SAFE. Guía para proteger tu vida digital y tu privacidad

3 sept 2007

Bancos e IT: ¿Seguros que estamos seguros?

La normativa 4609... y despues...

El Banco Central bajó línea sobre seguridad de la información a sus entidades afiliadas con la emisión de la norma 4609. Esta decisión es muy importante en muchos sentidos, pero esencial en uno: nos dio letra para hacer este nuevo informe especial. Ah... si los bancos tenían algo para decir, nosotros no nos enteramos: sólo Standard Bank, de 21 entidades contactadas, nos dejó su impresión sobre este tema..

No deben ser pocos los que recibieron este mail (o uno parecido) en
fechas recientes (o no tan recientes):

Subject: Atención al cliente de Francés net
De: BBVA Banco "Francés"
Fecha: August 6, 2007 12:36:36 PM GMT-03:00
Para: [email protected]
Asunto: Atención al cliente de Francés net

Estimado Cliente,

Según nuestros registros informáticos, hemos detectado recientemente que los accesos a su cuenta a través de Francés net han sido realizados desde diferentes direcciones IP.

Esto seguramente se debe a que la dirección IP de su conexión es
dinámica y varía constantemente, o debido a que usted ha utilizado más
de una conexión para acceder a su cuenta.

Debido a este suceso y en cumplimiento con la legislación vigente,
hemos actualizado nuestros sistemas informáticos para brindar una
mayor seguridad a nuestros clientes, por lo cual necesitaremos que
ingrese en su cuenta y efectúe una verificación de su actividad
reciente. Los procedimientos de seguridad requieren que usted
verifique la actividad en su cuenta antes del 9 de agosto de 2007. De
no ser así, transcurrida esta fecha, el sistema informático
automatizado de Francés net suspenderá su cuenta indefinidamente.

Desde ya le agradecemos su cooperación en este aspecto.

Para ingresar a su cuenta a través de Francés net y verificar la
actividad de la misma, debe hacer clic sobre el siguiente enlace:

https://www . bancofrances . com . ar/login.jsp?ID=61540
Apreciamos su ayuda y compresión, pues trabajamos juntos para que BBVA
Banco Francés sea cada día un lugar mas seguro para hacer negocios.

Departamento de Seguridad
BBVA Banco Francés

Por favor no responda a este correo electrónico, esto es un correo
automatizado solo para notificaciones.

(c) BBVA Banco Francés - 2007 All Right Reserved.


El mensaje precedente ha sido publicado tal cual como llegó. El receptor (* cuyo nombre ocultamos bajo el mote de Rodolfo *) llamó al centro de atención al cliente del banco y le explicaron que si no había operado con Francés Net (y no lo había hecho), no tenía de qué preocuparse. ¿El objetivo? Que un incauto haga clic en el link indicado y le dé la posibilidad a los hackers de quedarse con sus datos personales, incluyendo, tal vez (* entenderán que no me animé a hacer el clic *) los de su cuenta bancaria.

"Las amenazas principales que enfrentan los bancos a sus sistemas de
información en relación a sus usuarios tienen que ver con troyanos,
que llegan al disco rígido del cliente a través de un spam o luego de
que éste visitara un sitio Web engañado, creyendo que era el del
banco", explica Pablo Anselmo, gerente de seguridad de Microsoft Cono
Sur. "La misión de este tipo de software malicioso es hacer creer al
cliente que está en un sitio seguro, del banco, para 'sacarle' sus
datos personales", completa el ejecutivo.

Para Anselmo, los bancos están trabajando en dos líneas para minimizar
el impacto de esto. Por un lado, generando conciencia en los usuarios.
"Siempre donde se hace la operatoria de home banking hay un link que
habla sobre la importancia de la seguridad en las transacciones",
afirma, para aclarar casi de inmediato que los usuarios frecuentes
difícilmente lean ese instructivo. La otra línea de acción es el uso
de controles más específicos, como tarjetas con coordenadas o tokens.

