Jamil Farshchi, CISO de Equifax: "La seguridad no debería ser un secreto comercial"
Farshchi se unió a la agencia de informes crediticios en 2018 con un mandato de cambio tras la violación de datos de alto perfil de la compañía. En la actualidad, reclama una mayor transparencia y colaboración en la comunidad de seguridad, con Equifax a la cabeza.
El CISO de Equifax, Jamil Farshchi, ha abierto las cortinas de las operaciones de ciberseguridad, diciendo que cree que "la transparencia a todas las partes interesadas en el grado más profundo razonable" hace que la empresa sea más segura.
"Si tenemos transparencia, nos aseguramos de estar a la altura en todas las facetas de nuestro programa. Se asegura de que nadie mire un registro de parches y diga 'no es gran cosa', porque sabe que todo el mundo está mirando", asegura. "Creo que, en última instancia, te hace más seguro, y eres capaz de resistir cualquier tipo de objetivo".
Farshchi no solo se está poniendo filosófico: de hecho, comparte detalles sobre el trabajo que realizan él y su equipo, las amenazas a las que se enfrentan y los retos que tienen.
La empresa, una agencia multinacional de informes de crédito al consumidor, publicó en marzo su Informe Anual de Seguridad 2021. En él se describen las inversiones en ciberseguridad de la empresa y se ofrecen detalles sobre sus políticas y procedimientos.
"Si eres un cliente o un inversor, no debería hacer falta una brecha para que descubras la postura de seguridad de una determinada empresa. Las empresas deberían estar obligadas a hacer pública la salud de su propia ciberseguridad", afirma.
Como la mayoría de los CISO veteranos saben, el enfoque de Farshchi no ha sido la postura histórica de la profesión. En cambio, el funcionamiento de la función de seguridad ha sido tradicionalmente opaco para los grupos externos —en particular los clientes—, así como para las unidades de negocio internas y los colegas ejecutivos.
Sin embargo, esa opacidad tenía un coste.
"La transparencia no es la norma en seguridad, y nos ha debilitado. Ha perturbado las cadenas de suministro digital, ha dejado al descubierto las vulnerabilidades que se pueden abordar, ha obstaculizado nuestra inteligencia colectiva, ha socavado la buena voluntad y ha prolongado innecesariamente los tiempos de respuesta", afirma Farshchi.
Empujados en parte por el creciente nivel de amenazas, los CISO y sus homólogos ejecutivos llegaron a ver el valor de que todos comprendieran mejor la función de seguridad y su importancia.
"La seguridad por oscuridad no funciona"
Incluso los líderes nacionales están pidiendo más colaboración y cooperación. El Presidente Biden pidió más colaboración en su Orden Ejecutiva de mayo de 2021 sobre la mejora de la ciberseguridad de la nación. La Comisión de Valores y Bolsa (SEC) propuso en marzo de 2022 un cambio de normativa "para mejorar y estandarizar la información sobre la gestión de riesgos de ciberseguridad, la estrategia, la gobernanza y la notificación de incidentes por parte de las empresas públicas." Y el Congreso aprobó esta primavera su Ley de Notificación de Incidentes Cibernéticos para Infraestructuras Críticas, que exige a las empresas del sector de las infraestructuras críticas que notifiquen a la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) en las 72 horas siguientes a un incidente cibernético significativo y en las 24 horas siguientes a la realización de un pago en casos de ransomware. Se trata de legislación muy similar a la establecida en la UE y transpuesta en España, sobre la obligatoriedad de notificar los incidentes de ciberseguridad.
Según Farshchi, las recientes medidas representan un sólido avance. Pero cree que hay que hacer más si las empresas y comunidades del país quieren ser más seguras, y señala la necesidad de más comunicación y más colaboración, así como un aumento del número de CISO dispuestos a discutir públicamente lo que funciona en ciberseguridad y lo que no.
"No creo que debamos ocultar nada", afirma Farshchi, y explica que cree que las organizaciones de seguridad deben esa franqueza a sus integrantes porque, de lo contrario, "soy yo quien toma una decisión de riesgo por ellos sin que ni siquiera lo sepan. La idea de mantener esa información bajo llave va en contra de la razón. La seguridad por oscuridad no funciona". Y añade: "En Equifax hemos puesto de nuestra parte para aumentar la transparencia".
Farshchi define la transparencia como "proporcionar a los grupos constituyentes la visibilidad que necesitan para tomar mejores decisiones de seguridad. Puedes tener un mensaje diferente para diferentes audiencias", explica.
