Federico Flórez, Director de Sistemas de Información del Banco de España
“Para el Banco de España, el mantenimiento de los niveles adecuados de seguridad en los procesos de negocio es un objetivo permanente”

Más de veinte años de experiencia en el sector de las tecnologías de la información avalan la trayectoria profesional de este Ingeniero Naval que desde hace aproximadamente tres años dirige el departamento de Sistemas de Información del Banco de España. Miembro del Comité de Sistemas de Información Europeo en el Banco Central Europeo, secretario general de la Asociación XBRL España y miembro del Comité Ejecutivo XBRL International, Federico Flórez tiene muy claro que la protección de la información es un elemento esencial en la gestión de los sistemas de información, que va a seguir demandando una atención presupuestaria creciente en las organizaciones.



¿Es muy complejo el sistema de información tecnológico del Banco de España?

– El Banco de España gestiona en su red unos tres mil doscientos usuarios. En cuanto a nuestra relación con el exterior, el sistema financiero español y el Sistema Europeo de Bancos Centrales (SEBC) son nuestros principales interlocutores, y el número de usuarios externos ronda los mil. El centro de proceso de datos está distribuido entre dos salas, ubicadas en dos edificios distantes ocho kilómetros entre sí y conectadas a través de enlaces de fibra óptica de 25 Gigabits por segundo. Cada una de las salas actúa como centro de respaldo de la otra, y los actuales procedimientos de respaldo y recuperación, que probamos cada tres meses, permiten asegurar la recuperación de los sistemas críticos en menos de dos horas sin pérdida de datos. La infraestructura actual consta de dos mainframes IBM, que soportan los sistemas críticos, y además existe un parque de más de cien servidores Unix y Windows.

¿Cómo se realizan las comunicaciones con los interlocutores?

– Como digo, nos relacionamos fundamentalmente con entidades financieras y con el SEBC, y en ambos casos las comunicaciones se realizan a través de redes privadas. En la actualidad estamos poniendo en marcha una nueva infraestructura de comunicaciones basada en IP que estará soportada por dos redes privadas, una de ellas será la red proporcionada por Swift, y la segunda una VPN proporcionada por un proveedor de servicios de telecomunicación. Nuestro reto en el futuro próximo es ampliar los servicios del Banco desde Internet, dotando a nuestra Web externa de nuevas funcionalidades y servicios para acercarnos a ciudadanos y empresas.

¿En qué forma se entiende la seguridad de la información y del sistema de información tecnológico en una entidad con la responsabilidad y atribuciones del Banco de España?

– En la institución se considera la seguridad, entendida en el sentido más amplio de la palabra, como un valor fundamental. Por tanto, dentro de nuestra cultura, prevalece la calidad del trabajo frente a cualquier otro posible interés. Siempre hemos intentado proyectar hacia el exterior una imagen de seriedad y calidad que proporcione a la sociedad española confianza en su Banco Central y, por ende, en su sistema financiero. Todos los que aquí trabajamos, somos conscientes de nuestro papel y de nuestra responsabilidad.
Así pues, y teniendo en cuenta el entorno en el que nos movemos, el departamento de Sistemas de Información no ha sido una excepción, y desde un principio se ha entendido la seguridad como algo natural, que necesariamente debía acompañar todas nuestras actuaciones.

¿Qué modelo de organización de seguridad TIC tienen implantado?

– La función de seguridad la forma un grupo específico dentro de Sistemas de Información. Las responsabilidades de la unidad de Seguridad Informática incluyen, tanto la gestión técnica del hardware y software de seguridad, como el desarrollo de la normativa interna y la definición de la estructura y organización necesarias para la gestión de la seguridad dentro del Banco. Dicha Unidad cuenta en este momento con doce profesionales de plantilla y un número similar de expertos de empresas externas que proporcionan el soporte 7x24.

¿Y cuál es el máximo órgano en el Banco de España del que emanan las decisiones estratégicas relacionadas con la seguridad de la información?