Bits = morlacos

La situación de seguridad en los bancos es crítica, porque hay una
relación directa entre los bits y el dinero. Fabián Domínguez, gerente
de desarrollo de negocios de tecnologías avanzadas de Cisco cuenta que
"en los últimos años, los ataques informáticos cambiaron su foco: ya
no se trata de competir con otros hackers, de estar orgulloso de
violar un sitio inviolable o de compartir experiencias, sino de
generar ataques que sean cada vez más rentables". En este sentido,
"las instituciones financieras son más que apetecibles", completa.
Cisco propone el concepto de redes autodefensivas al mercado, que
sumando tecnologías de última generación permiten anticipar
conflictos.

Domínguez le da una vueltita de tuerca adicional al tema: "Los ataques
a financieras son más seguros para el hacker que los ataques a
entidades de gobierno, por ejemplo". ¿Cómo es esto? "Si una violación
se realiza en una agencia gubernamental, el atacante corre el riesgo
de que le caiga el FBI encima y que lo ponga preso, pero si se trata
de un banco, la institución siempre tiende a negociar, para que no se
haga público el hecho de que ha sido vulnerada y para evitar perder
credibilidad", concluye el Cisco boy.

"Los bancos son de las empresas que más utilizan sus sistemas
informáticos y que más expuestas están a ataques", puntualiza Rubén
Schillir, gerente comercial de Consist, una consultora que tiene en su
cartera la solución Intellinx, que ofrece un administrador de casos de
investigación, adicionalmente al seguimiento de comportamiento de
usuarios en aplicaciones de negocio internas. "Los episodios fraude en
instituciones bancarias de Estados Unidos se dan, en un 60 %, con la
participación de personal interno, es decir, de gente que está
autorizada por los sistemas a operar", concluye Schillir.

Nelson Sprejer, presidente de Pragma Consultores, va más allá todavía
y asegura que "ya no se puede decir que los bancos dependen de IT...
hoy, los bancos son IT". La compañía está especializada en consultoría
de negocios, desarrollo de proyectos IT e ingeniería del software.

Papá Noel con mala onda

Si bien es cierto que muchos bancos han tomado conciencia en los
últimos años de la importancia de la seguridad de la información,
también es verdadero que los seres humanos suelen ser hijos del rigor.
Por eso, el Banco Central de la República Argentina (* en adelante,
BCRA, así me ahorro de tipiar 39 caracteres cada vez y pongo sólo 4
*), en lugar de dejar a criterio de cada institución la estrategia de
seguridad, lanzó la normativa 4609 en diciembre de 2006, cuyo
cumplimiento efectivo debía arrancar 180 días después o, para decirlo
más fácil, los primeros días de julio. "La mayoría de los bancos no
llegó", anticipa el final Julio Ardita, director de Cybsec, como para
que no quede rondando un suspenso cinematográfico durante todo el
informe.

Para cumplir con la resolución, Pragma Consultores propone realizar
una hoja de ruta integral donde sobresale la gestión de riesgos,
partiendo de la misión del área de sistemas, analizando los objetivos
y la estrategia para alcanzar metas por debajo del riesgo aceptado que
defina la entidad. La compañía, además, organizó hace poco un desayuno
dirigido a CIOs del mercado financiero para analizar la norma.

"La norma era necesaria, porque viene a consolidar una situación que
se venía produciendo: el Central solicitaba a las entidades que
prestaran atención a este tema, pero sin una especificación que lo
respaldara", explica Andrés Gil, socio de la práctica Security &
Privacy Services de la consultora Deloitte, que ofrece servicios de
auditoría para algunos bancos y de disaster recovery o asistencia en
análisis de riesgo para algunos otros, que necesariamente no son los
algunos anteriores (* si auditan un banco no le pueden proveer
servicios de remediación *).

