Banca 15 / 22 Enero 2019
Por Javier Natividad, Director Comercial de vintegrisTECH
El tratamiento de información confidencial y las nuevas exigencias regulatorias han obligado al sector financiero a situarse entre los más avanzados en cuanto a la ciberseguridad. Si bien en 2018 hubo alguna noticia alarmante referida a la ciberseguridad de algunas entidades, sobre todo en EE.UU y Asia; afortunadamente en nuestro país no ha habido, o no se han conocido, noticias al respecto.
Esto ya es, de por sí, un mérito para los responsables de ciberseguridad de nuestro ecosistema bancario. Más aún cuando se han visto afectados por aspectos coyunturales como las integraciones entre distintas entidades de los últimos años y otros estructurales, como la demanda de los clientes a tener todos los servicios en un entorno digital. Por ello ya no hay entidad financiera que no ofrezca a todos sus clientes la posibilidad de consultar sus operaciones desde diversos dispositivos, en cualquier ubicación y conectado a cualquier red. Y ese es un ciberriesgo. A continuación lanzo algunas reflexiones sobre algunos aspectos que determinarán la ciberseguridad financiera.
Anticipación
El riesgo siempre va a existir y es imposible garantizar una protección absoluta. La pregunta que debe hacerse la entidad financiera es determinar el nivel de riesgo que pueden asumir. La estrategia de ciberseguridad debe ser proactiva y anticipativa, los proyectos y plataformas deben diseñarse con la seguridad como uno de sus pilares y a prueba de todos los ataques susceptibles de recibir. Hay que entenderla incluso como un facilitador de negocio y palanca para el cumplimiento de distintos marcos normativos. Si la informática, que llegó a las entidades financieras hace décadas, paso de ser un engorro y un gasto a una inversión, con la ciberseguridad debería ocurrir lo mismo.
Modelos de seguridad más robustos y resilientes
En comparación con las administraciones públicas y las pymes españolas, el nivel de ciberseguridad de nuestro sector financiero local es alto. Lo es por dos motivos. Por un lado por el acceso a numerosas tecnologías que les permiten protegerse: Internet de las cosas, Inteligencia artificial, herramientas de analítica de negocio, minería de datos, blockchain. Y por otro por la obligación de cumplir con marcos legales como la Directiva NIS que busca identificar los sectores en los que se debe garantizar la protección de las redes y sistemas de información y establecer las exigencias de notificación de ciberincidentes. El objetivo es conseguir una seguridad autónoma y que responda a los riesgos de forma automatizada, fruto de soluciones más colaborativas.
El riesgo no sólo es exterior…
A veces el peor ciberenemigo para un banco o una empresas de seguros se encuentra dentro. No sería la primera vez que empleados descuidados o incompetentes o proveedores faltos de rigor; todos ellos con acceso directo a datos y nombre críticos de la entidad, se dejasen la puerta abierta. Formar a los empleados y colaboradores mediante planes de ciberseguridad es fundamental para que no se den estos capítulos.
Y del mismo modo se debe restringir el acceso a zonas y plataformas que no son de su competencia. La tecnología permite restringir y rastrear al acceso a elementos tan habituales en las entidades bancarias y financieras como los certificados digitales o las firmas electrónicas sólo para aquellos que estén acreditados en su uso. Buscar proveedores eficaces y especializados es otro elemento que puede ayudar a que no se den estos desagradables episodios ante los que es difícil reaccionar.
Más información sobre seguridad para el cliente
El nuevo modelo de negocio de las entidades financieras pasa por la digitalización, siendo la banca on-line un claro ejemplo. Cualquier entidad que quiera ser competitiva debe ofrecer esta solución/plataforma a sus clientes. Pese de los códigos de seguridad y las precauciones de las entidades que usan internet como vía de acceso a las cuentas corrientes, muchos usuarios aún caen en las trampas de los ciberdelincuentes, dejando desprotegido su dinero y sus datos.
El cliente de banca digital debe tomar medidas para proteger su dinero de ciberataques. Por ejemplo, no haciendo caso a correos de su supuesto banco en los que se pidan claves de seguridad; utilizando contraseñas distintas a las que se usan en otras tareas como el correo electrónico; evitando usar conexiones wifi públicas para operar con el banco, entre otras. Las organizaciones de clientes y usuarios deberían tener un papel importante.
Qué pasa con las FinTech
El sector financiero bancario tradicional internacional mira de reojo a la FinTech por muchos aspectos y la ciberseguridad es uno de ellos. Y no sólo ellos, el Foro de Davos de 2018, se creo un consorcio consorcio de ciberseguridad para el sector FinTech. Pero también son muy relevantes para la reglamentación NIS de la Unión Europea, antes citada. El sector FinTech es muy atractivo para los ciberdelincuentes porque está formado por pequeñas firmas, muy orientadas al dinero, que realizan operaciones financieras y guardan los datos de sus clientes. Y muchas de ellas con una seguridad media. Junto a ello otro efecto para las grandes firmas que sí quieren ser competitivas ante las FinTech. Ofrecer servicios similares pueden suponer a sus estructuras más pesadas la creación de brechas de seguridad en sus sistemas. Aún así, de momento nada demuestra que las FinTech, serias, certificadas y con cierto recorrido, sean más inseguras que los grandes grupos bancarios.
No podemos vaticinar cómo van a combatir los bancos y las entidades financieras el cibercrimen en el futuro. Entre otros motivos porque, pese a que tenemos muchos indicadores, tampoco estamos seguros que forma tendrá. Sí que perece claro que la tecnología va a tener un papel clave; que el entorno va a ser completamente móvil; que las FinTech tendrán cada vez un peso más importante y que la proacción será de común ejercicio, cumpliéndose la norma de que en temas de ciberseguridad financiera la “mejor defensa pasa por un buen ataque”.
Leer artículo original en Banca 15 online