– Todas las decisiones estratégicas, incluidas aquellas que tienen que ver con la seguridad informática, son aprobadas por el Comité de Sistemas de Información, formado por el subgobernador, un director representante de cada dirección general del Banco y el director del departamento de Sistemas de Información, quien reporta jeráquicamente al subgobernador.


“Si de verdad queremos evitar el phishing, la única medida eficaz es usar autenticación fuerte, de tal manera que aunque un usuario pueda ser engañado, no sea capaz de proporcionar la información de autenticación y, por ende, no pueda ser suplantado posteriormente”

¿Opera la unidad de Seguridad Informática los sistemas de seguridad del sistema de información tecnológico del Banco?

– La unidad de Seguridad Informática es operativa ya que, además de definir la política de seguridad, la estructura y la organización necesarias para llevarla a cabo y desarrollar la normativa interna del Banco, entre sus responsabilidades se encuentran la selección, implantación y gestión de soluciones de seguridad de ámbito general. Sin embargo, esto no quiere decir que cualquier aspecto relacionado con la seguridad sea gestionado por este grupo. Como ya hemos comentado, en el Banco de España la seguridad es una responsabilidad compartida, y en la distribución de funciones existente en el departamento de Sistemas de Información, cada grupo responsable de un elemento de la infraestructura lo es en toda su extensión, incluyendo también los aspectos de seguridad que éste conlleve.

¿Qué papel juega la auditoría en la revisión de la eficacia y la eficiencia de los controles de seguridad implantados por su departamento en el sistema de información tecnológico?

– La auditoría juega un papel fundamental en la gestión de la seguridad, y a lo largo de los años ha sido política general de la institución recurrir de forma periódica a auditorías externas para asegurar que los procedimientos y controles de seguridad aplicados siguen las mejores prácticas internacionales. En el presente, aparte de las auditorías anuales que el Sistema Europeo de Bancos Centrales planifica de forma habitual en todos los Bancos Centrales, el departamento de Sistemas de Información planifica periódicamente auditorías parciales, tanto de la red interna como de las conexiones externas.
En cuanto a la auditoría interna del Banco, ese departamento cuenta desde hace años con un grupo especializado en auditoría informática, y su ayuda es imprescindible para asegurar que, tanto en el departamento de Sistemas de Información como en los departamentos usuarios, se siguen las normas y directrices establecidas en nuestra política de seguridad y en la política de seguridad del SEBC.

¿Cuál es su principal preocupación en lo concerniente a la protección de TI?

– Responder de forma adecuada a las necesidades del Banco, entendiendo por forma adecuada el proporcionar a los departamentos de negocio todas las ventajas que para el desarrollo de sus funciones tienen las TI, incluida Internet, pero sin merma de la seguridad.
Hay también otro asunto que me preocupa mucho: el de la formación y concienciación del personal en relación con la seguridad informática. Desde la unidad de Seguridad Informática o el departamento de Sistemas de Información se pueden hacer grandes esfuerzos para mejorar la seguridad de los sistemas, pero sin la involucración de las personas que los utilizan, todos estos esfuerzos serían baldíos.

En tanto que director de sistemas de información del Banco de España, ¿qué parámetros de información considera relevantes para tener una idea cabal del estado de seguridad del sistema de información tecnológico que gestiona?