Haciendo un poco de historia, podemos decir que esta norma precede a
una con unos cuantos años de antigüedad, la 3198 (* de 1996 era... y
convengamos que en seguridad de la información es bastante al revés
que en el tango... once años son más que muchos *), que se caracterizaba
por ser muy poco rígida. En este caso, los auditores del BCRA que
visiten los bancos tendrán un importante checklist que incluye, entre
otras cosas, aspectos de políticas de seguridad, estrategias de
análisis de riesgos, temas relacionados con todos los canales de
interacción entre el banco y los clientes (banca telefónica,
e-banking, cajeros automáticos, puestos de trabajo en sucursales),
entre otros muchísimos.

"La 4609, emitida un 27 de diciembre, fue el regalo de navidad del
BCRA para los bancos: con los presupuestos cerrados, a las
instituciones les cayó como un baldazo de agua fría", agrega Ardita.
Cybsec identificó catorce servicios diferentes para brindar a los
bancos basados en la norma, que van desde el análisis de riesgo
tecnológico hasta la revisión del cumplimiento de la especificación,
pasando por el desarrollo o la adaptación de políticas y estándares de
seguridad, la definición e implementación de políticas de manejo de
pistas de auditoría (logs que determinen quién hizo qué y cuándo) o la
instalación de herramientas para proteger la operatoria de e-banking,
entre otros.

Vale aclarar que poco tiempo después, a causa de que algunos bancos
levantaron su voz contra algunos puntos de la norma original, el BCRA
lanzó una corrección: la 4690 (* sí, son números parecidos, mala
suerte *).

Chas chas en la colita

¿Qué ocurre con aquellos bancos que reciban al auditor de turno y que
no estén al día con lo que pide la norma? Muy sencillo: se les baja la
calificación.

"De todas maneras, no hay que perder de vista que los organismos de
control, llámese BCRA, Superintendencia de Seguros o la SEC
norteamericana, suelen marcar el camino que pretenden alcanzar sobre
sus controlados, por lo que las normas que emiten suelen ser una
gomita más estirada que lo necesario", afirma Claudio Doller, socio de
la consultora BDO Becher, cuyo core de negocios está en la auditoría.
Esto hace, según este muchacho, "que al principio aparezca una
sensación de que la norma es muy difícil de cumplir, pero después
aparecen criterios relacionados con la práctica que la hacen más
accesible".

Doller también tiene una explicación de por qué ahora surge la norma y
por qué con tanta premura porque los bancos se pongan al día. "Durante
la crisis, el BCRA no se mostró muy rígido porque las entidades no
tenían recursos para invertir, pero ahora hay que recuperar el tiempo
perdido".

Sprejer señala que "pasó el 30 de junio y los auditores ya salieron a
ver qué pasa y hasta están pegando duro, todo esto hace que los bancos
estén apurados por resolver el tema".

En una primera instancia, entonces, lo que los auditores mirarán antes
de ponerle una mala nota al banco (* y citar a los padres... calculo... es
el efecto inmediato posterior a la aparición de una mala nota... *),
será el plan de acción y el análisis de la brecha existente entre la
situación real del banco y la situación en la que debería estar.

No te banco

Como una ironía del destino, uno de los causantes que hacen que un
banco pueda no llegar en tiempo y forma a cumplir con la norma es... el
propio banco. "Los bancos se sienten abrumados y exigidos a la hora de
implementar medidas de seguridad de la información, porque muchas
veces los responsables de negocios de las entidades ven los controles
adicionales como excesivos o burocráticos y no dan su apoyo a los
proyectos que llegan del área de seguridad o del área de sistemas",
sostiene Carlos Pedeflous, COO de Barcelona/04 Computing Group,
empresa especializada en monitoreo de seguridad. Para Pedeflous, "este
tipo de normativas mueven a la alta dirección a soltar la canilla de
recursos destinados a este tema".

Schillir, por su parte, coincide con las palabras de su par: "la
excusa de que disminuye el tiempo de respuesta cuando se incorporan
elementos de seguridad es la más común en las áreas de sistemas de los
bancos".

