Por: Craig Froelich, Director de Seguridad de la Información, Bank of America

Aunque no exista una definición universalmente aceptada para el riesgo cibernético, los expertos en nuestro campo son muy buenos para identificarlo cuando lo ven y, igual de importante, para hacer algo al respecto.  

Durante las últimas dos décadas, los sectores público y privado han hecho un progreso increíble en la identificación y abordaje del riesgo cibernético en nuestra infraestructura crítica. Hemos construido una comunidad sólida donde compartimos información sobre amenazas, avanzamos las mejores prácticas y realizamos ejercicios juntos que han mejorado tanto nuestra seguridad individual como colectiva.  

El trabajo que hacemos en los sectores de infraestructura crítica es indispensable, ya que las amenazas y vulnerabilidades cibernéticas a las que nos enfrentamos nos exigen trabajar estrechamente con el gobierno. Además, el sector privado necesita el apoyo de los diversos recursos y capacidades que solo el compromiso unificado del gobierno puede proporcionar. Estas asociaciones vitales deben seguir evolucionando y expandiéndose. Sin embargo, el riesgo no siempre es el mismo de un sector a otro o de una agencia a otra.  

Cuando pensamos en el riesgo cibernético, por supuesto observamos elementos como las amenazas y vulnerabilidades. Desafortunadamente, muchos de estos son compartidos entre industrias mientras todos trabajamos día y noche y alrededor del mundo para mantener a salvo nuestros negocios y clientes de estados-nación, criminales y una amplia variedad de actores maliciosos decididos.  

Además, a menudo compartimos una cadena de suministro tecnológico que puede crear vulnerabilidades generalizadas en redes tanto del sector público como privado, como Log4j o SolarWinds. En respuesta a estos desafíos, hemos creado una comunidad sólida y vibrante de expertos que colabora activamente y busca abordar los desafíos compartidos. 

En operación por más de 20 años, el Centro de Intercambio y Análisis de Información de Servicios Financieros (FS-ISAC) ha sido un punto focal para que construyamos confianza, experiencia y pericia en el intercambio de información sobre amenazas cibernéticas. A medida que trabajamos más estrechamente juntos como industria y con socios clave del gobierno, pronto encontramos oportunidades ampliadas para compartir las mejores prácticas y ayudar a proteger el sector en su conjunto. Cada día colaboramos a través de nuestro sector, industria y con socios gubernamentales mientras nuestros expertos participan a través del FS-ISAC para discutir complejas cuestiones cibernéticas como amenazas emergentes, estrategias de mitigación y respuesta a incidentes. 

Además de las asociaciones cada vez más profundas en nuestro sector y la infraestructura crítica en su conjunto, el gobierno está haciendo progresos reales y tangibles en sus esfuerzos por apoyar la seguridad cibernética del sector privado. Nos anima una mayor coordinación e inversiones recientes en los departamentos y agencias que apoyan la seguridad de la infraestructura crítica y reducen nuestro riesgo cibernético colectivo.  

El establecimiento y crecimiento de la Agencia de Ciberseguridad e Infraestructura ha creado nuevas oportunidades para que el gobierno y el sector privado mejoren la ciberseguridad nacional. El establecimiento del Joint Cyber Defense Collaborative (JCDC) representa nuestro interés compartido en un nivel más profundo de colaboración que puede hacernos más proactivos en cómo planificamos y respondemos a incidentes cibernéticos significativos. 

Estos esfuerzos son necesarios para identificar y reducir nuestro riesgo cibernético, pero no son suficientes. Debemos evaluar las consecuencias que podrían ocurrir a partir de ellos para comprender verdaderamente nuestro entorno cibernético e incorporar resiliencia en el sistema financiero. Para nuestro sector, esto reunió a los dueños y operadores de la infraestructura financiera más crítica de la nación para establecer el Centro de Análisis y Resiliencia Sistémica Financiera en 2016. Como resultado, nuestro sector ha invertido en establecer una visión colectiva y enfocada de los sistemas, activos y funciones críticas de nuestro sector para asegurarse de que comprendamos nuestro riesgo cibernético compartido. Utilizando esta visión colectiva, también hemos identificado maneras de mitigar proactivamente el riesgo cibernético a través del desarrollo de nuevas iniciativas, mejorando nuestra resiliencia y mejorando nuestra conciencia de las amenazas que enfrentamos. Después de varios años de estrecha colaboración entre nuestro sector y con socios gubernamentales, encontramos que los riesgos de estas nuevas capacidades estaban teniendo impactos positivos tanto en nuestras propias empresas como en el sector.  

Después de este exitoso trabajo enfocado en el sector, ampliamos nuestras asociaciones en 2020 para incluir al sector energético con su cultura común basada en riesgos para mejorar nuestra comprensión de las interdependencias y compartir las mejores prácticas. El establecimiento del Centro de Análisis y Resiliencia para el Riesgo Sistémico permite que expertos de los sectores de servicios financieros y energético continúen avanzando en este trabajo compartido junto con nuestros socios gubernamentales para proporcionarnos la comprensión más completa y profunda de nuestro riesgo cibernético que hemos tenido. 