Para las partes interesadas en general, eso significa publicar el informe anual (el de 2021 es el segundo publicado) y exponer cómo la empresa está avanzando en su transformación de la seguridad.
Para los clientes, significa celebrar cumbres informativas y hablar de los controles y las mejores prácticas en términos que puedan entender.
Para la comunidad de seguridad en general, significa organizar sesiones informativas sobre las lecciones aprendidas "para echar una mano a otras organizaciones" y asociarse con otras, incluidas las entidades gubernamentales, "para que puedan ayudar a elaborar políticas que puedan contribuir al universo más amplio de partes interesadas", dice Farshchi.
"No podemos resolver los retos cibernéticos actuales sin hablar de ellos y colaborar entre nosotros", afirma Farshchi. "La ciberseguridad ya está impregnada de suficiente complejidad y secretismo; no deberíamos agravar ese problema quedándonos callados o hablando sólo entre nuestras cuatro paredes. Si queremos cambiar la línea de tendencia de los ataques exitosos —si queremos que nuestras empresas y comunidades sean más seguras— necesitamos más comunicación, más colaboración y más transparencia en la seguridad, no menos".
Y añade: "Hemos elegido este enfoque porque la seguridad no debería ser un secreto comercial".
Un mandato para el cambio
Como CISO, Farshchi dice que conoce la importancia y el valor de esa apertura, y los problemas que se crean cuando no existe.
Al igual que muchos ejecutivos de seguridad de hoy en día, afirma que su empresa busca información de sus propios socios comerciales y proveedores sobre sus programas de seguridad para asegurarse de que cumplen ciertas normas y, por tanto, limitar la posibilidad de introducir riesgos adicionales para Equifax.
Sin embargo, Farshchi reconoce que estos esfuerzos no siempre aportan la información adecuada y la visibilidad necesaria para tomar decisiones realmente informadas.
Equifax también ha estado en el otro extremo: la empresa sufrió una importante brecha en 2017, un acontecimiento muy publicitado que impulsó a los ejecutivos de muchas otras empresas a aumentar su perspicacia e inversiones en ciberseguridad, así como impulsó un nuevo enfoque de ciberseguridad en la propia Equifax.
Farshchi se unió a Equifax como CISO en febrero de 2018 después de haber sido el CISO de The Home Depot durante tres años. Llegó a Equifax con un mandato de cambio.
"Hay pocos aspectos de nuestro programa de seguridad, por no decir ninguno, que no hayan sido completamente revisados con respecto a lo que había en 2017", afirma. "Invertimos más de 1.500 millones de dólares para reconstruir nuestros sistemas de seguridad y tecnología desde cero. Contratamos a más de 600 profesionales de ciberseguridad altamente cualificados para proteger los datos de los consumidores. Múltiples calificaciones independientes muestran ahora que nuestra madurez y postura de seguridad superan la media de cualquier sector importante".
Además de su función en Equifax, Farshchi forma parte de la junta directiva de la Coalición Nacional de Seguridad Tecnológica, el Instituto Tecnológico de Georgia para la Seguridad y la Privacidad de la Información y Piedmont Park Conservancy en Atlanta.
Farshchi cree que la presión por una mayor transparencia, de él, de Equifax, de otros líderes de seguridad y del gobierno, tiene la oportunidad de tener un impacto significativo y generar una mejora real.
Señala las acciones de la SEC en materia de ciberseguridad y dice que podrían ser "un cambio de juego en nuestro espacio al forzar la ciberseguridad en la sala de juntas, con el cambio de política que impulsa toda esta noción de transparencia".
"Es enorme, es una extensión de lo que estamos tratando de hacer en Equifax pero a una escala mucho mayor. Creo que puede garantizar que los CISO tengan un asiento consejos de administración, y da la oportunidad de que la seguridad se comprometa realmente con los miembros de la junta directiva. En muchas organizaciones, este no es el caso hoy en día".
Según Farshchi, este cambio no puede tardar mucho. Las organizaciones se enfrentan a muchos más riesgos a medida que se vuelven más digitales. "Cuando se piensa en el impacto que la cibernética puede tener en una organización, cualquier organización, y se observa la probabilidad de que se produzca un ataque, no hay riesgo más importante que este. Y esto solo va a aumentar a medida que avancemos. Y por ello, vamos a tener que llegar a un lugar mucho mejor en términos de seguridad".
