This article is also available in Portuguese and Spanish

As part of our Latin America focus for this edition of FS-ISAC Insights, we spoke with Homero Valiatti, Superintendent of Information Security at Itaú, Brazil's largest bank and the largest financial institution in the southern hemisphere.

What is your take on cyber and regulatory maturity in the region? How can both the private and public sectors address these issues?

In terms of cyber maturity, Latin America still needs significant advances. The recent OECD study, Digital Security Risk Management, highlights that only three of the 21 countries in Latin America have a defined national digital security strategy, indicating that the region is not yet sufficiently prepared. This is largely due to gaps in legal and regulatory structures. Other aspects that corroborate the criticality of the situation involve the limited investment in cybersecurity technology and the deficit of talent in cybersecurity.

The public and private sectors can and must address cybersecurity in an integrated manner, seeking to define and permanently conduct a security strategy aligned with the business context and strategies of the institutions with a balance of risks and costs.

Another crucial point is the level of cybersecurity awareness of the top leadership of the institutions; that is, cybersecurity risk must be discussed and managed with the same intensity as any other risk. Although we already see cyber risks being discussed, there are opportunities for evolution at the leadership level. This would result in greater investments in cybersecurity and an adequate prioritization of mechanisms for responding to threats.


What are the key cyber threats facing Latin American financial institutions? 

In Latin America, our main challenges are like those of financial institutions in other parts of the world. The crisis caused by COVID-19 further evidenced our dependence on digital technologies and the need to expand and streamline the digital transformation initiatives of financial institutions. This brought even greater risks related to the maturity of the technologies and products being created, as well as security controls and third-party risk management, such as cloud providers.

Financial institutions and their partners and suppliers are constantly fighting the growth of malware attacks, specifically Ransomware-as-a-Service, which has proven to be extremely profitable for attackers.

Another important risk is the interruption of financial services caused by attacks against infrastructure in general (telecommunications, energy, etc.) but not necessarily directed at financial institutions alone - it is one of the biggest threats we face.

All of these threats are even more relevant as we now face attacks from nation-states in the region, which have immense operational capacity, as we have observed in several incidents reported throughout 2020.

Finally, an equally important risk is the increase in cases of bank fraud, largely caused by the deterioration of the current economy in the region.

How are you managing the uptick in attacks on the supply chain?

The risks of attacking the supply chain/third parties are as relevant as other types of attacks that we face daily, so they are already incorporated into our security strategy and closely monitored. We consider our suppliers and partners to be an important part of the incident response process: when a security incident is identified, we immediately establish a coordinated process that includes impact analysis, targeted communication, and support. In addition, we maintain a comprehensive risk management process with our third parties, seeking to solidify trust in the relationship, understand their maturity levels and support them in raising security controls.

Is Brazil less susceptible to certain types of attacks because of its language?

Definitely not. Brazil is considered one of the most susceptible countries to cyber attacks, along with the US, China and Russia. Our position of relevance in the region, in addition to a cybersecurity culture that is not yet well developed, invariably leaves us vulnerable.

Specifically, our language represents an additional challenge for the evolution of cybersecurity strategies, such as the search for specialized professionals and the establishment of partnerships with the main global players in the cybersecurity market. The challenges related to cyber intelligence also require a deep knowledge of the particularities of our scenario, in particular our financial market and how we operate locally.

How have your interactions with consumers changed permanently as a result of COVID?

Overall, our interactions with customers have been radically changed recently because of COVID-19 and that will certainly continue in the future. We consider these changes to be “permanent,” but as we live in a constantly changing and evolving scenario, the variability of contexts is inherent to the business. In conjunction with the accelerated digitization of our products and services, we have invested considerably in efforts to raise cybersecurity awareness among our customers.

How have you adapted your security strategy based on those changes?

We constantly reassess our security posture, and therefore our cyber resilience, based on attack surface, new threat vectors, and effectiveness of current protective actions, among others. Specifically, from the perspective of digital transformation driven mainly by COVID-19, our stance was certainly adjusted (or reinforced), but not “reformulated” for the scenario. Actions which were planned as long-term changes in our roadmap became very short term.

