'Está demostrado que cada vez que inviertes en educación el nivel de fraude baja' (Iker Osorio, Cetelem)

  • Entrevistas

Iker Osorio, Cetelem

Cetelem tiene motivos más que suficientes para ser una de las financieras más exitosas del mercado. Marca comercial de BNP Paribas Personal Finance, Cetelem está especializados en crédito al consumo, está establecida en más de 30 países y suma más de 27 millones de clientes en el mundo. En España Iker Osorio es la persona encargada de garantizar la ciberseguridad de una empresa que pertenece a uno de los sectores más regulados, la banca, y más atractivos para los ciberdelicuentes.

El sector se enfrenta, además, a una serie de retos, empezando por una transformación digital meteórica que ha llevado al sector a pasar, en pocos años, de una banca tradicional a una banca online; “y ahora estamos yendo directamente a la banca móvil”. Para Iker Osorio esta evolución es uno de los grandes desafíos a los que se ha enfrentado el sector; “no se trata de una transformación digital, sino de una transformación digital móvil”, dice el CISO de Cetelem, añadiendo que tan importante como el agregar nuevos servicios y la securización de los mismos es mantener la experiencia del usuario; “para mí, desde el punto de vista del cliente, es uno de los grandes retos”.

Este contenido salió publicado en el número de julio de la revista IT Digital Security disponible desde este enlace.

Habla también Osorio de los desafíos ocasionados por la regulación, y no sólo menciona la famosa GDPR sino PSD2, por la que “nos vemos obligados a liberar información que tenemos de nuestros clientes hacia terceros, para que la competencia sea más sana, más abierta”. Dice el CISO de Cetelem que, junto con el sector telco, la banca es el que más volumen de datos tiene de los clientes, información que hay que asegurar adecuadamente. Añade que es importante proteger la información relacionada con los hábitos de consumo del cliente y que una de las cosas que traerá el futuro, desde el punto de vista del negocio, “es hacer valor de esa información de los datos”.

Planteamos en este punto de la entrevista el papel que podrían desempeñar las redes sociales con la información que manejan. Y es que desde hace años se menciona la posibilidad de que una de las redes sociales más populares pudiera colaborar con las entidades financieras en temas de rating y scoring de los usuarios y clientes comunes. “Nosotros no lo estamos utilizando ni estamos cerca de utilizarlo”, dice Iker Osorio, explicando que hacerlo tiene implicaciones en protección de datos bastante grandes; “parece una tecnología interesante, no te voy a decir que no, pero creo que todavía queda algún tiempo para que eso lo veamos, al menos de manera generalizada”.

El CISO y el código penal

¿Cuál es el futuro del CISO? No cabe duda de que la evolución del CISO en los últimos años ha sido importante; la figura ha ido cogiendo cada vez más peso y una de las palancas para que esto ocurriera ha sido la regulación; “la regulación ha hecho no sólo que nosotros tengamos que estar ahí, sino que tengamos unas funciones, unas obligaciones y unas responsabilidades”. Espera Osorio que la regulación siga evolucionando y apunta a que “se empieza a oír el que los CISO puedan tener una responsabilidad penal en caso de que no hagan su trabajo como deben. No me gustaría que se avanzara por ahí, pero creo que puede ocurrir y, según en qué sector, sería razonable pensarlo”.

No parece justo que esto ocurriera, que se le pueda exigir ese nivel de responsabilidad a un CISO mientras que admite y protege a los clientes incluso cuando utilizan los servicios sin garantías, en dispositivos sin ningún tipo de solución de seguridad o incluso rooteados, en redes inalámbricas gratuitas que pueden ser espiadas… Ante esto explica Iker Osorio que se están trabajando en algunas acciones; “PSD2, por ejemplo, ya requiere que hagamos algún tipo de actividad relacionada con el awareness externo, es decir, educar a nuestros clientes para que sean conscientes de las medidas de seguridad que tienen que tener con sus dispositivos”. Los clientes, dice, ya no sólo utilizan una contraseña, sino un segundo factor de autenticación, “y eso ayuda a proteger la actividad del propio cliente”.

Si un cliente no es consciente, o no usa sus credenciales con la debida diligencia, puede ser víctima de un fraude y de momento el sector financiero lo asume entendiendo que no existe negligencia, dice Osorio; “creo que ningún cliente quiere que le roben información o que le roben su dinero”, y añade que educar a los clientes impacta directamente en las cuentas de la compañía porque “está demostrado que cada vez que inviertes en educación este nivel de fraude baja”. De forma que más allá de la tecnología, de poner un segundo factor de autenticación o de poner todos los controles técnicos a nivel de ciberseguridad que se puedan, la concienciación del cliente es vital.

