Pinakes nace como facilitador del cumplimiento por los bancos de las directrices de externalización de la Autoridad Bancaria Europea. Esto tiene efectos en todos los proveedores de servicios, y en particular a los de tipo Cloud, dado que tienen directrices similares por EIOPA para el sector seguros y por ESMA para los intermediarios financieros. Además, cabe destacar que se trata de una solución adelantada a la normativa que se está gestando sobre resiliencia operacional en la UE (DORA).
En esta entrevista, hablamos con Alfonso Pastor, Partner de LEET Security que nos cuenta todos los detalles sobre Pinakes, sobre las necesidades que resuelve su creación y de qué manera puede beneficiar esta plataforma a los Data Center de Colocation y los cloud service providers.
¿Cómo surgió la plataforma Pinakes, nacida en el seno del Centro de Cooperación Interbancaria?
Todo parte de las directrices de externalización publicadas por la Autoridad Bancaria Europea (EBA) en 2019, sobre externalización de servicios. Tras un par de años de sesiones de trabajo en un grupo en el que contamos con la participación de un buen número de bancos, quedó definido un marco de controles y metodología para la evaluación del nivel de ciberseguridad de los proveedores que prestan servicios a las entidades reguladas por la EBA, cubriendo los requisitos establecidos por ésta.
Su operación se asignó a la asociación que agrupa a todas ellas, el CCI. Este marco y metodología tienen su origen y son los que conforman la Calificación de Ciberseguridad de LEET Security.
¿Qué necesidades o problemáticas actuales viene a resolver esta plataforma?
Estas directrices que mencionamos obligan a las entidades a definir unos requisitos de seguridad a cumplir por sus proveedores, proporcionalmente al riesgo que sus servicios suponen a la entidad contratante, así como a que éstas se aseguren del cumplimiento de tales requisitos (no resultando suficiente el envío de un cuestionario o su incorporación como condiciones contractuales).
Dado que los proveedores a supervisar por una entidad pueden ser centenares, la tarea se convierte en un imposible. Además, cuando un proveedor presta servicios a varias de ellas, se vería abocado a sufrir diferentes auditorías por cada uno de sus clientes. La conclusión salta a la vista: todos los bancos evaluando a todos sus proveedores provoca un sinfín de auditorías que multiplican los esfuerzos y recursos para su realización.
Pinakes racionaliza este laberinto, propiciando que una única auditoría por proveedor, para cada modalidad de sus servicios, pueda ser utilizada por todas las entidades, con lo que la eficiencia del sistema global beneficia a todos los participantes.
¿Cuáles son las características y el funcionamiento de Pinakes?
El CCI, como titular de la metodología, homóloga a las diferentes empresas para la realización de auditorías (LEET Security es una de estas), debiendo éstas acreditar su capacitación e imparcialidad.
Son los proveedores los que contratan a la auditora de su preferencia entre las acreditadas por CCI, que, tras la evaluación, les proporciona el correspondiente informe y detalle de sus resultados.
El propio proveedor solicita al CCI la inscripción de estos resultados en la plataforma Pinakes, siendo el CCI quien confirma la calificación obtenida y la pública para las entidades miembros que se han adherido.
Debemos destacar que no se trata de una certificación u homologación del proveedor, sino de una calificación que proporciona un alto grado de detalle sobre el nivel de ciberseguridad establecido por el proveedor en los servicios evaluados. Son las propias entidades-clientes quienes deben decidir cuál es el nivel necesario que se adecua a la criticidad o riesgo de los servicios a contratar.
¿De qué manera puede beneficiar esta plataforma a los Data Center de Colocation y los cloud service providers?
Todos los proveedores de servicios pueden inscribirse en Pinakes, a modo de escaparate o tarjeta de presentación ante todas las entidades, lo que les permite acreditar su nivel y compromiso con la seguridad, evitando así la realización de las múltiples auditorías que estas les pueden plantear.
Los proveedores cloud, tanto IaaS, como PaaS o SaaS, como proveedores directos al sector, y los Data Center, adicionalmente, como una facilidad y valor añadido que ofrecen a sus propios clientes, como son los propios proveedores Cloud, ya que la evaluación toma en consideración la seguridad de la cadena de suministro, de forma que la calificación de estos proveedores se ve facilitada si ya lo está el Data Center en el que aloja sus sistemas de información.
Indicas que es una solución adelantada a la normativa sobre resiliencia operacional en la UE, ¿por qué y de qué forma supone un adelanto?
La normativa en cuestión, conocida como DORA, se deriva en gran manera de las directrices EBA, y las posteriores emitidas por EIOPA (regulador del sector seguros) y ESMA (mercados de valores). Esta normativa está en desarrollo, y una de los numerosos retos que afronta es el de construir un marco de control que satisfaga a todos los actores (lo cual es harto complicado).
El marco Pinakes es ya una realidad, que se ha construido apoyado en la mayor parte de normativas y estándares de seguridad reconocidos internacionalmente, evolucionado tras varios años de uso en la calificación de LEET Security, habiéndose comprobado su gran utilidad y adecuación, no solo en el sector financiero, sino con clientes y proveedores de otros sectores que ya son usuarios de esta calificación.
Con esta iniciativa, podemos decir que España está a la cabeza en el establecimiento de un mecanismo de gestión de los riesgos y resiliencia operacional, que podría y debería servir de modelo para toda Europa.
¿Cuáles serán los próximos pasos que daréis con respecto a Pinakes? ¿Cuáles son los objetivos a medio y largo plazo?
Claramente hay dos vertientes: una de ellas es la ampliación a otros sectores, particularmente el asegurador, que, como decimos, cuenta con una normativa por parte de EIOPA hecha como un corta y pega de la de la EBA. Para ello y con el CCI, ya nos hemos puesto en contacto con UNESPA, y estamos trabajando en algún proyecto a título individual con algunas entidades aseguradoras.
La segunda es, obviamente, la internacionalización, puesto que son normativas europeas, y las entidades tienen las mismas obligaciones, y problemas para llevarlas a cabo en el resto de países miembros de la UE. También hemos mantenido contactos con alguna asociación bancaria en Latinoamérica, que ha manifestado su interés en desarrollar algo similar a Pinakes en su país.
Es un modelo que claramente aporta ventajas a todos los partícipes: bancos-clientes y proveedores, por lo que no nos cabe duda de que su utilización irá en continuo crecimiento.
