Para volver a fomentar el crecimiento y reconstruir las relaciones con los clientes, muchas instituciones de servicios financieros están implementando y enfatizando los canales digitales, como, por ejemplo, la banca móvil. El éxito para instaurar éstos requiere no sólo de una interfaz amigable para el usuario, sino también de una seguridad probada en la que los clientes puedan confiar.
Desafortunadamente, Internet tiene una gran cantidad de limitaciones de seguridad y muchas soluciones tecnológicas se implementan sin la funcionalidad robusta requerida para la protección y confidencialidad de los datos a nivel empresarial. De hecho, en Estados Unidos solamente se ha puesto en peligro a más de 346 millones de registros que contenían información personal confidencial, desde enero de 2005. En el 2009, los hackers robaron más registros que en los cuatro años anteriores sumados, y el 93% de aquéllos que quedaron expuestos provenía del sector financiero.
A su vez, otras dos tendencias que se solapan han exacerbado las cuestiones de seguridad. La primera es una mayor tecnología aplicada a la fuerza de trabajo, mediante herramientas de colaboración y nuevas formas de interacción con la institución.
La segunda es la tendencia hacia la arquitectura cloud, lo que implica que algunos procesos principales (no solamente en el canal) se pueden convertir ahora en algo parcialmente externo al firewall y, por ende, crean importantes implicancias para la seguridad.
Cualquier incumplimiento puede tener graves implicancias para las empresas involucradas, incluyendo multas, costos de remediación y caída del precio de las acciones. La amenaza es particularmente aguda para las firmas de servicios financieros, dado que el almacenamiento y el intercambio de dinero constituyen el núcleo de su negocio.
Enfoque proactivo
A medida que los altos ejecutivos sopesan sus próximos pasos en el ámbito de la seguridad informática, es necesario promover un enfoque proactivo: anticipar qué nuevas amenazas pueden desafiar a la empresa y qué elementos de seguridad pueden ayudar a mejorar el desempeño y, luego, incorporar las características adecuadas de seguridad a la infraestructura de la compañía y a los activos digitales.
1. Identificar y asegurar los activos de TI en sí mismos, no solamente el perímetro. Si bien las organizaciones suelen concentrarse en proteger el perímetro tecnológico, eso ya no es suficiente. Es más efectivo asegurar los datos o los activos en sí mismos, donde quiera que residan y viajen. Las empresas deberían incorporar capacidades tecnológicas de defensa y resistencia en toda la organización, no solamente componentes individuales.
2. Desarrollar una cultura de seguridad. Las compañías de servicios financieros no siempre definen claramente las estructuras de dirección de seguridad informática, incluyendo las responsabilidades específicas de supervisión. También pueden encontrar que la responsabilidad de gestión puede estar fragmentada, involucrando en cierta medida a los departamentos. Como resultado, no resulta claro quién tiene responsabilidad por la seguridad informática.
Una reciente encuesta de Accenture realizada a altos ejecutivos en 19 países confirma que las organizaciones con responsabilidades claras y sólidas políticas son menos propensas a experimentar violaciones a la seguridad. El primer paso es implementar un programa de dirección de TI que integre a la gente, los procesos y la tecnología necesaria para gestionar los datos con eficiencia. Las iniciativas de este tipo empiezan con la definición de los roles y las responsabilidades para los dueños y los facilitadores de la data, y en algunos casos, incluyen a los consejos de protección y confidencialidad, responsables de la supervisión de los datos y de diseñar mejoras continuas a la seguridad informática.
3. Prestar mayor atención a las aplicaciones. Las empresas financieras deben poder medir la resistencia de una aplicación ante los ataques y su capacidad de procesar y manejar la información confidencial, y deben realizar pruebas exigentes para confirmar que las de tipo crítico puedan ser procesadas con riesgo reducido.
Esto implica diseñar servicios de seguridad definidos consistentemente para las aplicaciones como parte del ciclo de vida de desarrollo del sistema, un paso evolutivo para la mayoría de las organizaciones financieras.
4. Comprobar y volver a comprobar la identidad del usuario. La gestión de la identidad se ha convertido en una prioridad importante para la seguridad a raíz de la convergencia de varias tendencias: abruptos aumentos del robo de identidad; riesgos asociados con tener una empresa extendida a los clientes, proveedores y subcontratados con acceso a aplicaciones de la compañía y la creciente ubicuidad de los dispositivos móviles. Además, el enfoque tradicional para autenticar la identidad en base a frases o números secretos, se ha visto socavado ahora que gran parte de la información está comúnmente disponible o al menos se puede descubrir.
5. Prestar atención a la seguridad de los dispositivos móviles. Se espera que la banca móvil alcance los 400 millones de personas en los próximos tres años, ya sea a través de pagos basados en SMS, facturación móvil directa, pagos móviles vía web o tarjetas prepagas. Si bien muchas tecnologías móviles subyacentes son similares a las que dan soporte a la banca estándar por Internet, las instituciones de servicios financieros deben considerar varias cuestiones.
6. Desarrollar una aguda toma de conciencia ante la situación. Las instituciones financieras deben entender todo el panorama relacionado con los riesgos, incluyendo a los empleados y a su red de socios de negocios, así como mantener la concientización en torno al impacto potencial de éstos en el desempeño, preservar una visión clara de cuáles pueden surgir y contar con mediciones implementadas para mitigarlos.
Las instituciones financieras deben ser más serias respecto del monitoreo de una actividad sospechosa. No resulta efectivo tener un sistema de seguridad informática y gestión de eventos (SIEM) que genere 60 mil ítems de registro diarios, si éstos son ignorados y descartados al final del día. Las empresas también deben obtener activamente inteligencia informática y vigilar las actividades aguas abajo para reconocer las vulnerabilidades y predecir los ataques inminentes. De hecho, los resultados del escaneo de la vulnerabilidad de las aplicaciones, las reglas del firewall, los reportes de los sistemas SIEM, los chats online en los blogs y foros, así como las vulnerabilidades del software son fuentes de inteligencia que ya están disponibles. Sin embargo, algunas amenazas son internas, incluyendo la negligencia y los actos ilícitos de los empleados. Algunas firmas responden utilizando herramientas para analizar patrones y señalar anomalías en el comportamiento de los empleados a medida que ocurren, mientras otras requieren de análisis de orina periódicos, el monitoreo de la calificación crediticia de los empleados o del uso de técnicas similares para anticipar qué empleados pueden ser más propensos a poner en peligro la seguridad. La mayoría de los trabajadores aceptará estas medidas si se comunica eficientemente el enfoque de “confíe pero verifique”. Con cada adelanto en la conectividad y comunicación, se reduce el perímetro tradicional de una empresa. En su lugar, se yergue una red con potencial ilimitado, una en donde las instituciones financieras, sus clientes y socios exigen un acceso ilimitado a la información. En este ambiente maduro, las empresas de servicios financieros de alto desempeño pueden adoptar un enfoque más proactivo y completo frente a la seguridad informática, resguardando los activos tecnológicos tanto como el perímetro, adoptando una cultura de seguridad y concentrando su atención en las aplicaciones, la autenticación, la seguridad móvil y los ataques internos y externos. Este enfoque puede ayudar a las instituciones a adaptarse al rápido cambio tecnológico, forjando al mismo tiempo un programa para gestionar el riesgo que dé soporte al crecimiento del negocio y al alto desempeño.