La concienciación al cliente pasará por explicarle por qué se ha vulnerado su credencial de acceso cuando se detecte que esto haya pasado, cómo puede evitarlo y pedirle incluso que reinicie su dispositivo o que acuda a su informático de confianza para que formateen su ordenador porque se ha detectado que tiene algún tipo de malware, “y llegará un punto en que evolucionaremos más todavía, poniéndonos del lado del cliente todo lo que se pueda. Creo sinceramente que esto llegará y que además será beneficioso, tanto para el cliente como para las entidades”.

Es más, añade Iker Osorio que “no es descabellado pensar que un cliente tenga un rating mejor porque tenga una certificación en seguridad”. Es decir, si un cliente tiene un equipo que tiene una solución de seguridad, tiene además un firewall local… tendrá un rating mejor y un nivel de riesgo a fraude menor, “y esto no afecta sólo a la banca, afecta a las telco y otros muchos servicios a través de los cuales puede haber pérdida financiera”.

Soluciones

Decíamos al comienzo que Cetelem es parte del grupo BNP Paribas; “somos un eslabón pequeño de un grupo  muy grande y estamos muy dirigidos por la casa”, dice Osorio explicando que a la hora de escoger tecnologías lo que hay es un catálogo muy cerrado establecido desde una central que tiene como objetivo consolidar. De forma que “el 80% de mi tecnología ya viene prefijada”, porque “si yo quiero desplegar un SIEM y BNP Paribas tiene un SIEM preferido, muy probablemente nos vamos a ir al SIEM que utiliza BNP Paribas”.

Con respecto a la adopción del cloud, es también la central quien toma las decisiones. Los recursos con lo que se cuentan han permitido crear una cloud privada que es utilizada por el grupo, por todas las entidades de BNP Paribas en todo el mundo. De esta forma, “la directriz es evitar, en la medida de lo posible, utilizar servicios en la nube pública y utilizar los servicios en la nube privada de BNP Paribas”.

Cuando no se decide desde la central, ¿cómo se escoge entre decenas de opciones? Aquí entra en juego “el conocimiento de la comunidad”. ¿Y la comunidad es…? “Los equipos de ciberseguridad de las empresas, de las consultoras, de las empresas de servicios, de todo. Hablo de todos. No hablo solo de los CISO, hay una comunidad de ciberseguridad que es muy importante y tiene el un tamaño razonable como para tener mucha experiencia, pero para que a su vez sea muy utilizable. No estamos hablando de que lancemos preguntas a millones de  usuarios sino que son grupos todavía muy gestionables y que son lo suficientemente amplios como para que preguntes: Oye, necesito un servicio, una solución, ¿qué usáis cada uno? ¿Qué os parece que es lo mejor? ¿Qué es lo peor? Funciona mucho. Nosotros no vamos a ser los que empecemos a utilizar un servicio súper novedoso; muy probablemente antes de que nosotros nos metamos como referencia inicial de un producto en España habrá otros X que lo estén utilizando. Utilizamos tecnología que está sobradamente contrastada”.

Seguimos hablando de soluciones… y servicios, que se consolidan también desde la central “para que sean comunes y homogéneos”. La buena noticia, explica Iker Osorio es que “se ha montado un servicio de operaciones de seguridad compartido para todas las filiales de BNP Paribas, y se ha elegido Madrid como el sitio en el que va a estar ubicado, con lo cual, evidentemente, para nosotros va a ser más sencillo”. La parte más operativa se realizará por tanto en ese centro de servicios compartidos, y los servicios más especializados, o de más nivel “lo llevaremos de manera interna o con proveedores que tengan más experiencia o nivel de conocimiento”.

Nivel de seguridad

¿Cómo valoras el grado de sensibilidad que la empresa española tiene en todo lo relativo a la seguridad de la información? Responde Iker Osorio que si uno de los elementos que ha impactado en la evolución del CISO ha sido la regulación, el otro han sido las incidencias. Mucha gente se sigue acordando de Wannacry y todo el impacto que tuvo; “quizá pensábamos que Wannacry iba a ser un evento especial y único, pero unos meses más tarde fue NotPetya y durante el año pasado hubo montón de empresas, entre septiembre y diciembre, que también tuvieron incidencias de ransomware. Ya no te voy a hablar de las fugas de información masivas durante el año 2018- 2019, que también han sido importantes”.

Si al comienzo se mencionaba la regulación como un potenciador del papel del CISO, se añaden ahora las incidencias como otro gran impulsor que ha colocado a los responsables de seguridad de la información de las empresas en los comités de dirección son las incidencias. Las incidencias son “lo que al final va a dotar de recursos al CISO”.