– Un director de sistemas no es un director de tecnología, sino algo más. Debe entender los procesos de negocio y actividad de su organización y facilitarlos. Como todos los procesos en el ámbito financiero están soportados por tecnología, pues debe tener también conocimientos en la materia y estar en disposición de enjuiciar las prioridades que tiene la tecnología para soportar los negocios. Una de esas prioridades es la de la seguridad informática. Tiene que entender de tecnología de seguridad TIC, pero hasta un punto razonable. Lo diré de otro modo: tiene que conocer los riesgos de no tener seguridad, tiene que tener las ideas muy claras acerca de los indicadores de que debe disponer para conocer el estado de los procesos de seguridad, debe estar en disposición de medir y de gestionar, y, sobre todo, debe contar en su equipo con las mejores personas y los mejores expertos en la materia.
Nosotros disponemos de un cuadro de mando de sistemas de información que, como corresponde, está ligado a los objetivos del Banco y no es de exclusiva naturaleza tecnológica. En el contexto de este cuadro de mando, hay indicadores de seguridad informática que, lógicamente, están enfocados a la función de dirección y gestión del sistema de información en el espacio y en el tiempo. Obviamente, también existen conjuntos de indicadores exclusivamente encaminados a ayudar a los responsables inmediatos de la planificación y gestión específica de la seguridad TIC.
Por otra parte, cualquier aplicación que se ponga en el Banco, cualquier nueva funcionalidad, tiene que cumplir los requisitos de seguridad TIC establecidos. Esto conlleva un proceso de control exhaustivo que, además, está sometido a auditoría.


“Tenemos en marcha un proyecto, iniciado en el departamento de Sistemas de Información a finales de 2004, y en el que participan todas las direcciones generales del Banco de España, de revisión de los actuales planes de continuidad de negocio”

¿Qué porcentaje del presupuesto de TI destina a seguridad?

– Es muy difícil dar una cifra exacta, puesto que hay costes distribuidos entre varias unidades de los que la seguridad informática es parte.

Pero, ¿cuál es la tendencia en la necesidad de gasto en seguridad TIC, al menos en lo que se puede vislumbrar del futuro? ¿Tiende a crecer, a estancarse o a decrecer?

– Aunque depende del tamaño de cada entidad y del sector al que pertenezca, la tendencia es a crecer en el contexto del presupuesto de sistemas de información. Afortunadamente, en el sector financiero los presupuestos de sistemas no sufren ciclos, algo que ayuda a que el nivel tecnológico sea maduro. En realidad su curva es muy constante. En entidades medianas y pequeñas los presupuestos están creciendo en entornos distribuidos, en mantenimientos, están decreciendo en el mainframe y aumentando en nuevas aplicaciones; y a todo ello le podemos poner un denominador común: el crecimiento en seguridad informática.
En las entidades más grandes de España no sucede así, los presupuesto para sistemas de información están decreciendo porque hay otras prioridades, pero igualmente, la partida de seguridad informática está también creciendo.
Hoy en día, la seguridad está entre las principales preocupaciones de los directores de sistemas de información; en consecuencia, la asignación presupuestaria para protección TIC va a seguir creciendo. Ésta, creo, es una tendencia imparable, entre otras razones porque cada vez hay más amenazas, porque los ciclos de protección eficiente son cada vez más cortos y porque las entidades de crédito tienen que garantizar la seguridad. Dos razones: que sus clientes hacen transacciones económicas y que son receptoras de datos personales muy delicados.
Se mida como se mida, creo que la partida dedicada a seguridad de la información va a tener un peso creciente en los presupuestos de los departamentos de sistemas de información. Y debe ser así.

– ¿Existen en el Banco de España iniciativas sistemáticas, orientadas a la protección de la información?

– Desde hace tres años tenemos un plan director trienal de sistemas de información en el que se recogen las grandes líneas de actuación del Departamento. Este plan director, aprobado por nuestra Comisión Ejecutiva, contempla las necesidades de negocio para los siguientes años, y su soporte tecnológico. En este ámbito se recogen todos los proyectos asociados con la protección de la información.

¿Podría comentar las líneas maestras de dicho Plan?

