Las Instituciones financieras deben incorporar el tema del riesgo tecnológico en sus estrategias de negocios y de gobernanza.
El riesgo tecnológico se mide en relación con el nivel de efectividad de las medidas adoptadas por las Instituciones en la gestión de la seguridad para contrarrestar el continuo incremento de la vulnerabilidad en las herramientas y aplicaciones tecnológicas.
Es una realidad que la infraestructura y las aplicaciones tecnológicas están siendo blanco de ataques debido a vulnerabilidades existentes ya sea por no contar con medidas de protección apropiadas o por el cambio constante, factores que hacen cada vez más difícil mantener actualizadas las medidas de seguridad.
Un aluvión de ataques cibernéticos dañinos está sacudiendo a empresas y organizaciones a nivel mundial al punto que ya no están asumiendo que pueden mantener a raya a los piratas informáticos y en lugar de eso, han pasado a librar una guerra de guerrillas desde el interior de sus redes.
Según Gartner, el gasto mundial en seguridad informática fue muy superior a los 70,000 millones de dólares en el 2014. ABI Research estima que el gasto en seguridad cibernética sólo en infraestructura crítica en los bancos, las empresas relacionadas con la energía y el sector militar, llegará a los 109,000 millones de dólares para el año 2020. Como ejemplo, las empresas españolas vienen gastando unos 14,000 millones de euros al año en reforzar su ciberseguridad.
El sector financiero constituye el objetivo prioritario de los cibercriminales, hasta el punto de que cerca de la mitad de los ciberataques afectan a este sector. Las amenazas y ataques que experimentan diariamente ya no solo proceden de individuos deseosos de quebrar la seguridad de un Banco, como los hackers, sino que se está convirtiendo en práctica habitual también de cibercriminales que buscan lucro económico, así como de ciberterroristas que tratan de atentar contra la seguridad de una Institución, o del ciberespionaje entre entidades financieras
Adicional a los ataques intencionados, se encuentra el uso incorrecto de la tecnología, que en muchas ocasiones es la mayor causa de las vulnerabilidades y los riesgos a los que se exponen las organizaciones.
Todo esto lleva a crear una estrategia Institucional que dimensione el riesgo tecnológico desde tres aspectos:
A nivel de la infraestructura tecnológica (redes, recursos de hardware y acceso físico).
A nivel lógico (riesgos asociados al software, aplicaciones y los datos).
A nivel de los riesgos derivados del mal uso que hace el recurso humano de lo anterior.
Es fundamental que las Instituciones analicen los aspectos anteriores y que elaboren un mapa de riesgo que documente las posibles causas de riesgo tecnológico así como sus efectos y que mitigue de forma eficiente y efectiva las amenazas procedentes de entornos como la movilidad, la computación en la nube y los medios sociales.
A continuación citamos un ejemplo del resultado del proceso de creación de un mapa de riesgo y de las acciones a tomar para la mitigación de las amenazas relacionadas con la Banca por Internet:
Riesgo: Privacidad
Acción: Los datos personales y financieros deben almacenarse de manera segura y todas las comunicaciones con el sistema de Banca en Línea deben estar encriptadas. Esto asegura la confidencialidad de los datos desde los sistemas del Banco hasta el navegador del cliente. También debe ofrecerse un servicio que permita intercambiar correo electrónico, de manera segura.
Riesgo: Certificados Digitales
Acción: Las páginas Web deben hacer uso de certificados de validez extendida (EV – Extended Validity) para comprobar la identidad de los visitantes. Estos certificados requieren de una verificación exhaustiva y proporcionan el más alto nivel de confianza del usuario con respecto a la autenticidad del sitio Web.
Riesgo: Verificación de la identidad
Acción: Para obtener un nivel más alto de seguridad, el sistema de Banca en Línea debe requerir dos niveles de autentificación para acceder a las cuentas bancarias.
– El Usuario y Contraseña
– Una contraseña de un solo uso (one-time password) generada automáticamente. Este segundo paso previene un acceso no autorizado en el caso de que un Usuario/Contraseña haya sido comprometido.
Riesgo: Bloqueo de cuenta y finalización de sesión
Acción: Para proteger los datos contra intentos de adivinar una contraseña, la cuenta será bloqueada si la contraseña (o el código del token) son introducidos erróneamente cuatro veces consecutivas. Además, una sesión bancaria en línea debe desconectarse automáticamente después de doce minutos de inactividad.
Riesgo: Identidad del Sitio Web
Acción: Los usuarios reciben correos electrónicos que aparentemente son enviados por la institución y q que generalmente solicitan que se sigan ciertos enlaces para conectarse a su cuenta en línea para resetear la contraseña u otras acciones similares. Generar una campaña de correos electrónicos que adviertan al usuario del riesgo de responder a este tipo de correos.
Como conclusión, podemos mencionar que gracias a la adopción de medidas para la mitigación del riesgo tecnológico, los clientes de las Instituciones Financieras estaremos más seguros cuando nos identifiquemos para efectuar operaciones que involucren información sensitiva o dinero, lo que nos protegerá de posibles fraudes. Asimismo, los Bancos se protegerán mejor, internamente, al aplicar métodos de mitigación de riesgo al identificar a los colaboradores que manejan dinero y autorizan transacciones de valor.
Fernando Martin del Campo
Director Ejecutivo
IDS de Centroamérica