Equifax: “No se puede ser centro financiero si no se es capaz de proteger la información”

El Chief Information Security Officers de Equifax, es uno de los ejecutivos que más conocimiento tiene sobre la ciberseguridad a nivel mundial. Su paso por la NASA, Visa y Time Warner, lo convirtieron en una referencia sobre el tema.

En entrevista con DF, Farshchi habla de los desafíos de la seguridad informática en el sector financiero.

-¿Cuáles son los principales desafíos en materia de ciberseguridad financiera para 2019?

-Lo interesante sobre seguridad es que la tecnología cambia de forma muy rápida, pero algunos problemas prevalecen en el tiempo. Necesitamos construir y cultivar talentos. Hacen falta estudiantes que se especialicen en seguridad informática y que las universidades comiencen a crear programas de ciberseguridad para que los alumnos puedan desarrollarse. Segundo, hay que enfocarse en la innovación e impulsar iniciativas disruptivas para que las startup desarrollen nuevas tecnologías.

-Ante ciberataques a compañías financieras, ¿Qué tan necesario es comunicar la información a la comunidad?

-Desde el ciberataque que vivimos en 2017, una de las cosas que hemos hecho en la compañía es ser transparentes. Nos volvimos muy activos en la comunicación con nuestros clientes. Pero, no se trata solo de ser transparente y de mostrarle a la gente lo que pasó, además hay que servir como guía a otros para poner los controles adecuados y que no tengan que pasar por una filtración de datos.

-¿Tienen derecho los clientes de una empresa a conocer inmediatamente de un ciberataque?

-Muchas veces no se sabe el origen del ataque y hay que entrar a hacer análisis más profundo para poder entender quiénes y cómo fueron afectados. Más que forzar algún tipo de notificación para los clientes, las compañías deben ser capaces de llevar a cabo un estudio para saber cuál es la raíz del problema y qué impactos tiene.

Sino, se revela la información prematuramente y como institución uno queda sujeto a proveer datos erróneos, por lo que se crea un pánico innecesario. Es muy importante tener el tiempo suficiente para llevar a cabo todo el proceso correcto y asegurarse de que los datos que se entregan sean fidedignos.

-¿Es necesario establecer niveles mínimos de inversión para las empresas financieras en seguridad informática?

-No estoy de acuerdo. No creo que deba haber un monto mínimo de inversión. Establecer niveles mínimos de inversión es algo muy prescriptible, cada organización es diferente y debería poder implementar cualquier control que ellos requieran de acuerdo a su perfil de riesgo.

-¿En qué elementos deberían enfocarse las compañías a la hora de establecer sus prioridades en ciberseguridad?

-Las organizaciones tienden a enfocarse demasiado en la tecnología y en los procesos, dejando de lado la cultura. En varias de las compañías en las que he estado y en los ciberataques que he visto, la causa de raíz está en la cultura de la organización.

Desafíos para Chile

-¿Qué elementos deberían estar presentes al momento de elaborar una regulación que permita prevenir ciberataques?

- Hay ciertas claves a considerar. La primera tiene que ver con el tipo de control preventivo que deberían explorar las organizaciones para su ambiente. La segunda es ver qué planes se tienen ante una amenaza a la seguridad. Pero, creo que todas las organizaciones son diferentes.

-Uno de los objetivos del gobierno es posicionar a Chile como el principal centro financiero de América Latina. ¿Cómo ve la importancia de la ciberseguridad para alcanzar eso?

-Hay que entender que para ser el centro financiero de América Latina o de cualquier parte del mundo, todo se basa en la confianza. No puedes ganar ese lugar si no se es capaz de proteger la información y su acceso.

Se han dado casos en que algunos hackers que amenazan la ciberseguridad mundial, atacan primero los sistemas de Latinoamérica como una prueba, para después hacerlo en Estados Unidos o en países de Europa. Esto demuestra que la seguridad en esta región no es tan madura como sí lo es en otras partes del mundo.

Para poder ser el centro financiero regional hay que invertir en seguridad, tener un buen nivel de talento y debe haber una regulación acorde. Así se asegura la confianza pública y mantenerla en el sistema financiero.