– En el Plan actual, que finaliza este año, existen dos líneas de actuación básicas desde el punto de vista de la seguridad informática. Una de ellas se centra en la potenciación de los servicios externos, en tanto que la segunda se orienta a la gestión interna. No obstante, y desde un punto de vista tecnológico, ambas líneas acaban confluyendo finalmente en un conjunto de proyectos que van a dar cobertura a los requerimientos de seguridad en ambos escenarios.
Como resultado de esta acción global, en los planes informáticos anuales se han ido planificando una serie de proyectos, algunos ya finalizados y otros todavía en curso, como son la implantación de una infraestructura de clave pública, la mejora de los servicios de conexión remota, la mejora de conectividad con entidades externas, la mejora de la gestión de identidades o la gestión centralizada de eventos de seguridad.

¿Cuál de todos le parece más relevante?

– De los realizados en 2004, y desde un punto de vista de complejidad tecnológica, el de la implantación de una PKI. Su objetivo inicial ha sido dotar a todos los empleados del Banco de España con una tarjeta de identificación personal realmente muy avanzada que incorporará tres elementos de seguridad: un chip criptográfico, un chip mifare y una banda magnética, de tal manera que se pueda proporcionar a los titulares de estas tarjetas cuatro funcionalidades diferentes: identificación, control de acceso, control de presencia y servicios criptográficos.
Desde la óptica de la seguridad informática, las funcionalidades iniciales proporcionadas a través del chip criptográfico, son: el logon con tarjeta a la red Windows, la autenticación robusta para el acceso remoto, el cifrado y la firma de ficheros, y la firma y el cifrado de correos electrónicos.
En realidad, lo que ha hecho el Banco de España es constituirse en entidad de certificación. Ello tiene una doble ventaja: por un lado la interna, que ya he mencionado, y que en última instancia marca el inicio de la desaparición del papel como medio de documentos, y por otra la externa, que le permite emitir certificados electrónicos para autenticar a las entidades de crédito y ahorro en el contexto de nuestra infraestructura. En tanto que entidad de certificación, estamos en disposición de reconocer los certificados de los terceros que se considere.
Hay otro proyecto importante, no sólo desde el punto de vista tecnológico sino también desde el organizativo: el despliegue de una herramienta de gestión de identidades en todos los departamentos del Banco, de modo que los administradores de seguridad de los departamentos usuarios puedan ejecutar ellos mismos todas las operaciones de la administración de seguridad.

"Se mida como se mida, la partida dedicada a seguridad de la información va a tener un peso creciente en los presupuestos de los departamentos de sistemas de información. Y así debe ser"
 

¿Qué papel juega la Dirección de Sistemas de Información en la continuidad de las actividades de la Institución ante contingencias?

– El Departamento de Sistemas de Información ha liderado siempre los proyectos de continuidad de los sistemas y de continuidad de negocio. El primer proyecto global de continuidad de sistemas y de negocio se abordó en el año 1995. El objetivo era conseguir un plan de respaldo que, en caso de desastre en uno de los edificios del Banco, permitiera la recuperación de los sistemas operativos críticos (en ese momento, todos los que residían en el entorno mainframe) en un periodo inferior a dos horas y sin pérdida de datos. Ese plan de contingencia está totalmente operativo, y desde entonces se ha seguido trabajando en la evolución del mismo, abarcando en la actualidad tanto los sistemas críticos de la institución en el entorno mainframe, como también los sistemas informacionales que residen en otras plataformas.
Sin embargo, en los últimos años, los cambios tecnológicos y organizativos han sido grandes, por lo que actualmente está en marcha un proyecto, que iniciamos en el departamento de Sistemas de Información a finales de 2004 y que acabamos de finalizar ahora, de revisión de los actuales planes de continuidad de negocio, en el que, como es lógico, participan todas las direcciones generales del Banco, asumiendo la de Sistemas de Información, a través de su división de gestión de procesos, las competencias de gestión de la continuidad del negocio, optimización de procesos y prevención del riesgo. Esta iniciativa está basada en los principios de Basilea II.
A efectos de plan de contingencia informático, el objetivo es conseguir los mismos tiempos de recuperación –sin pérdida de datos– que tenemos en entornos centrales (menos de dos horas) para las aplicaciones distribuidas. Como se puede figurar, la reducción de los riesgos ligados a la disponibilidad es un objetivo de primera magnitud para el Banco de España.

