La CiberSeguridad como pieza clave del negocio digital

Héctor, necesito que me ayudes con un proyecto amigo, sé qué no hemos trabajado juntos, pero necesito apoyo para el NeoBank, al ser un negocio 100% digital, me interesa sensibilizar a Diego el Chairman de BancoT y, mi primera línea de la importancia que cobra en una estrategia “Mobile First” la seguridad informática.

Amigo -con mucho gusto le respondí- propongo darte una charla de 2 horas, donde te haga un storytelling de algunas de mis anécdotas de ataques y como afectan a la organización, para luego decirte como DEBES protegerte a fin de minimizar el riesgo ¿Te parece bien?

-Claro amigo, pero con necesito darte una pequeña instrucción Héctor

-Dime Justino ¿Cuál es esa instrucción? (Y me puse a pensar un poco, Justino es muy exigente en su trabajo, cierto es que no hemos colaborado y mucho sentía era mi falla, no estaba a la altura de sus proveedores, y quizás ahora me enteraría de la razón real, momento importante para mí)

-Necesito que me mandes una cotización por esta charla, no quiero nada gratis, tu conocimiento lo vale y, del mismo modo puedo exigir mayor calidad de modo intrínseco, si me cobras ambos estaremos en el entendido de que es un proyecto formal y, así aprendes que DEBES cobrar por tu conocimiento amigo mío.

No contesté rápido como es mi costumbre, Justino me miraba directo pero sin dureza, me quedé pensando unos segundos, en sí eso es una mala práctica personal me dije, me cuesta trabajo cobrarle a un ami…go, ¡claro, si que soy atolondrado! y mi buen amigo leyó mi lenguaje corporal y sonrió complacido -Son negocios y los negocios son fríos, enfocados en el margen de utilidad– le dije en voz alta … amigo mío -dijo Justino- estamos de acuerdo ahora.

Una vez que quedamos de acuerdo con el costo por hora, me citó en BancoT para dar la charla de CiberSeguridad en aplicaciones financieras, me ha dicho que lo valioso es la experiencia de la vivencia pasada, porque se cubren aristas sentimentales y todos los recovecos del negocio, sumando el hecho de que es real y que le puede pasar a cualquiera, en muchas ocasiones desde el lugar menos esperado.

Me registré el martes pasado en las oficinas de BancoT, me gusta ser puntual, llegué 20 minutos antes por cualquier imprevisto y subí a la oficina de mi amigo, apenas me vio salió a recibirme y saludarme, personalmente (cosa que es un detalle que debo aprender) me llevó a la sala donde sería la charla y me presentó a Laura, la persona encargada del equipo de la sala, me dijo que regresaría a tiempo para la reunión.

Laura de manera muy amable, me atendió preguntando que necesitaba y como conectarme para la presentación, le pedí un pizarrón y plumones (tengo complejo de profesor y me gusta dibujar, lo hago mal por cierto, pero da idea clara y frescura de que “no es muy cuadrada” la presentación) para detallar ideas, sonrió de manera particular ante mi petición (después me dijo Justino que le había comentado que apostaba que pediría un pizarrón para pintar), y quedo listo todo al 5 para la hora, el equipo de Justino (su primera línea) empezó a llegar.

Al final llegó Diego, un señor dueño de una personalidad imponente y acostumbrado a mandar, apenas entró la sala le puso “mute” a toda conversación y murmullo, me saludó muy cordial, en tono de voz fuerte pero normal, agradeció mi presencia y me dijo que empezará por favor, TODO EN LA MISMA ORACIÓN y en apenas unos segundos.

Saludé a la audiencia, y empecé mi presentación, y fue mas o menos así (después de preguntar puesto y perfil de cada participante):

La primera diapositiva tiene esta imagen:

“Un cajero electrónico es igual a una aplicación financiera en un celular, solo no da efectivo”

Ortega

“Leyendo” a mi público, podía ver en su lenguaje corporal la aceptación ante mi propuesta, ¡tenía mi primer punto anotado!, ya se empezaban a sensibilizar de lo importante que es cuidar el negocio financiero en digital.

