La protección de nuestros clientes frente a las ciberamenazas es una parte fundamental de nuestro negocio.
Por: Craig Froelich, Jefe de la Oficina de Seguridad de la Información, Bank of America
Aunque no exista una definición universalmente aceptada de ciberriesgo, los expertos de nuestro campo saben reconocerlo cuando lo ven y, lo que es igual de importante, hacer algo al respecto.
Durante las dos últimas décadas, los sectores público y privado han realizado progresos increíbles en la identificación y tratamiento de los riesgos cibernéticos en nuestras infraestructuras críticas. Hemos construido una sólida comunidad en la que compartimos información sobre amenazas, avanzamos en las mejores prácticas y realizamos ejercicios juntos que han mejorado tanto nuestra seguridad individual como colectiva.
El trabajo que realizamos en todos los sectores de infraestructuras críticas es indispensable, ya que las ciberamenazas y vulnerabilidades a las que nos enfrentamos exigen que trabajemos en estrecha colaboración con el gobierno. Además, el sector privado necesita el apoyo de los diversos recursos y capacidades que sólo puede proporcionar la participación unificada del gobierno. Estas asociaciones vitales deben seguir evolucionando y ampliándose. Sin embargo, el riesgo no siempre es el mismo de un sector a otro o de un organismo a otro.
Cuando pensamos en el riesgo cibernético, nos fijamos, por supuesto, en aspectos como las amenazas y las vulnerabilidades. Desgraciadamente, muchas de ellas son comunes a todos los sectores, ya que todos trabajamos día y noche en todo el mundo para mantener a nuestras empresas y clientes a salvo de los estados-nación, los delincuentes y una amplia variedad de agentes maliciosos decididos.
Además, a menudo compartimos una cadena de suministro de tecnología que puede crear vulnerabilidades generalizadas en las redes de los sectores público y privado, como Log4j o SolarWinds. En respuesta a estos retos, hemos creado una sólida y vibrante comunidad de expertos que colabora activamente y trata de abordar los retos compartidos.
En funcionamiento desde hace más de 20 años, el Centro de Análisis e Intercambio de Información de Servicios Financieros (FS-ISAC, por sus siglas en inglés) ha sido para nosotros un punto focal para generar confianza, experiencia y conocimientos a la hora de compartir información sobre ciberamenazas. A medida que colaborábamos más estrechamente como sector y con socios gubernamentales clave, pronto encontramos mayores oportunidades para compartir las mejores prácticas y ayudar a proteger el sector en su conjunto. Todos los días colaboramos en nuestro sector, en toda la industria y con socios gubernamentales, ya que nuestros expertos se comprometen a través del FS-ISAC a debatir cuestiones cibernéticas complejas, como las amenazas emergentes, las estrategias de mitigación y la respuesta a incidentes.
Además de la profundización de las asociaciones en nuestro sector y en las infraestructuras críticas en su conjunto, el gobierno está haciendo progresos reales y tangibles en sus esfuerzos por apoyar la ciberseguridad del sector privado. Nos ha animado el aumento de la coordinación y las recientes inversiones en los departamentos y agencias que apoyan la seguridad de las infraestructuras críticas y reducen nuestro riesgo cibernético colectivo.
El establecimiento y crecimiento de la Agencia de Ciberseguridad e Infraestructuras ha creado nuevas oportunidades para que el gobierno y el sector privado mejoren la ciberseguridad nacional. La creación de la Joint Cyber Defense Collaborative (JCDC) representa nuestro interés compartido en un nivel más profundo de colaboración que pueda hacernos más proactivos a la hora de planificar y responder a incidentes cibernéticos significativos.
Estos esfuerzos son necesarios para identificar y reducir nuestros riesgos cibernéticos, pero no son suficientes. Debemos evaluar las consecuencias que podrían derivarse de ellos para comprender realmente nuestro entorno cibernético y dotar de resiliencia al sistema financiero. Para nuestro sector, esto reunió a los propietarios y operadores de la infraestructura financiera más crítica de la nación para establecer el Centro de Análisis Sistémico Financiero y Resiliencia en 2016. Como resultado, nuestro sector ha invertido en el establecimiento de una visión colectiva y centrada de los sistemas, activos y funciones críticos de nuestro sector para garantizar que podamos comprender nuestro riesgo cibernético compartido. Utilizando esta visión colectiva, también hemos identificado formas de mitigar proactivamente el riesgo cibernético mediante el desarrollo de nuevas iniciativas, la mejora de nuestra resiliencia y la mejora de nuestra conciencia de las amenazas a las que nos enfrentamos. Tras varios años de estrecha colaboración entre nuestro sector y con socios gubernamentales, comprobamos que los riesgos de estas nuevas capacidades estaban teniendo repercusiones positivas tanto para nuestras propias empresas como para el sector.
Tras este fructífero trabajo centrado en el sector, en 2020 ampliamos nuestras alianzas para incluir al sector energético, con su cultura común basada en el riesgo, para mejorar nuestra comprensión de las interdependencias y compartir las mejores prácticas. La creación del Centro de Análisis y Resiliencia para el Riesgo Sistémico permite a los expertos de los sectores de los servicios financieros y la energía seguir avanzando en este trabajo compartido junto con nuestros socios gubernamentales para proporcionarnos la comprensión más completa y profunda de nuestro riesgo cibernético que hayamos tenido nunca.