Para el CISO de Cetelem, la evolución de la relación de la empresa española ha sido grande, tanto como las incidencias, “porque van de la mano”. Las inversiones, asegura, también han aumentado, “pero queda mucho por hacer. Todo lleva un tiempo”.

Menciona a la pyme donde los medios son más limitados; “yo creo que hace falta quizá concienciar un poco a ese nivel y luego generar fórmulas alternativas a la figura del CISO en el nivel de pequeña y mediana empresa. Se están viendo ya fórmulas muy interesantes de CISOs virtuales, de CISOs como servicio, y creo que es un negocio que debería potenciarse muchísimo”.

Insider Threats

Un reciente informe de Ponemon Institute, 2020 Cost of Insider Threats: Global Report, indica que las amenazas internas han crecido un 47% en los dos últimos años. Estas amenazas internas son el germen de muchos incidentes de seguridad y para muchos responsables de seguridad son una de las principales preocupaciones. ¿Quién puede ser una amenaza interna? No sólo hablamos de empleados, hablamos también de clientes, usuarios, proveedores… Hay, como dice Iker Osorio, “diferentes escenarios de riesgo por cada casuística”. Frente a los empleados se despliegan controles que monitorizan su actividad o los accesos. En todo caso, dice también el directivo que no se trata de estar vigilando a la gente, “sino de hacer un poco de Threat Intelligence. Buscamos estar en ese nivel de madurez”, un nivel que establezca que frente a una serie de patrones de actividad se pueda establecer que dicha actividad es sospechosa. Es decir, “no se trata de vigilar a la gente, pero sí se trata de ver dónde puedes tener el riesgo o no”.

En cuanto a los clientes… “existen controles, pero más enfocados a áreas de fraude con herramientas de scoring o de rating”. En este caso explica Iker Osorio que no se trata tanto del cliente, sino del riesgo, “y en función del riesgo de transacción eres capaz de desplegar una serie de controles u otros”.

En términos generales, las amenazas internas se tratan dentro de una estrategia de operaciones de riesgo. De esta forma la gente que tiene acceso a datos, que administra las bases de datos o sistemas, siempre va a tener el mayor nivel de control posible, “no sólo con controles de acceso técnicos, sino que además tendrá su segundo factor de autenticación, monitorización de actividad, etc. Luego a nivel de clientes, las actividades más sospechosas tendrá otro tipo de controles, como puede ser una autenticación facial, una prueba de vida, etc.”.

Tecnologías imprescindibles

“Todas las que se pueda, aunque también va en función del negocio y recursos que tengas”, responde Iker Osorio cuando le preguntamos qué tecnologías de seguridad son imprescindibles tener en una empresa.

Para el CISO de Cetelem son básicas las herramientas de protección de la infraestructura, como puede ser un firewall, o IPS, un WAF… Además, “nosotros últimamente estamos encontrando muy interesante lo relacionado con el control de accesos privilegiados y control de accesos técnicos”.

Habla Osorio del Pack de CISO 1.0, un pack básico en el que tienes que tener, “sí o sí, protección de red a nivel de sistemas, antivirus, parcheos, hardenizado y gestión de vulnerabilidades. Y luego, que quizá no se le da tanta importancia como debería, pero para mí es tanto o más importante que todo lo que te he comentado, es saber qué tenemos en la casa, porque muchas veces tenemos unos procesos de control magníficos, pero que no están aplicados a todos los activos. De forma que herramientas de gestión de inventario y de descubrimiento son tanto o más importantes para un nivel de seguridad confiable”. A continuación, añade Osorio “ya podemos meter en temas de threat Intelligence interno/externo. Y Threat Hunting para mí ya es para nota, no es algo tan básico”.

Lo del Pack del CISO me ha hecho gracia… “Sí, es que nos parece una obviedad que un equipo tenga antivirus, que un equipo esté actualizado…, pero hay muchas dificultades detrás de eso. Una cosa es que tengas una empresa pequeña y sea gestionable, y otra cosa es que empieces a tener cierto tamaño, empresas en los que los activos TI se cuentan por decenas de miles, tienes que tener unas herramientas automáticas muy avanzadas y tienes que tener los ambientes de IT muy peinados para conseguir ese básico, pero creo que es necesario”.

Dice también el CISO de Cetelem que debe partirse de un básico para seguir creciendo y que a veces es un error ir a la estrategia más avanzada; “los proveedores siempre van a ofrecernos la solución mágica que, sin ningún tipo de esfuerzo va a ser capaz de no sólo detectar, sino de alertar y detener el ataque más sofisticado, y de repente nos damos cuenta de que tenemos la casa sin barrer en cosas como prevención más que detección”.

Rosalía Arroyo Salcedo