Is there good cross-border collaboration pertaining to cyber in the region?

In addition to the need to mature cybersecurity strategies, one of the obstacles to broader collaboration is the absence of the adoption of a common collaboration framework between countries and entities.

However, we are working on it. A few years ago, the Computer Security Incident Response Team (CSIRT) Americas was created, bringing together the CSIRT from most countries in the region. This structure allows synergy and exchange of data on the intelligence of security incidents and an accurate view of the cyber scenario in general, allowing, above all, support in investigations and agile responses to incidents with regional or global scale.


De tendências emergentes à riscos cibernéticos: uma perspectiva da América Latina

Qual é a sua opinião sobre a maturidade cibernética e regulatória na região? Como os setores público e privado podem abordar essas questões?

Em termos de maturidade cibernética, a América Latina ainda necessita buscar de avanços significativos. O recente estudo da OCDE, Digital Security Risk Management, destaca que apenas três dos 21 países da América Latina possuem uma estratégia nacional de segurança digital definida, indicando que a região ainda não está suficientemente preparada. Isso se deve, em grande parte, a lacunas nas estruturas jurídicas e regulatórias. Outros aspectos que corroboram a criticidade da situação envolvem o investimento limitado em tecnologia de segurança cibernética e o déficit de talentos em segurança cibernética.

Os setores público e privado podem e devem abordar a segurança cibernética de forma integrada, buscando definir e conduzir permanentemente uma estratégia de segurança alinhada com o contexto de negócios e estratégias das instituições e com equilíbrio de riscos e custos.

Outro ponto crucial é o nível de consciência cibernética da alta liderança das instituições, ou seja, o risco cibernético deve ser discutido e gerenciado com a mesma intensidade que qualquer outro risco. Embora já vejamos os riscos cibernéticos sendo discutidos, ainda identificamos oportunidades importantes na evolução desse tema nestas lideranças. Isso resultaria em uma maior assertividade dos investimentos em segurança cibernética e uma priorização adequada dos mecanismos de resposta às ameaças.

Quais são as principais ameaças cibernéticas que as instituições financeiras latino-americanas enfrentam? Existem tendências específicas da América Latina?

Na América Latina, nossos principais desafios são semelhantes aos das instituições financeiras em outras partes do mundo. A crise causada pelo COVID-19 evidenciou ainda mais nossa dependência das tecnologias digitais e a necessidade de expandir e agilizar as iniciativas de transformação digital das instituições financeiras. Isso trouxe riscos ainda maiores relacionados à maturidade das tecnologias e produtos que estão sendo criados, bem como controles de segurança e gerenciamento de terceiros, como provedores de nuvem.

As instituições financeiras e seus parceiros e fornecedores estão constantemente lutando contra o crescimento de ataques de malware, especificamente o Ransomware-as-a-Service, que se provou extremamente lucrativo para os invasores.

Outro risco de importante destaque refere-se a interrupção dos serviços financeiros causada por ataques contra a infraestrutura em geral (telecomunicações, energia, etc.), por exemplo, mas não necessariamente direcionados às instituições financeiras somente - é uma das maiores ameaças que enfrentamos.

Todas essas ameaças são ainda mais relevantes se considerarmos que agora enfrentamos ataques de Estados-nação na região, que possuem imensa capacidade operacional, como observamos em vários incidentes relatados ao longo de 2020.

Por fim, um risco igualmente importante, refere-se o aumento dos casos de fraude bancária, em grande parte ocasionada pela deterioração da realidade da economia atual na região, além das legislações locais contra crimes cibernéticos, que ainda preocupam e requerem atenção pública e privada. setores.

Como você está gerenciando o aumento nos ataques supply chain ou fornecedores?

