El Centro de Cooperación Interbancaria (CCI) ha puesto en marcha la plataforma Pinakes (que toma su nombre del primer catálogo de los libros conservados en la Biblioteca de Alejandría) para la supervisión y calificación de ciberseguridad de los servicios de manera centralizada y con criterios uniformes. De esta forma, los bancos adheridos a CCI disponen de una información completa sobre los niveles de seguridad de sus proveedores en la prestación de sus servicios.

Este sistema, basado en el modelo de la agencia de calificación española, LEET Security, permite que las entidades financieras españolas cumplan con una de las regulaciones más exigentes en la gestión de riesgos tecnológicos, la establecida por la Autoridad Bancaria Europea (EBA). Esta normativa obliga a bancos, entidades de crédito, entidades de pago y entidades de dinero electrónico, a garantizar que todos los proveedores en los que se externalizan funciones esenciales o importantes para el negocio, cumplan con los requisitos de seguridad establecidos por cada una de las entidades.

Pinakes nace con el compromiso de participación de la práctica totalidad de las 124 entidades de depósito asociadas a CCI y que constituyen la práctica totalidad del sistema financiero español, de los que 14 de ellos (que suman más del 90% de los activos del sector) han formado parte además del desarrollo de Pinakes desde septiembre de 2019.

Según los datos de los propios bancos, más de un millar de proveedores debería contar con una supervisión sistemática y centralizada de ciberseguridad que garantice los niveles de seguridad de sus servicios, por lo que urge la necesidad de un modelo capaz de avalar que los proveedores de entidades financieras cumplen con la normativa vigente de ciberseguridad.

Las principales empresas tecnológicas, las de servicios financieros y las grandes consultoras ya han solicitado su participación en esta plataforma.

Supervisión de los proveedores

El aumento continuo de incidentes de seguridad a través de la cadena de suministro demuestra la necesidad de que exista una supervisión de los proveedores. Pero la ejecución de las directrices de la EBA supone un problema para todas las entidades, que en ocasiones cuentan con cientos de proveedores. Y en muchas ocasiones, resulta imposible llevar a cabo tanto las evaluaciones previas como las auditorías durante el periodo de prestación de los servicios. Por otra parte, los proveedores que dan servicio a varias entidades, están sometidos a auditorías de cada una de ellas, lo que conduce a una situación ineficiente.

Según datos de los propios bancos, las entidades de mayor tamaño cuentan con más de 500 proveedores y los de menor tamaño superan el centenar. Además, muchos de éstos lo son de varios clientes, generalmente con más de un servicio. Esto complica que los bancos puedan auditar a todos sus proveedores y, por otro lado, éstos soportan evaluaciones múltiples para el mismo servicio.

De esta forma, la creación de un sistema capaz de unificar en un solo modelo todas las auditorías y evaluaciones previas, necesarias para garantizar la seguridad de los proveedores de los sistemas financieros, es una solución que agiliza todos los procesos del sector y garantiza la seguridad de los servicios prestados por terceros.

Por ello, el Centro de Cooperación Interbancaria y la agencia de calificación LEET Security han desarrollado este modelo de supervisión de proveedores centralizado, en el que se dispondrá de un catálogo con una completa información de proveedores y el nivel de seguridad obtenido en cada uno de sus servicios auditados.

El sistema, similar al usado por las agencias de calificación financiera, es sencillo. Por un lado, se encuentra la entidad financiera que necesita determinar, conocer y supervisar el nivel de seguridad de las funciones que externaliza; por otro, están los proveedores de servicios; y en medio, se sitúa Pinakes con un conjunto de empresas auditoras homologadas que evalúan el nivel de ciberseguridad de los diferentes servicios ofrecidos por un proveedor.

El resultado es una “calificación” que permite conocer el grado de seguridad con el que cuenta un servicio, que evalúa hasta 76 factores diferentes. De esta forma, cada entidad puede comprobar si el servicio ofrecido resulta adecuado a las condiciones requeridas para la contratación, en función de la criticidad o la importancia de la función a externalizar.

Este modelo de supervisión de proveedores centralizado utiliza, a modo de estándar, el marco de controles y la metodología desarrolladas por LEET Security para la realización de las evaluaciones de seguridad. Esta tecnología ha sido desarrollada a lo largo de los últimos 10 años, basada y actualizada con los estándares y normativas de ciberseguridad y protección de datos de mayor implantación nacional e internacional, y que ha sido adaptada para este propósito tomando en consideración los cuestionarios que las propias entidades elaboran para evaluar a sus proveedores, estableciéndose mapeos y correspondencias entre el modelo común y los marcos individuales de las entidades.

Las evaluaciones las realizarán las empresas de auditoría que estén homologadas para hacerlo, entre las que se encuentra LEET Security. Para homologarse, las auditoras deberán acreditar altos estándares en la realización de auditorías, capacitación técnica de su personal, así como asegurar una total imparcialidad y ausencia de conflictos de intereses en la realización de las evaluaciones.

Además, Pinakes ofrece una monitorización digital continuada. Esto significa que, además de la calificación de ciberseguridad del servicio obtenida tras la correspondiente auditoría, durante el periodo de vigencia de esa calificación la monitorización digital explora en busca de posibles objetivos que puedan ser aprovechados para causar una brecha de seguridad.

Herminio del Campo, director general del CCI, explica que «este proyecto que entronca con los fines asociativos de promover y desarrollar ideas de interés para el sector y el servir de vehículo para el desarrollo y el funcionamiento de proyectos de libre adhesión para nuestros asociados, aportandoles un indiscutible valor». «Pero sus beneficios no lo son en exclusiva para nuestros miembros, puesto que el servicio también favorece a sus proveedores, que, en caso de utilizarlo, no deberán multiplicar sus esfuerzos para atender múltiples requerimientos de diferentes entidades clientes», añade.

Para Antonio Ramos, CEO y socio fundador de LEET Security, «Pinakes es un servicio único en el escenario europeo que pone de manifiesto el carácter puntero de la banca española y que va a hacer, sin duda, que el ecosistema empresarial español sea más ciberseguro, gracias a la transparencia sobre el nivel de ciberseguridad de los actores».