La gestión y el tratamiento de la información cada vez están más descentralizadas. Se suele alojar en lugares recónditos, incluso a veces en ubicaciones que ni el propio gestor conoce. El sector bancario como otros sectores, por razones de coste, utiliza cada vez con mayor frecuencia servicios proporcionados por terceros (proveedores) que gestionan, mantienen y custodian volúmenes ingentes de información.
Sin embargo, hasta hoy no existía ninguna metodología común al sector capaz de supervisar las medidas de ciberseguridad de los servicios de todos los proveedores. Una inquietud que ha ido aumentando en los últimos años, a medida que el sector financiero se iba situando en el punto de mira de los ciberdelincuentes. Tanto es así, que en 10 años los ciberataques en el sector se han triplicado a nivel mundial.
En 10 años los ciberataques en el sector se han triplicado a nivel mundial.
En este contexto, Pinakes nace como un servicio único en Europa, que tiene por objeto un ecosistema empresarial más ciberseguro. Y es que el carácter innovador del sector bancario ha permitido crear sinergias y homogeneizar recursos creando la plataforma Pinakes para proporcionar la máxima transparencia sobre el nivel de seguridad de la cadena de suministro del sector financiero.
Pero ¿Cómo lo consigue? La plataforma PINAKES, -creada por el Centro de Cooperación Interbancaria, y basada en el modelo de la agencia española de calificación, LEET Security- permite la supervisión y calificación de ciberseguridad de los servicios de manera centralizada. De esta forma, las 124 entidades de depósito adheridas a CCI disponen de una información completa sobre los niveles de seguridad de sus proveedores. No en vano, este sistema permitirá calificar el nivel de seguridad del más de un millar de proveedores de servicios del sector financiero.
En este sentido, será Pinakes la herramienta que permita al sector bancario cumplir con una parte sustancial de las directivas 2019/02 de la EBA. Unos requisitos que especifican los sistemas de gobierno interno, incluyendo la adecuada gestión de los riesgos que se deben aplicar cuando se externalizan funciones esenciales. Aquí es donde Pinakes juega un papel fundamental.
El marco de controles utilizado por Pinakes, aglutina las principales normativas, directrices y guías aplicables a los sistemas de información. Evalúan el nivel de seguridad de una infraestructura, pasando por el tratamiento y manejo de información sensible. Dentro de este marco de controles están incluidas las principales normativas, tanto nacionales como internacionales, ampliamente reconocidas, como son: ISO serie 27000, PCI-DSS, PSD 2, FFIEC, ENS, SOC 2, NIST 800-53, CSA CCM, CIS Controls V7…
El sistema de calificación de Pinakes genera importantes eficiencias para los dos principales actores del proceso. El hecho de que, con un único proceso de evaluación, se pueda dar cobertura a los requerimientos de ciberseguridad de una pluralidad de clientes, genera ventajas y agilidad en los procesos tanto para las entidades que, con una simple consulta de la calificación otorgada a su proveedor, están en condiciones de cumplir parte de la “due diligence” obligada por la normativa; como para los proveedores, que se evitan multiplicar los recursos y esfuerzos dedicados a atender cada uno de los procesos de evaluación de sus clientes adheridos al servicio. Y, por otro lado, la publicación de su calificación en la plataforma, permite también al proveedor incrementar su visibilidad y exponer sus fortalezas ente el sector.
Porque para poder protegernos es fundamental ir por delante de los ciberdelincuentes. Y esta plataforma es una nueva medida de prevención que supondrá un antes y un después en la seguridad del ecosistema financiero.
