Banca 15 / 22 gener 2019
Per Javier Natividad, Director Comercial de vintegrisTECH
El tractament d’informació confidencial i les noves exigències reguladores han obligat el sector financer a situar-se entre els més avançats pel que fa a la ciber-seguretat. Si bé el 2018 hi va haver alguna notícia alarmant referida a la ciber-seguretat d’algunes entitats, sobretot als EUA i Àsia; afortunadament, al nostre país no hi ha hagut, o no s’han conegut, notícies sobre aquest tema.
Això ja és, de per si, un mèrit per als responsables de ciber-seguretat del nostre ecosistema bancari. Més encara quan s’han vist afectats per aspectes conjunturals com les integracions entre diferents entitats dels últims anys i altres estructurals, com la demanda dels clients a tenir tots els serveis en un entorn digital. Per això ja no hi ha entitat financera que no ofereixi a tots els seus clients la possibilitat de veure les comandes des de diversos dispositius, en qualsevol ubicació i connectats a qualsevol xarxa. I aquest és un ciber risc. A continuació, llanço algunes reflexions sobre alguns aspectes que determinaran la ciber-seguretat financera.
Anticipació
El risc sempre existirà i és impossible garantir una protecció absoluta. La pregunta que cal fer a l’entitat financera és determinar el nivell de risc que pot assumir. L’estratègia de ciber-seguretat ha de ser proactiva i anticipativa, els projectes i plataformes han de dissenyar-se amb la seguretat com un dels seus pilars i a prova de tots els atacs susceptibles de rebre. Cal entendre-la fins i tot com un facilitador de negoci i palanca per al compliment de diferents marcs normatius. Si la informàtica, que va arribar a les entitats financeres fa dècades, pas de ser un destorb i una despesa a una inversió, amb la ciber-seguretat hauria de passar el mateix.
Models de seguretat més robustos i resilients
En comparació amb les administracions públiques i les pimes espanyoles, el nivell de ciber-seguretat del nostre sector financer local és alt. Ho és per dos motius. D’una banda, per l’accés a nombroses tecnologies que els permeten protegir-se: Internet de les coses, intel·ligència artificial, eines d’analítica de negoci, mineria de dades, blockchain. De l’altra, per l’obligació de complir amb marcs legals com la Directiva NIS que cerca identificar els sectors en els quals s’ha de garantir la protecció de les xarxes i sistemes d’informació i establir les exigències de notificació de ciber-incidents. L’objectiu és aconseguir una seguretat autònoma i que respongui als riscos de forma automatitzada, fruit de solucions més col·laboratives.
El risc no només és exterior …
De vegades el pitjor ciber-enemic per a un banc o una empresa d’assegurances es troba dins. No seria la primera vegada que empleats descuidats o incompetents o proveïdors mancats de rigor, tots ells amb accés directe a dades i nom crítics de l’entitat, es deixessin la porta oberta. Formar els empleats i col·laboradors mitjançant plans de ciber-seguretat és fonamental perquè no es donin aquests capítols.
I de la mateixa manera s’ha de restringir l’accés a zones i plataformes que no siguin de la seva competència. La tecnologia permet restringir i rastrejar l’accés a elements tan habituals en les entitats bancàries i financeres com els certificats digitals o les signatures electròniques només per a aquells que estiguin acreditats en el seu ús. Cercar proveïdors eficaços i especialitzats és un altre element que pot ajudar a fer que no es donin aquests desagradables episodis davant els quals és difícil reaccionar.
Més informació sobre seguretat per al client
El nou model de negoci de les entitats financeres passa per la digitalització, sent la banca en línia un clar exemple. Qualsevol entitat que vulgui ser competitiva ha d’oferir aquesta solució / plataforma als seus clients. Malgrat dels codis de seguretat i les precaucions de les entitats que fan servir Internet com a via d’accés als comptes corrents, molts usuaris encara cauen en els paranys dels ciber-delinqüents, deixant desprotegits els seus diners i les seves dades.
El client de banca digital ha de prendre mesures per protegir els seus diners de ciber-atacs. Per exemple, no fent cas a correus del seu suposat banc en què es demanin claus de seguretat, utilitzant contrasenyes diferents de les que es fan servir en altres tasques com el correu electrònic o evitant utilitzar connexions Wi-fi públiques per operar amb el banc, entre altres. Les organitzacions de clients i usuaris haurien de tenir un paper important.
Què passa amb les fintech
El sector financer bancari tradicional internacional mira de reüll la fintech per molts aspectes i la ciber-seguretat és un d’ells. I no només ells: al Fòrum de Davos de 2018 es va crear un consorci de ciber-seguretat per al sector fintech. Però també és molt rellevants per a la reglamentació NIS de la Unió Europea, abans esmentada. El sector fintech és molt atractiu per als ciber-delinqüents perquè està format per petites firmes, molt orientades als diners, que realitzen operacions financeres i guarden les dades dels seus clients. I moltes d’elles amb una seguretat mitjana. Al costat d’això, un altre efecte per a les grans firmes que sí que volen ser competitives davant les fintech. Oferir serveis similars poden suposar a les seves estructures més pesades la creació de bretxes de seguretat en els seus sistemes. Així i tot, res demostra que, en aquest moment, les fintech serioses, certificades i amb cert recorregut siguin més insegures que els grans grups bancaris.
No podem vaticinar com van a combatre els bancs i les entitats financeres el ciber-crim en el futur. Entre altres motius perquè, malgrat que tenim molts indicadors, tampoc estem segurs quina forma tindrà. Sí que sembla clar que la tecnologia tindrà un paper clau, que l’entorn serà completament mòbil, que les fintech tindran cada vegada un pes més important i que la proacció serà de comú exercici, complint-se la norma que en temes de ciber-seguretat financera la “millor defensa passa per un bon atac”.
Llegir l’article original a Banca 15