¿Tienen planes para certificar su sistema de gestión de la seguridad de la información (SGSI) contra la UNE-EN 71502:2004, o bien hacer lo propio en algún ámbito específico de servicio contra la BS7799-2/2002?

– Por ahora, no; aunque por supuesto seguimos las normas internacionales pertinentes, como es el caso de la ISO 17799.

¿Cree que Basilea II va a ayudar a que las entidades financieras y de crédito destinen los medios necesarios para gestionar de manera eficaz y eficiente sus riesgos tecnológicos?

– El enfoque que define Basilea II está muy ligado a la infraestructura TI. Lo que solicita a las entidades financieras es que en la gestión de los riesgos se tengan en cuenta todas las amenazas que afectan al negocio.
Por consiguiente, y respondiendo a su pregunta, sí creo que Basilea II va a suponer un empuje importante en la mejora de la gestión de los riesgos tecnológicos en general.

El Banco de España está muy comprometido con la implantación de XBRL...

– Uno de los siete ejes de actuación contenidos en nuestro plan director de sistemas de información es facilitar el intercambio de información con todo el ámbito externo del Banco, entidades de crédito y ahorro, los ciudadanos, la sociedad. Hemos acometido muchos proyectos: acceso a través de la web a ciertas informaciones, facilitar el intercambio de información vía Internet, hemos iniciado un proceso de cambio de toda la red de comunicaciones con la banca... Uno de los asuntos planteados en su momento fue el de la estandarización del intercambio de información con las entidades de crédito y ahorro, que produciría una serie de ventajas: mayor calidad del dato que viaja, no manipulación del dato ni en origen si en destino, normalización del proceso de reporting con estándares de tecnología, basados en XML, lo que ayuda a mejorar la eficiencia en las entidades de crédito. Los beneficios afectan pues a la calidad, la transparencia y la eficiencia.
Estas razones nos han llevado a apoyar la implantación de XBRL. Como sabe, existe una asociación española que arrancó en abril de 2004 con diez organizaciones, además del Banco de España: la CNMV, el Colegio de Registros y la AECA, y seis organizaciones privadas, entre bancos y auditoras. Hoy la asociación cuenta ya con treinta y cuatro organizaciones. Y lo más importante: ya hay varios proyectos en marcha con entregables previstos para este año con taxonomías reales para nosotros, para la CNMV, para los Registros, para el Plan General Contable o para la identificación general de cualquier compañía.
Además, el Banco de España ha conseguido liderar un proyecto todavía más importante, que se centra en el desarrollo de una taxonomía en XBRL del modelo de datos para la directiva Basilea II, en coordinación con los veinticinco supervisores bancarios europeos. Con lo cual, el Comité Europeo de Supervisión Bancaria promueve la utilización de este estándar para cumplir con la directiva, iniciativa coordinada desde España.

“En el Banco de España, afortunadamente, contamos con un grupo de profesionales de seguridad informática del máximo nivel, que además tienen planes de formación permanentes para su correcta actualización y desarrollo profesional”


¿Y qué decir de la seguridad de la información en el contexto?

– Pues que está presente en todo. La seguridad es un pilar que hay que analizar en cualquier tema relacionado con los sistemas de información, y el intercambio de información y la transferencia de información en el ámbito al que me refiero, que además va por Internet, no es una excepción. Sin duda, hay que cuidar bien todos los servicios de seguridad y analizar los riesgos. La seguridad es algo intrínseco a los sistemas de información.

¿Se preocupan lo suficiente las entidades financieras españolas por la seguridad de la información?