El sector privado no es el único que reconoce la creciente importancia de contemplar el riesgo cibernético a través de la lente única de un sector que nos permita centrarnos en nuestras características y capacidades distintivas. Con la firma de la Ley de Información sobre Incidentes Cibernéticos en Infraestructuras Críticastanto la Administración como el Congreso reconocieron la importancia del papel del gobierno federal a la hora de ayudar al sector privado a mitigar mejor nuestro riesgo cibernético codificando y ampliando las responsabilidades de las "Agencias de Gestión de Riesgos Sectoriales". Aunque esta designación existe en el gobierno federal desde hace una década, esta nueva legislación crea una nueva oportunidad para que nuestro sector potencie nuestros esfuerzos en materia de ciberriesgos y profundice nuestra colaboración para avanzar en la unidad nacional de esfuerzos para la que fueron concebidas. Al igual que los miembros del sector de los servicios financieros tienen una profunda experiencia no sólo en las amenazas y vulnerabilidades cibernéticas a las que nos enfrentamos, sino también en sus posibles consecuencias para nuestras operaciones, el Departamento del Tesoro tiene una visión única de nuestra estructura financiera y de las capacidades gubernamentales que podrían ayudar a sus propietarios y operadores. En resumen, el Tesoro ve los riesgos cibernéticos que nosotros vemos y, juntos, podemos encontrar nuevas formas de abordarlos.
Sobre la base de las asociaciones que nuestro sector mantiene con expertos en cibernética de todo el gobierno, el Tesoro puede desempeñar un papel fundamental como nuestra Agencia de Gestión de Riesgos del Sector para garantizar que el gobierno y el sector privado puedan tener una visión holística tanto de las consecuencias como de las mitigaciones de nuestros riesgos cibernéticos. Su profundo conocimiento del sistema financiero y de las infraestructuras puede ayudarnos a avanzar en nuestro trabajo e impulsar un enfoque gubernamental colectivo para apoyar a nuestro sector según proceda.
Además, la experiencia del Tesoro puede ayudar a permitir una acción colectiva y proactiva contra las amenazas cibernéticas a nuestra seguridad financiera. A medida que nos centramos en la seguridad y la resistencia de nuestras operaciones críticas, el Tesoro puede comprender y acceder a las capacidades para apoyar nuestra seguridad nacional y económica si se produjera un incidente cibernético significativo. Nuestro sector mantiene una larga colaboración con el Tesoro en cuestiones cibernéticas, por ejemplo a través del Consejo de Coordinación del Sector de Servicios Financieros (FSSCC) para abordar los retos estratégicos y la Serie Hamilton de ejercicios para mejorar la respuesta a las ciberamenazas dentro del sector financiero estadounidense. Si el Tesoro asume plenamente su papel de Agencia de Gestión de Riesgos del sector financiero e invierte en él, podrá mejorar realmente nuestra capacidad para identificar y reducir los riesgos cibernéticos.
Gracias a la colaboración con el sector privado y con nuestros homólogos gubernamentales, nuestras empresas conocen mejor que nunca los riesgos cibernéticos. Décadas de colaboración han creado una perspectiva compartida en nuestra comunidad cibernética que nos ayuda a aumentar la seguridad de nuestros clientes y de los demás cada día, y estas relaciones de confianza nos ayudan a buscar formas nuevas e innovadoras de seguir mejorando nuestra seguridad colectiva.
Con esta base, nuestro sector puede hacer, y está haciendo, más para identificar y mitigar los riesgos cibernéticos. Junto con la experiencia y las capacidades de nuestros socios gubernamentales, esperamos seguir logrando avances significativos para la ciberseguridad y la resistencia del sector financiero estadounidense.
Sobre el autor, Craig Froelich
Craig Froelich es Director de Seguridad de la Información de Bank of America. Dirige un equipo de 3.000 expertos en 18 países dedicados a proteger los datos financieros de consumidores particulares, pequeñas y medianas empresas y grandes corporaciones.
El equipo de Seguridad Global de la Información (GIS) defiende a la empresa de las amenazas actuales y futuras, y colabora estrechamente con asociaciones industriales y gubernamentales para garantizar la seguridad del sector en su conjunto. Los inventores del GIS han presentado o se les han concedido más de 1.000 patentes de ciberseguridad. El equipo ha ganado más de 100 premios, entre ellos el galardón al equipo de seguridad de empresa del año 2022 de Cyber Defense Magazine y el equipo de seguridad de la información del año 2018 de SC Magazine. Craig también ha recibido premios de la industria por su liderazgo, incluyendo ser nombrado en la lista Top 100 Global CISO y CISO del Año en numerosas ocasiones y Breakaway Security Executive of the Year.
Antes de incorporarse a Bank of America en 2001, Craig desempeñó funciones de dirección ejecutiva en empresas tecnológicas, donde adquirió una década de experiencia en gestión de productos, desarrollo de aplicaciones y gestión de infraestructuras. Ha obtenido ocho patentes de seguridad de la información.
Craig preside el Centro de Análisis y Resiliencia. Ha sido presidente y es miembro del Consejo de Administración del Centro de Análisis e Intercambio de Información sobre Servicios Financieros, y ha sido presidente y es miembro del Comité Ejecutivo del Consejo de Coordinación del Sector de Servicios Financieros. También forma parte del consejo de Sheltered Harbor y del comité ejecutivo de BITS, la división de política tecnológica del Bank Policy Institute.