Arnoldo Araya, director regional de Neosecure, agrega que "es cierto
que las áreas comerciales de los bancos todavía piensan que el cliente
quiere la menor cantidad de trabas posibles para acceder a los datos y
también es verdad que esta manera de mirar las cosas afecta de manera
negativa las inversiones en esta área". El ejecutivo de la consultora
especializada en seguridad que ofrece, entre otras cosas, un firewall
de nivel de aplicación, sostiene que "la plata que se utiliza para
seguridad sigue siendo considerada un gasto en muchas empresas, porque
es muy difícil justificar la inversión desde un ángulo de
costo-beneficio".

En este sentido, la norma 4609 también cobra mucha importancia:
"obliga a las instituciones a invertir", según Araya. Para Sprejer:
"la normativa ya cumplió sus objetivos: cambió el foco de la mirada y
hoy todos los bancos están trabajando en el tema de seguridad".

Christian Rovira, Field Service Manager para SCA de Citrix Systems (*
ok, ok... los defensores del castellano pueden llamarlo "gerente de
servicios de campo", a secas *) destaca que "entre los requisitos de
la norma hay uno que vale la pena resaltar que, si bien en muchos
casos se viene cumpliendo, esta normativa ahora le confiere
obligatoriedad: se establece que el directorio es responsable de la
existencia e implementación de políticas, de un Comité de Tecnología
Informática y de la asignación de recursos para esta área. De esta
manera, se escala la responsabilidad del Departamento de Sistemas a la
cúpula de la institución".

Citrix ofrece soluciones de entrega de aplicaciones de extremo a
extremo (desde el data center a los usuarios) y en los próximos meses
lanzará una nueva funcionalidad de Citrix Presentation Server, una de
sus soluciones más importantes, que permite grabar las sesiones de los
usuarios, una características orientada al mercado bancario para los
cajeros automáticos y servicios de home banking.

Sobre este punto también se explayó Juan Cerchia, Senior Solution
Strategist de CA: "hoy se ve, cada vez con mayor frecuencia, la
aparición de áreas de seguridad como gerencia dentro de los bancos".
El hombre se explaya un poco más: "antes se trataba de un departamento
dentro de IT, hoy, en cambio, tienen línea directa con la alta
gerencia". CA propone un completo análisis sobre la entidad financiera
para identificar el grado de cumplimiento de las prácticas de
seguridad comparado a las mejoras prácticas reconocidas
internacionalmente como primer paso y, a partir de allí, determinar
planes de acción y soluciones específicas. La empresa indica que el
análisis debe abordar tres etapas: identificación de activos y
creación de perfiles de amenazas, análisis de vulnerabilidades y
evaluación y mitigación de riesgos.

¿Son de palo?

Una de las opciones para resolver los problemas de seguridad que
tienen los bancos es tercerizar la gestión y contratar servicios
"pre-armados", diseñados por empresas especializadas en el tema. Hacer
outsourcing, bah. El conflicto, en este punto, se da más que nada por
una cuestión cultural. "Recién ahora se está viendo con más frecuencia
que los bancos se animen a contratar servicios gestionados de
seguridad", comenta Mariano Sciutto, ejecutivo de cuentas de Openware.

Esta empresa ofrece un servicio gestionado que ya es utilizado por los
bancos Bisel y Municipal de Rosario, llamado Attaka, y que se encarga,
principalmente, de la detección de vulnerabilidades en los sistemas.
"Hace un tiempo los bancos comenzaron a trabajar más responsablemente
el tema de la seguridad -completa Sciutto-. Con esta nueva normativa,
muchos que tenían la preocupación en la cabeza pero que no estaban
actuando de manera concreta comenzaron a implementar sus proyectos".
En ese punto, siempre según el ejecutivo de Openware, apareció "una
tendencia reforzada por los servicios gestionados".