Ahora imaginen, un cajero tiene una línea dedicada, tiene seguridad controlada en donde se instala, con cámaras, sensores de movimiento, monitoreo y etc. pero entonces cuando hacemos una App financiera debemos tener algunas consideraciones que muchas equipos no toman en cuenta (pensando que es un cajero):

  • No sabemos donde vivirá nuestro “cajero”, quiero decir en que teléfono, si tiene virus, si tiene espacio
  • Nadie lo va a cuidar
  • Nadie lo monitorea
  • Si el teléfono está “rooteado” (expliqué a detalle que quiere decir este concepto y el riesgo)
  • Los datos financieros confidenciales, pasan por tres dos entes como mínimo (depende de la arquitectura y el contrato del servicio, les expliqué de igual manera los diferentes puntos cuando es P2P, OMV, etc.) la del banco y el carrier de telefonía
  • No sabemos si es mala la persona que lo instala (cracker, y usando el pizarrón les detalle los sombreros de seguridad y los nombres que hay para cada uno y, el daño de Hollywood)
  • Y otros puntos que tenía en diapositivas llenas de imágenes

Terminado este punto, les platiqué del día que hackearon el banco y otras anécdotas que me han pasado, enfocadas en tres aspectos:

  1. Reputación para la entidad
  2. Afectación al estado de resultados
  3. Esquema técnico

Para cuando te hackean, es un impacto para la organización en su credibilidad y es que una entidad financiera necesita que sus clientes tengan confianza en que su dinero está seguro, de lo contrario no lo van a recomendar, esto en definitiva va directo al estado de resultados de la empresa.

¿Y a mí que me importa eso? Decía en modo irónico una diapositiva, si soy programador, o soy el de atención a clientes, o soy la secretaria del CEO, pero no soy el dueño, ni el CEO, ni tengo siquiera un puesto directivo, o en otro sentido, si soy director pero soy de Producto, ese tema de vulnerabilidades es de Tecnología … que lo resuelvan ellos …

No tengo que ver en esto

Y llegados a este punto, les hice énfasis en como es importante que TOD@S cuidemos en la organización el estado de resultados, ya que de ahí derivan las decisiones de bonos, de aumentos, de recortes, de incremento o decremento de plantilla laboral, de promociones incluso, y la supervivencia del negocio en general, es un tema de la empresa y si laboras en ella, es claro que nos afecta a TOD@S.

¿Qué puedo hacer? Sería la pregunta mas adecuada, pues muchas cosas se pueden hacer, desde entender que hay leyes y reglamentos a cumplir, charlas como esta de sensibilizar de este impacto, de educación en temas de riesgos digitales para la empresa, no necesitas conocer el detalle técnico pero si necesitas saber que existe el riesgo y buscar como mitigarlo.

En este punto, Diego hizo pausa y se volteó hacia su equipo Justino incluido claro está, les dijo en paráfrasis mi mensaje y agradeció una vez más mis comentarios.

Espero no desviarme mucho, pero hay otra variable que resta al estado de resultados … les dije, aprovechando el momento que Diego había propiciado, les mostré esta gráfica:

Es de suma importancia cuidar el estado de resultados, por ello podemos decir que:

“La corrección de errores, es el desarrollo mas caro”

H. Ortega

Se debe tener control de calidad, que incluye pruebas de seguridad y programación segura (les hice dibujos y esquemas sin jerga técnica a el equipo de BancoT, para darles a conocer el ciclo de vida de desarrollo de un producto digital, enfocado en el negocio que sirve a un cliente)

Finalizamos la charla, platicando e intercambiando ideas y dudas del tema de aplicaciones móviles para estrategias “Mobile First”, donde la conclusión es:

“<Mobile First> no solo es sobre hacer una App para el negocio financiero, es la herramienta principal, pero no es el objetivo de la estrategia”

BancoT

Diego se ha ido, no sin antes despedirse de manera muy amable, ha llamado a Justino que me dice rápido “Ya regreso”, el equipo de BancoT se ha quedado charlando de otros puntos y me han externado que les gustaría conocer más de estos temas, qué si bien están dentro del negocio financiero, el digital es otro bicho y la relevancia de conocer su fundamento es prioridad -creo que mi trabajo está hecho, me digo para mis adentros-

Justino ha regresado, me ha sacado de mis pensamientos y me dice: Héctor, al salir Diego me ha dicho que necesita otras dos charlas, una de “Mobile First” y los indicadores y ruta para hacerlo y, la segunda es para la gente técnica, estaba hablando de esto cuando Raúl el CIO se ha acercado a preguntarme si nos puedes dar algo más “técnico”, para la gente de desarrollo y como gestionar los riesgos que has mencionado .

Nos hemos puesto de acuerdo para las otras dos charlas, estos temas me apasionan de sobremanera y por ello lo puedo hacer gratis (ya Justino, para cuando leas esto, te aseguro que he cambiado de opinión) pero no lo haré, por qué en efecto, he dado mas valor cuando he cobrado, porque siento la imperiosa necesidad de esforzarme más para el entregable, dicen que “Lo bueno cuesta”

Muchas gracias por leerme, ya te contaré como ha ido la presentación técnica y la de estrategia “Mobile First”.

NOTA: No he contado ni detallado toda la charla, ni las diapositivas ya que fue un tema de casi 4 horas, pero si te interesa me puedes mandar un mail a [email protected] y lo comentamos.