Os riscos de ataque supply chain / fornecedores são tão relevantes quanto outros tipos de ataques que enfrentamos diariamente, por isso já estão incorporados à nossa estratégia de segurança e monitorados de perto. Consideramos nossos fornecedores e parceiros uma parte importante do processo de resposta a incidentes: quando um incidente de segurança é identificado, estabelecemos imediatamente um processo coordenado que inclui análise de impacto, comunicação direcionada e suporte. Além disso, mantemos um amplo processo de gestão de riscos com nossos terceiros, buscando solidificar a confiança no relacionamento, entender seus níveis de maturidade e apoiá-los na elevação dos controles de segurança.

O Brasil está menos suscetível a certos tipos de ataques por causa de seu idioma?

Definitivamente não. O Brasil é considerado um dos países mais suscetíveis a ataques cibernéticos, junto com EUA, China e Rússia. Nossa posição de relevância na região, além de uma cultura de cibersegurança ainda não tão desenvolvida, invariavelmente nos deixa vulneráveis.

Especificamente, nosso idioma representa um desafio adicional para a evolução de estratégias de cibersegurança, como a busca por profissionais especializados e o estabelecimento de parcerias com os principais players globais do mercado de segurança cibernética. Os desafios relacionados à inteligência cibernética também exigem um conhecimento profundo das particularidades de nosso cenário, em particular de nosso mercado financeiro e de como atuamos localmente.

Como suas interações com os consumidores mudaram permanentemente como resultado do COVID?

No geral, nossas interações com os clientes mudaram de forma significativa nos últimos meses como resultado do COVID-19 e isso certamente continuará no futuro e tratamos essas mudanças como sendo “permanentes”. Vivemos em um cenário em constante mudança e evolução, e quando se trata de segurança e tecnologia bancária, a variabilidade de contextos é inerente ao negócio. Em conjunto com a digitalização acelerada de nossos produtos e serviços, temos investido consideravelmente em esforços para aumentar a conscientização sobre segurança cibernética entre nossos clientes.

Como você adaptou sua estratégia de segurança com base nessas mudanças?

Reavaliamos constantemente nossa postura de segurança e, portanto, nossa resiliência cibernética, consideramos nossa superfície de ataque, novas ameaças (vetores), eficácia das ações de proteção atuais, entre outros. Especificamente, na perspectiva da transformação digital, impulsionada principalmente pelo COVID-19, nossa postura certamente foi ajustada (ou reforçada), mas não “reformulada” para o cenário. As ações que foram planejadas como mudanças de longo prazo em nosso roteiro tornaram-se muito curtas.

Há uma boa colaboração internacional em relação ao cenário/ambiente cibernético na região?

Além da necessidade de amadurecer as estratégias de segurança cibernética, um dos obstáculos para uma colaboração mais ampla é a ausência da adoção de framework de colaboração comum entre países e entidades.

No entanto, estamos trabalhando nisso. Há alguns anos, foi criada a Equipe de Resposta a Incidentes de Segurança em Computadores (CSIRT) Américas, reunindo CSIRT da maioria dos países da região. Essa estrutura permite sinergia e troca de dados sobre a inteligência de incidentes de segurança e uma visão precisa do cenário cibernético em geral, permitindo, acima de tudo, o suporte nas investigações e nas respostas ágeis a incidentes de escala regional ou global.


De las tendencias emergentes a los riesgos cibernéticos: una perspectiva latinoamericana

¿Cuál es su opinión sobre la madurez cibernética y regulatoria en la región? ¿Cómo pueden tanto el sector público como el privado abordar estos problemas?

En términos de madurez cibernética, América Latina aún necesita buscar avances significativos. El reciente estudio de la OCDE, Gestión de riesgos de seguridad digital, destaca que solo tres de los 21 países de América Latina tienen una estrategia nacional de seguridad digital definida, lo que indica que la región aún no está suficientemente preparada. Esto se debe en gran parte a las lagunas en las estructuras legales y regulatorias. Otros aspectos que corroboran la criticidad de la situación involucran la escasa inversión en tecnología de ciberseguridad y el déficit de talento en ciberseguridad.