Neosecure también ofrece servicios gestionados. "La mayoría de los
bancos todavía tiene un manejo interno de la seguridad, pero estamos
trabajando en evangelizarlos, en mostrarles los beneficios de los
servicios gestionados", cuenta Araya, para quien "es muy difícil que
un banco tenga la infraestructura necesaria para hacer un monitoreo de
actividades en tiempo real o el presupuesto para invertir en una que
se justifique". Al igual que Openware con Attaka, Neosecure también
ofrece un servicio de correlación de eventos útil para anticipar un
ataque a partir de las pistas dejadas a lo largo de distintas fuentes.

La vuelta al mundo en 80 normas

Quienes crean que el BCRA inventó la pólvora con esta normativa y que
los argentinos somos campeones del mundo en estándares de seguridad
bancaria (* a los argentinos nos encanta ser campeones del mundo en
cualquier cosa, no lo neguemos *), habría que advertirles que, hoy por
hoy, todos los países desarrollados del mundo ya han avanzado bastante
en este tema.

De hecho, los expertos coinciden en que la 4609 es el gateo que la
máxima institución financiera de la Argentina está probando para poder
caminar, hacia 2010, según los parámetros establecidos por Basilea II,
que todas las entidades financieras que forman parte del G-10 ya deben
cumplir a rajatabla.

"Como cualquier normativa, no es perfecta", comenta Roberto Heker,
socio de NextVision. "Pero la verdad es que está muy bien si se la
compara con la anterior que, por ejemplo, apenas si tenía una mención
para el tema de los planes de contingencia". NextVision es una empresa
especializada en seguridad informática que brinda servicios a bancos
desde la normativa 3198. "De todas formas, seguirá corrigiéndose y
profundizándose, en su camino hacia Basilea II", concluye Heker.

Vanesa Martínez, gerente especializada en temas de seguridad de
Deloitte, explica que "la 3198 había quedado obsoleta en términos de
mercado internacional, de hecho, los propios inspectores del BCRA iban
exigiendo cuestiones no reflejadas en la norma durante sus
auditorías".

¿Qué garantiza, entonces, que la 4609 no va a entrar también en estado
de obsolescencia en el corto plazo? "En realidad, esta norma refleja
las tendencias internacionales en el tema", agrega Martínez. Al
respecto también opina Marcelo Giménez, product manager de seguridad
para Global Crossing (* Impsat para los nostálgicos, para esos que
todavía le dicen Canning a Scalabrini Ortiz *): "este tipo de
normativas suelen tener revisiones que les permite mantenerse vigentes
en el tiempo y, además, generan una gimnasia de trabajo en las
entidades que moviliza hacia la mejora continua".

Impsat ofrece desde un servicio base de protección perimetral hasta
servicios profesionales, pasando por prestaciones de análisis de
contenido y controles internos avanzados.

En qué estado estás

"En la actualidad, el sistema financiero argentino, de acuerdo a los
indicadores macroeconómicos, se ha estabilizado, por lo que el BCRA ha
comenzado el proceso de establecer normativas en función de mejorar y
controlar los riesgos operacionales", introduce al tema Ariel Beliera,
ingeniero de preventa de Symantec para la región sur de America
Latina. "Sin embargo -continúa-, la realidad demuestra que los bancos
argentinos no muestran conciencia del grado de exposición de la falta
de gestión y control de este tipo de riesgo".

Pero eso no es todo. Beliera afirma que estas instituciones "sólo
toman medidas tradicionales para el riesgo comercial y crediticio,
principales ejes de la norma Basilea I, hoy día obsoleta". Symantec
ofrece servicios de consultoría que apuntan a la certificación y al
cumplimiento de normas y estándares internacionales como ser SOX,
COSO, COBIT, ISO/IEC 27001 - BS 7799-2, HIPPA, Basilea II y, por
supuesto, BCRA A4609, con su portfolio de soluciones de IT Compliance.

