Protección vs. negocio
que se note’. Esto es un llamado a repensar el rol y las soluciones tradicionales”.
Marcelo Fondacaro, VP Global Sales de Veritran, coincide con esa necesidad. “Uno puede ser dinámico e innovar sin perder seguridad. Siempre tuvimos a la seguridad como base de la plataforma, pero eso no impide la innovación. Si bien a veces significa agregar más pasos a la operación, tratamos de trabajar con la experiencia de usuario para que no sea una traba y evitar fraudes”, explica el ejecutivo de la firma especializada en crear aplicaciones financieras.
La ciberseguridad tradicional se refería a soluciones perimetrales, como los antivirus y firewalls, que tratan de “blindar” a la red bancaria. Sin embargo, el enfoque actual acepta que habrá ataques que pasarán ese perímetro, segmenta a los usuarios y busca mitigar la agresión cuanto antes. “Una vez que el atacante lograba saltar el perímetro, ya no había más seguridad. Por eso ahora se está cambiando por el ‘soft model’, es decir, se desconfía de todo el tráfico y todo lo que está dentro del perímetro y se va otorgando acceso según la confianza que se le tiene al usuario. Hacia allí van a tener que ir migrando los bancos”, opina Carlos Castañeda, experto en Seguridad Digital de Unisys.
Por su parte, Damián Prieto Acosta, Networking Sales specialist para el Sur de América latina de Citrix, comenta: “La protección del centro de datos y el uso de antivirus y firewall no son suficientes ante los ciberdelincuentes modernos, por lo que es necesario crear un perímetro flexible, que permita verificar la identidad de las personas, credenciales de acceso, el uso de software y apps, y que encripte el tráfico que circula en la red. Por otro lado, es importante que la infraestructura esté protegida desde su concepción”.
Como complemento, Prieto Acosta también recomienda “adoptar un enfoque de seguridad contextual, basada en el comportamiento de los usuarios, que permite analizar a través de algoritmos de machine learning el comportamiento de la persona teniendo en cuenta su contexto”. Para Fondacaro, en tanto, lo primordial es “tratar de eliminar las credenciales físicas y tarjetas y convertirlas en digitales y dinámicas”, así como combinar los canales para asegurarse de que el usuario es realmente quien dice ser. De lo contrario, explica, “una vez que el banco identificó al cliente, el hacker puede hacer un desvío de la transacción”.
Por ello, se refiere a la importancia de contar con varios factores de autenticación, por ejemplo, un código numérico o token. “Si el mobile banking está bien hecho, evita la vulnerabilidad del homebanking porque genera un segundo factor de autenticación para firmar la transacción de la banca web. Lo ideal es usar datos de la operación. Nosotros hacemos que ese doble factor de autenticación no sea simple sino que tenga que ver con la transacción en sí misma y tenga datos de la cuenta de destino y el monto de la transferencia, por ejemplo. Si un hacker quiere desviar el dinero, la autenticación no se verifica”, argumenta Fondacaro.
Un eslabón débil en lo que hace a la ciberseguridad son los propios empleados de los bancos que, al abrir un mail o descargar un archivo en su computadora, pueden darle al hacker la ruta de acceso a información sensible. “Un estudio realizado por Citrix en 2018 a IT managers de empresas en la Argentina reveló que el incidente al que más le temen los departamentos de tecnología es que los empleados caigan en trampas de phishing utilizando dispositivos corporativos (31 por ciento)”, puntualiza Prieto Acosta. Y añade: “Un factor clave que tienen que considerar los bancos es el de asegurar los puntos de acceso a los datos, teniendo en cuenta a los empleados y los dispositivos a partir de los cuales acceden a la información corporativa dentro de las principales necesidades”. El tema presupuestario también influye en las estrategias que puedan tomar los bancos frente a la seguridad. “Antes se usaba una herramienta para solucionar el problema. Ahora, en el modelo de riesgos, se busca mitigar el ataque y, a través de algunos procesos, volver a estar en servicio. Como no hay presupuesto infinito para herramientas infinitas, hay que priorizar los riesgos probables y sus formas de mitigación para volver a estar en servicio lo antes posible”, detalla Castañeda.
Desde Supervielle, Germano resalta que en 2018 el presupuesto en dólares de la entidad para ciberseguridad se incrementó 25 por ciento. No obstante, Castañeda reconoce que los proveedores de seguridad deben acompañar a los bancos para alinear el presupuesto con las necesidades y objetivos
92% de las entidades bancarias reconoció haber tenido ataques cibernéticos en 2017. El 37% de ellas confesó haber sido víctima de agresiones exitosas. Fuente: OEA.
comerciales: “La cuestión es cómo hacer coincidir los presupuestos de ciberseguridad con su propósito. Muchas veces resulta compleja o aburrida para los usuarios y va en contra de la usabilidad. Por eso trabajamos en alinear los objetivos de negocio con la seguridad de modo tal que los clientes sean parte de esa estrategia”.
Desde la óptica del usuario, la seguridad de sus datos y transacciones bancarias también es una demanda constante. El índice de seguridad desarrollado por Unisys, que encuesta a personas de 13 países, muestra que el 86 por ciento de los argentinos está preocupado por el fraude en tarjetas bancarias. Asimismo, un 80 por ciento de los encuestados dice que también está intranquilo por un posible robo de identidad.
En esa línea, Germano comenta: “Los clientes están comenzando a demandar seguridad tanto para sus operaciones financieras como para sus datos. En definitiva, exigen confianza a todo nivel. Además, evalúan seguridad y sencillez al mismo tiempo y esto requiere volver a pensar las soluciones, innovar, entender el negocio y su dinámica”.