Los sectores público y privado pueden y deben abordar la ciberseguridad de manera integrada, buscando definir y conducir permanentemente una estrategia de seguridad alineada con el contexto empresarial y las estrategias de las instituciones y con un balance de riesgos y costos.

Otro punto crucial es el nivel de conciencia cibernética de los máximos dirigentes de las instituciones, es decir, el riesgo cibernético debe ser discutido y gestionado con la misma intensidad que cualquier otro riesgo. Aunque ya vemos que se discuten los riesgos cibernéticos, todavía identificamos oportunidades importantes en la evolución de este tema en estos líderes. Esto resultaría en una mayor asertividad de las inversiones en ciberseguridad y una adecuada priorización de los mecanismos para responder a las amenazas.

¿Cuáles son las amenazas cibernéticas clave que enfrentan las instituciones financieras latinoamericanas? ¿Hay tendencias específicas de América Latina?

En América Latina, nuestros principales desafíos son similares a los de las instituciones financieras en otras partes del mundo. La crisis causada por COVID-19 evidenció aún más nuestra dependencia de las tecnologías digitales y la necesidad de expandir y racionalizar las iniciativas de transformación digital de las instituciones financieras. Esto trajo riesgos aún mayores relacionados con la madurez de las tecnologías y productos que se están creando, así como con los controles de seguridad y la gestión de terceros, como los proveedores de la nube.

Las instituciones financieras y sus socios y proveedores luchan constantemente contra el crecimiento de los ataques de malware, específicamente Ransomware-as-a-Service, que ha demostrado ser extremadamente rentable para los atacantes.

Otro riesgo importante es la interrupción de los servicios financieros causada por ataques contra la infraestructura en general (telecomunicaciones, energía, etc.), por ejemplo, pero no necesariamente dirigidos solo a las instituciones financieras, es una de las mayores amenazas que enfrentamos.

Todas estas amenazas cobran aún más relevancia si tenemos en cuenta que ahora enfrentamos ataques por parte de los estados nacionales de la región, los cuales tienen una inmensa capacidad operativa, como hemos observado en varios incidentes reportados a lo largo de 2020.

Finalmente, un riesgo igualmente importante, es el aumento de los casos de fraude bancario, en gran parte provocados por el deterioro de la realidad de la economía actual en la región, además de las leyes locales contra los delitos cibernéticos, que aún preocupan y exigen a los sectores público y privado. atención. sectores.

¿Cómo está gestionando el repunte de los ataques supply chain / proveedores?

Los riesgos de atacar supply chain / proveedores son tan relevantes como otros tipos de ataques que enfrentamos a diario, por lo que ya están incorporados a nuestra estrategia de seguridad y monitoreados de cerca. Consideramos que nuestros proveedores son una parte importante del proceso de respuesta a incidentes: cuando se identifica un incidente de seguridad, establecemos de inmediato un proceso coordinado que incluye análisis de impacto, comunicación dirigida y soporte. Además, mantenemos un proceso integral de gestión de riesgos con nuestros terceros, buscando solidificar la confianza en la relación, entender sus niveles de madurez y apoyarlos en elevar los controles de seguridad.

¿Brasil es menos susceptible a ciertos tipos de ataques debido a su idioma?

Definitivamente no. Brasil es considerado uno de los países más susceptibles a los ciberataques, junto con Estados Unidos, China y Rusia. Nuestra posición de relevancia en la región, además de una cultura de ciberseguridad que aún no está bien desarrollada, invariablemente nos deja vulnerables.

En concreto, nuestro lenguaje representa un desafío adicional para la evolución de las estrategias de ciberseguridad, como la búsqueda de profesionales especializados y el establecimiento de alianzas con los principales actores globales del mercado de la ciberseguridad. Los desafíos relacionados con la ciberinteligencia también requieren un conocimiento profundo de las particularidades de nuestro escenario, en particular de nuestro mercado financiero y cómo operamos localmente.