"Muchos bancos tomaron la actitud de esperar a ver qué pasaba y lo
cierto es que ya corrieron los 180 días que mencionó el Banco Central
y no hubo prórrogas", comenta Heker. "Son muchas las instituciones que
dicen que cumplen con la norma pero que todavía no la cubren",
concluye. De todas formas, en la visión de Giménez, "el crecimiento en
la curva del número de bancos que decidieron adecuar sus sistemas para
cumplir con la norma en los últimos seis meses ha sido exponencial".

Sandra Ryan, consultora de storage de Hitachi, explica que "a los
bancos hay dos cosas que les aprietan los zapatos: la necesidad de
resolver tareas operativas de manera inmediata que involucran datos
altamente sensibles y estar atentos a regulaciones que están
relacionadas directamente con la calificación que el banco recibe".
Esto hace, según la ejecutiva, que "lo urgente y lo importante estén
un poco peleados". Hitachi está especializada en soluciones de
almacenamiento y los diferentes productos que conforman su portfolio
contemplan las regulaciones de mercado relacionadas con la protección
y la integridad de los datos.

Es importante, a la hora de evaluar en qué estado se encuentran los
bancos respecto del cumplimiento de la norma, separar los bancos
privados internacionales, que ya tienen experiencia con SOX y cuyas
filiales locales ya recibieron bajada corporativa relacionada con
compliance, de aquellas entidades provinciales o nacionales. Rovira lo
dice tan claro que no sé para qué hice tanta introducción: "en la
implementación de políticas, soluciones informáticas y medidas de
seguridad, la norma general es que los grandes bancos son los que
llevan la delantera. En consecuencia, quizá la mayoría sólo necesite
realizar algunos pocos ajustes para adecuarse a la norma". Y sigue:
"por el contrario, hay otros casos en los que se requerirán mayores
inversiones en soluciones, infraestructura y recursos para cumplir las
exigencias de la comunicación".

Y nada de mirar al corto plazo o a la billetera. "Lo importante es que
los bancos entiendan este tema como un proceso que puede llevarles de
uno a dos años", concluye Gil, de Deloitte. "Hay dos formas de mirar
este tema", agrega Sprejer. La primera es meramente táctica: "agarro
una checklist y tildo qué tengo y qué no", aclara el hombre fuerte de
Pragma. La otra es estratégica e involucra construir un ambiente de
control, políticas y procedimientos, alineamiento de IT con negocios y
compromiso de la alta dirigencia. "Si un banco no logra tener una
mirada estratégica, no va a poder cumplir con la norma".

Javier Rubinsztein, gerente de ventas para Cono Sur de RSA muestra una
visión optimista: "el sector financiero siempre ha demostrado estar un
paso adelante en materia informática. Sin duda alguna que el esfuerzo,
la inversión, el entrenamiento y los programas de concientización que
han venido ejecutando los bancos en el último tiempo deberían llevar a
los mismos a un nivel de cumplimiento aceptable". De todas formas, el
hombre no pone las manos en el fuego (* ¿alguno de acá lo haría? Mmm...
no se ve ninguna mano en alto *): "lo veremos en breve cuando
comiencen las auditorías", concluye.

Ah, por si alguno no lo sabe, RSA tiene más de 20 años de experiencia
en brindar soluciones de seguridad. "vemos la seguridad como una
estrategia, y no como un producto o solución puntual", afirma
Rubinsztein. La empresa también fundó y forma parte de una comunidad
global que lucha contra el fraude electrónico.

¿Hola? ¿Hola? ¿Hay alguien ahí?

Nos pareció que una de las patas fuertes que debía tener este informe
era la participación masiva de los bancos contando cómo les fue con la
norma 4609 y qué tan al día tienen sus sistemas, sus políticas, sus
procedimientos y sus estrategias. Ahora bien, durante la
investigación, de la veintena de instituciones que contactamos (*
fueron 21, para ser más precisos... no contactamos a Nación, Ciudad,
Hipotecario ni Provincia, ni a Macro Bansud, BNP Paribas ni Patagonia...
del resto... los grandecitos... creo que no nos olvidamos de ninguno más
*), la mayoría escapó por la tangente y respondió cosas similares a
estas:

- "El vocero no está en Buenos Aires"
- "Por esta vez no podemos participar" (o "preferimos no participar")
- "Pasame un mail con las preguntas que te las respondo" (de más está
decir que las respuestas no llegaron nunca).
- "En estos momentos estamos con mucho trabajo"
- "Ah... ¿tiene que salir el nombre del banco? No, entonces no..."