El sector privado no está solo en su reconocimiento de la creciente importancia de observar el riesgo cibernético a través del lente único de un sector que nos permite centrarnos en nuestras características y capacidades distintivas. Con la firma de la Ley de Reporte de Incidentes Cibernéticos para la Infraestructura Crítica, tanto la Administración como el Congreso reconocieron la importancia del papel del gobierno federal en ayudar al sector privado a mitigar mejor nuestro riesgo cibernético al codificar y expandir las responsabilidades de las “Agencias de Gestión de Riesgos Sectoriales”. Aunque esta designación ha existido en el gobierno federal durante una década, esta nueva legislación crea una nueva oportunidad para que nuestro sector aproveche nuestros esfuerzos de riesgo cibernético y profundice nuestra colaboración para avanzar en la unidad nacional de esfuerzo para la cual fueron concebidos. Así como los miembros del sector de servicios financieros tienen un profundo conocimiento no solo de las amenazas y vulnerabilidades cibernéticas que enfrentamos sino también de sus posibles consecuencias para nuestras operaciones, el Departamento del Tesoro tiene una visión única de nuestra estructura financiera y las capacidades del gobierno que podrían asistir a sus dueños y operadores. En resumen, el Tesoro ve los riesgos cibernéticos que vemos nosotros y, juntos, podemos encontrar nuevas formas de abordarlos. 

Basándose en las asociaciones que nuestro sector mantiene con expertos cibernéticos en todo el gobierno, el Tesoro puede desempeñar un papel crítico como nuestra Agencia de Gestión de Riesgos Sectoriales para asegurar que el gobierno y el sector privado puedan tener una visión holística tanto de las consecuencias como de las mitigaciones para nuestros riesgos cibernéticos. Su profundo entendimiento del sistema e infraestructura financieros puede ayudar a avanzar nuestro trabajo y promover un enfoque colectivo del gobierno para apoyar nuestro sector según sea apropiado.  

Además, la experiencia del Tesoro puede ayudar a habilitar acciones colectivas y proactivas contra las amenazas cibernéticas a nuestra seguridad financiera. Mientras nos enfocamos en la seguridad y resiliencia para nuestras operaciones críticas, el Tesoro puede comprender y acceder a capacidades para apoyar nuestra seguridad nacional y económica si ocurriera un incidente cibernético significativo. Nuestro sector tiene una larga asociación con el Tesoro en temas cibernéticos, incluyendo a través del Consejo Coordinador del Sector de Servicios Financieros (FSSCC) para abordar desafíos estratégicos y la Serie Hamilton de ejercicios para mejorar la respuesta a amenazas cibernéticas dentro del sector financiero de EE.UU. Al abrazar completamente e invertir en su papel como la Agencia de Gestión de Riesgos del sector financiero, el Tesoro puede verdaderamente avanzar nuestra habilidad para identificar y reducir el riesgo cibernético. 

Al asociarnos dentro del sector privado y con nuestros contrapartes gubernamentales, nuestras empresas tienen un mejor entendimiento del riesgo cibernético que nunca antes. Décadas de colaboración han construido una perspectiva compartida en nuestra comunidad cibernética que nos ayuda a hacernos más seguros unos a otros y a nuestros clientes cada día, y estas relaciones de confianza nos están ayudando a perseguir nuevas e innovadoras maneras de mejorar aún más nuestra seguridad colectiva.  

Con esta base, nuestro sector puede, y está haciendo, más para identificar y mitigar el riesgo cibernético. Junto con la experiencia y capacidades de nuestros socios gubernamentales, esperamos continuar realizando avances significativos para la ciberseguridad y resiliencia del sector financiero de EE.UU.  

Acerca del autor, Craig Froelich 

Craig Froelich es el Director de Seguridad de la Información para Bank of America. Lidera un equipo de 3,000 expertos en 18 países dedicados a proteger los datos financieros de los consumidores individuales de la compañía, las pequeñas y medianas empresas y las grandes corporaciones. 

El equipo de Seguridad Global de la Información (GIS) defiende contra amenazas actuales y futuras para la compañía, y colabora estrechamente con asociaciones de la industria y el gobierno para asegurar la seguridad del sector en general. Los inventores de GIS han presentado o han recibido más de 1,000 patentes de seguridad cibernética. El equipo ha ganado más de 100 premios incluidos el premio Hot Company Security Team of the Year 2022 de Cyber Defense Magazine y el premio Information Security Team of the Year 2018 de SC Magazine. Craig también ha recibido premios de la industria por su liderazgo, incluida la inclusión en la lista Top 100 Global CISO y CISO del Año en numerosas ocasiones y Executive de Seguridad Innovador del Año.  

Antes de unirse a Bank of America en 2001, Craig ocupó roles de gestión ejecutiva en empresas de tecnología donde adquirió una década de experiencia en gestión de productos, desarrollo de aplicaciones y gestión de infraestructura. Se le han concedido ocho patentes de seguridad de la información.  

Craig sirve como presidente del Análisis y Centro de Resiliencia. Es un ex presidente y miembro actual de la junta directiva del Centro de Intercambio y Análisis de Información de Servicios Financieros, y es ex presidente y miembro actual del Comité Ejecutivo del Consejo Coordinador del Sector de Servicios Financieros. También sirve en la junta de Sheltered Harbor y el comité ejecutivo de BITS, la división de políticas tecnológicas del Instituto de Políticas Bancarias.