aunque las probabilidades de ocurrencia sean ba- jas, la sola materialización de un evento con un alto impacto puede llegar a de- jarnos fuera de juego por diversas razo- nes: fuga de información, robo, sabo- taje, ciberataques… Eventos que afec- tan a nuestra reputación e imagen de marca, a nuestros servicios y, por ende, a nuestros resultados y resiliencia como compañía o sector. Pedro Pablo López Bernal Gerente de Gobierno, Riesgos y Compliace & Protección, Infraestructuras y Continuidad de RSI Evolución de la seguridad de las entidades financieras en la lucha contra el fraude y la ciberseguridad Estamos pasando a un enfoque mucho más moderno de la gestión integral de los riesgos y al análisis de impactos