Nobleza obliga, hubo una excepción importante: Standard Bank. Su CIO,
Gerardo Aguzzi, respondió nuestras preguntas sin problemas y en tiempo
y forma. El muchacho cuenta que "La seguridad es un tema prioritario
en nuestra organización desde siempre". Para graficar, explica que
"BankBoston, ya estaba en cumplimiento de estrictas regulaciones en
materia de control de riesgo y seguridad de la información, pues
cumplía con especificaciones como Sarbanes Oxley, es decir que además
de los entes reguladores locales debíamos ajustándose también a las
disposiciones de entes reguladores internacionales". Aquello generó
esto: "no debimos realizar mayores ajustes en nuestros procesos para
alinearnos a la nueva norma del BCRA", concluye.

El caso de Standard Bank es particularmente interesante, porque la
entidad cambió de nombre hace poco, de BankBoston. "El 'salto' no se
sintió, porque a la seguridad propia de los sistemas de BankBoston se
sumaron los estándares seguridad del grupo Standard Bank, que cumplen
con las normas y disposiciones internacionales que permiten satisfacer
los objetivos de seguridad requeridos en los más de 38 países donde el
banco esta presente".

Puntualmente, a la hora de opinar sobre la norma, Arguzzi dice que
"esta regulación está a la altura de países con economías
desarrolladas y propone una dirección que permitirá llevar a la
industria financiera a un ambiente de mayor control del riesgo
tecnológico", aunque no todo es color de rosa: "nos ha sorprendido el
plazo de entrada en vigencia ya que a nuestro entender la brecha
respecto a la anterior regulación es muy grande, por lo tanto de
difícil cumplimiento para muchas entidades financieras del mercado".

El tiro del final

Como es costumbre ya en estos informes especiales, dedicamos las
líneas finales a conclusionar el tema. Así, como primera medida,
podemos decir que la norma 4609 está bien, que se ajusta a la realidad
internacional en seguridad informática y que es un punto de partida
más que aceptable para ir yendo hacia Basilea II.

El segundo punto que queda es que los bancos están medio hasta las
manos cuando ya venció el plazo dado por el BCRA, pero que existe una
ventanita para zafar: por lo pronto, los auditores sonríen (* y
probablemente pongan gancho y se vayan a comer unas pizzitas a la
esquina, aunque esto último no nos consta *) sólo viendo un buen plan
de ejecución, aunque las cosas todavía no estén en funcionamiento.

El tercero es que los vendors parecen estar bien parados para dar una
mano a los bancos. Las soluciones de seguridad están, a esta altura,
bastante sólidas y maduras, aunque nunca falta un descalabro como para
garantizar que la excepción es, al final de todo, la encargada de
justificar la regla.

Y el dato más llamativo, sin embargo, sigue siendo el temor mostrado por las propias instituciones para salir a hablar sobre este tema. Es muy probable, y ojalá que así suceda, que con informe ya "puesto", muchos CIOs o gerentes de seguridad IT en bancos que no se animaron a hablar a priori (o que no contactamos, porque hay unos 90 bancos en la Argentina y, como dijimos, tratamos de sonsacar información sólo de 21) sí se atrevan a escribirnos una carta de lectores para actualizar la información de su institución respecto de cómo están encarando el cumplimiento de la resolución 4609.

De todas formas, no deja de ser paradójico que, justo cuando nos sentamos a escribir sobre seguridad en bancos, los bancos (* zafaron poquitos *) se sientan muy poco seguros como para aportar algo. En fin, hemos dicho.

Fuente: Fabian Garcia



Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!