Las ocho pautas que la Banca ha de tener en cuenta para minimizar riesgos

Ocho son los riesgos más importantes que EDS ha identificado en seguridad y que más preocupan a las instituciones financieras. La importancia de la gestión de riesgos operativos y de seguridad se ha incrementado debido a diversos factores, entre los que destacan el aumento de los requisitos por parte de leyes y regulaciones, el crecimiento de los riesgos en seguridad por parte de los empleados y el número, cada vez mayor, de brechas en la seguridad de los datos.

En la actualidad, las instituciones financieras son responsables de la seguridad de sus clientes y de la corporación en tres niveles diferentes: la institución financiera (incluyendo tanto las redes e infraestructuras como los empleados y agentes con acceso a los datos), los proveedores de servicios (las funciones externalizadas) y los consumidores.

En realidad, estas instituciones financieras controlan de forma directa únicamente uno o dos de estos niveles, y el entorno en constante evolución ha cambiado la forma en la que abordan la seguridad y la gestión del riesgo operativo. Por esto, EDS recomienda a las instituciones financieras considerar la relevancia de los siguientes ocho riesgos para minimizar la posibilidad de abrir brechas de seguridad:

1. Asegurar los datos que se encuentran fuera de la organización: Desde que la normativa exige que la información personal que no sea pública se almacene en una ubicación separada, el riesgo se ha incrementado ya que los grandes bancos no cuentan con una infraestructura que soporte el ancho de banda necesario para digitalizar todos sus datos. El cifrado de toda la información que se saca de su entorno es fundamental, pero además debería ser obligatorio para todos los usuarios de dispositivos como portátiles, PDAs y cualquier elemento extraíble.

2. Control de la seguridad y privacidad de los partners de servicios: Las normativas de seguridad y privacidad indican que las instituciones financieras son al final los responsables de las acciones de sus partners de servicios. Por lo tanto, el garantizar que los proveedores de servicios locales y externos cuenten con los controles de seguridad adecuados para detectar y prevenir cualquier tipo de violación a la confidencialidad de los datos sobre el consumidor, debe convertirse en una prioridad en la gestión de riesgos.

3. Amenazas internas: Las instituciones financieras deben tener en cuenta que la mayoría de los casos en los que se pierde información se da por amenazas internas. Los empleados, cuyo trabajo les permite el acceso a información personal y confidencial importante, han sido con frecuencia la causa principal de este tipo de percances. Sin embargo, problemas del sistema o accidentes causados por los empleados son los factores de riesgo más comunes por los que se producen las pérdidas de información. Por este motivo, las instituciones financieras deben considerar la necesidad de implementar herramientas de prevención que no sólo monitoricen y bloqueen opcionalmente todo tipo de comunicaciones externas sensibles, sino que también verifiquen que ningún tipo de información personal o confidencial haya sido guardado en servidores Web u otros dispositivos compartidos de fácil acceso.

4. Peligros de las conexiones inalámbricas: Los dispositivos inalámbricos incrementan la productividad, agilizan los negocios y reducen los costes, siempre y cuando la información móvil privada permanezca segura, ya que son especialmente vulnerables al poder almacenar una gran cantidad de información confidencial corporativa o del cliente y a la vez pueden ser robados o perderse con facilidad. Uno de los mayores riesgos se presenta cuando se utilizan conexiones inalámbricas inseguras en lugares como hoteles o aeropuertos, razón por la cual las instituciones financieras deben ofrecer mecanismos seguros de comunicación a sus empleados móviles que codifiquen las comunicaciones inalámbricas y no se vean posteriormente comprometidas.

5. La evolución de las prácticas criminales: Para estar prevenidos ante acciones criminales, las instituciones financieras deben enfocar la seguridad proactivamente, lo que implica una renovación y evolución constante de los esfuerzos llevados a cabo en este aspecto. Las debilidades y fortalezas en las políticas y procedimientos corporativos deben ser revisadas con regularidad para asegurarse de que se encuentran en perfecta congruencia con las últimas tecnologías y las más novedosas tendencias de seguridad. Hoy en día, los ataques phishing se han convertido en uno de los mayores retos que deben afrontar las entidades.

6. Gestión de identificación y acceso: En este aspecto se debe garantizar que el acceso se encuentre limitado únicamente a las personas en un rol de "necesito saber", lo cual se ha venido llevando a cabo a través de la integración de sistemas de recursos humanos con fuertes sistemas de control de acceso, para reforzar así la seguridad contra amenazas tanto externas como internas. Algunos sistemas como el Federated Identity Management pueden ayudar a aligerar el reto al que se enfrentan las instituciones al momento de ofrecer el acceso a sus partners de negocio a sus sistemas.

7. Clientes: Por lo general no toman medidas de precaución adecuadas, lo que puede causar problemas de seguridad al acceder y utilizar los servicios online de sus instituciones financieras. Los usuarios creen que éstas se encargan de controlar las transacciones fraudulentas y por esto no son tan cuidadosos en este sector como sí lo serían en otro entorno como, por ejemplo, al realizar compras a través de Internet. Teniendo en cuenta que los clientes siguen siendo vulnerables a distintos tipos de fraudes como el phishing, los bancos necesitan concienciarlos constantemente sobre la importancia de adoptar medidas de seguridad, no sólo para protegerse a sí mismos, sino también para reducir el riesgo.

8. Normativas: Al tener en cuenta las diferencias regionales, las instituciones financieras se enfrentan a una variedad de retos en cuanto a seguridad, dependiendo de su ubicación geográfica. Los cambios realizados recientemente en la normativa estadounidense han motivado a las instituciones europeas a dar un paso más en la protección de la información del consumidor, asumiendo que la legislación europea pronto se involucrará más en esta problemática. El acuerdo de Basilea II, por ejemplo, pronto exigirá a todas las instituciones financieras que intensifiquen sus políticas y procedimientos en materia de gestión de seguridad.

De igual forma, las leyes de notificación del robo de identidad, que se han puesto en marcha en 36 estados de los Estados Unidos, han tenido un impacto significativo sobre las instituciones financieras, con un precio aproximado de 135 euros por cada denuncia entregada.