– Las entidades de crédito y ahorro en nuestro país están muy bien cubiertas en la aplicación de tecnología y en la gestión. Esto también sirve para la seguridad. Lo que sucede es que el ciclo de vida de las posibilidades de quedar desprotegido cada vez es más corto, por lo que estar protegido exige un esfuerzo constante y creciente. Las vulnerabilidades crecen, las posibilidades de intromisión también, y esto obliga a invertir en protección.

¿Le preocupa el hecho de que los fraudes realizados utilizando resquicios en los procesos de negocio y un poco de ingeniería social estén cediendo el estrellato a los que se cometen utilizando, además del engaño, las debilidades en los sistemas de información tecnológicos en los que se basan los servicios?

– Naturalmente que me preocupa, sobre todo porque en el entorno financiero todos los procesos están soportados por la tecnología, por lo que es primordial trabajar en la mejora de la protección.
La realidad es que hace algunos años la preocupación por la seguridad se limitaba a un pequeño número de organizaciones, pero los problemas de disponibilidad sufridos por diferentes compañías debidos al aprovechamiento de las debilidades de los sistemas por virus y otros códigos maliciosos ha hecho cambiar mucho las cosas, y hoy en día es difícil encontrar una empresa que no se tome en serio la seguridad de la información y que no trate de mantener los sistemas perfectamente actualizados.
Obviamente, la seguridad no es algo que se compre y que después de que el técnico la instale, podamos olvidarnos de ella, sino que depende fundamentalmente de las personas. De la buena o mala gestión que hagamos dependerá el que nuestra seguridad sea mejor o peor. Por lo tanto, el reto de los responsables de seguridad no es únicamente preparar nuestros sistemas para que sean cada vez más seguros, sino también cuidar los aspectos organizativos y de gestión, concienciando a toda la organización para que se sensibilice. En el Banco de España, afortunadamente, contamos con un grupo de profesionales de seguridad informática del máximo nivel, que además tienen planes de formación permanentes para su correcta actualización y desarrollo profesional.

"La seguridad de la información no se basa sólo en productos, sino también, y en gran medida, en la gestión, y ésta depende de las personas y de la organización

¿Qué opina del phishing y sus variantes? Muchas entidades financieras han lanzado a la sociedad el mensaje de que es un ataque a sus clientes, no a ellas; sin embargo, los delincuentes, para empezar, hacen una suplantación de la imagen de tal o cual entidad. ¿Deberían las entidades financieras ser más activas frente a esta saga de fraudes?

– Los clientes son las víctimas de la falta de seguridad de los mecanismos de autenticación utilizados por las empresas que les proporcionan sus servicios desde Internet. No es razonable pedir a un usuario, que no tiene por qué tener conocimiento alguno sobre seguridad informática, que sea responsable de asegurar que está hablando con su banco.
Si de verdad queremos evitar el phishing, la única medida eficaz es usar mecanismos de autenticación fuerte, de tal manera que aunque un usuario pueda ser engañado, no sea capaz de proporcionar la información que le permite autenticarse y, por consiguiente, no pueda ser suplantado con posterioridad.
En este sentido, en España, el futuro DNI electrónico puede ser un importante avance, ya que va a proporcionar a todos los ciudadanos un mecanismo de autenticación fuerte que podría ser utilizado por cualquier organización.

Una última pregunta: ¿está la industria de seguridad TIC –ampliamente entendida– a la altura de las circunstancias?

– El principal problema que tienen las empresas que proporcionan soluciones de seguridad informática es el mismo que tiene el resto de empresas que proporciona soluciones en el ámbito tecnológico: la alta velocidad de cambio de los sistemas, que no ayuda precisamente a que se alcancen los niveles adecuados de calidad; y esto, que en otros contextos puede ser importante, en el ámbito de los proyectos de protección TIC resulta especialmente grave.
No obstante lo dicho, insisto en que la seguridad de la información no se basa sólo en productos, sino también, y en gran medida, en la gestión, y ésta depende de las personas y de la organización.

Texto: José de la Peña Muñoz
Fotografía: Jesús A. de Lucas
 

<volver