¿Cómo han cambiado permanentemente sus interacciones con los consumidores como resultado de COVID?

En general, nuestras interacciones con los clientes han cambiado radicalmente en los últimos meses como resultado de COVID-19 y eso ciertamente continuará en el futuro y consideramos estos cambios como “permanentes”. Vivimos en un escenario en constante cambio y evolución, y cuando se trata de seguridad y tecnología bancaria, la variabilidad de los contextos es inherente al negocio. Junto con la digitalización acelerada de nuestros productos y servicios, hemos invertido considerablemente en esfuerzos para aumentar la conciencia de la seguridad cibernética entre nuestros clientes.

¿Cómo ha adaptado su estrategia de seguridad en función de esos cambios?

Constantemente reevaluamos nuestra postura de seguridad, y por lo tanto nuestra ciberresiliencia, con base en la superficie de ataque, nuevas amenazas (vectores), efectividad de las acciones de protección actuales, entre otros. Específicamente, desde la perspectiva de la transformación digital, impulsada principalmente por COVID-19, nuestra postura ciertamente fue ajustada (o reforzada), pero no “reformulada” para el escenario. Las acciones que se planearon como cambios a largo plazo en nuestra hoja de ruta se volvieron a muy corto plazo.

¿Existe una buena colaboración transfronteriza relacionada con la cibernética en la región?

Además de la necesidad de madurar las estrategias de ciberseguridad, uno de los obstáculos para una colaboración más amplia es la ausencia de la adopción de un Framework de colaboración común entre países y entidades.

Sin embargo, estamos trabajando en ello. Hace unos años se creó el Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT) Américas, que reúne a los CSIRT de la mayoría de los países de la región. Esta estructura permite la sinergia e intercambio de datos sobre la inteligencia de los incidentes de seguridad y una visión certera del escenario cibernético en general, permitiendo, sobre todo, el apoyo en investigaciones y en respuestas ágiles a incidentes con escala regional o global.

The Insight

Latin American financial institutions face many of the same threats as others around the world, but also have a specific problem around fraud because of the deteriorating economy in the region. Cybersecurity programs are evolving but are less mature than elsewhere because of lack of talent as well as language barriers. However, with accelerated digitization due to the pandemic, financial institutions in the region are working on more cross-border collaboration and other marks of a more mature security ecosystem.


O Insight

As instituições financeiras latino-americanas enfrentam muitas das mesmas ameaças que outras ao redor do mundo, mas também têm um problema específico de fraude devido à deterioração da economia na região. Os programas de segurança cibernética estão evoluindo, mas são menos maduros do que em outros lugares devido à falta de talento e às barreiras de idioma. No entanto, com a digitalização acelerada devido à pandemia, as instituições financeiras da região estão trabalhando em mais colaboração transfronteiriça e outras marcas de um ecossistema de segurança mais maduro.


La Visión

Las instituciones financieras latinoamericanas enfrentan muchas de las mismas amenazas que otras en todo el mundo, pero también tienen un problema específico en torno al fraude debido al deterioro de la economía en la región. Los programas de ciberseguridad están evolucionando, pero son menos maduros que en otros lugares debido a la falta de talento y las barreras del idioma. Sin embargo, con la digitalización acelerada debido a la pandemia, las instituciones financieras de la región están trabajando en una mayor colaboración transfronteriza y otras marcas de un ecosistema de seguridad más maduro.

May 2021

© 2021 FS-ISAC, Inc. All rights reserved.

GIOReport-Sidebar-Article
NavigatingCyber2021_Twitter

As we've seen recently, even strong cybersecurity defenses can still be vulnerable, especially through third party suppliers. With nation-states and cyber criminals collaborating (wittingly or not), these new well-funded threats are impossible to tackle alone.

Download our latest FinCyber Report

FS-ISAC members around the world receive trusted and timely expert information that increases sector-wide knowledge of cybersecurity threats.

Learn More