Los equipos de ciberseguridad están luchando con un cambio de paradigma.
Los métodos ágiles de desarrollo y las estrategias de diseño centradas en el cliente, cada vez más comunes en los bancos latinoamericanos, están lanzándole a estos equipos nuevos retos de seguridad digital. Al mismo tiempo, la integración y colaboración con terceras partes, plantea tanto retos como nuevas oportunidades, le dicen a iupana los especialistas.
“La transformación digital abre nuevos ámbitos en la gestión del riesgo operacional,” dice Tomás Zañartu, gerente de operaciones y de riesgo tecnológico de la cooperativa de ahorros y préstamos chilena Coopeuch.
“Los clientes de hoy esperan servicios financieros digitalizados con niveles de servicio y velocidades como la de Uber o Netflix.
“Ser frictionless con altos estándares de ciberseguridad, impone romper paradigmas y abordar nuevos desafíos.”
Leer también: Innovación interrumpida: Nuevos riesgos de ciberseguridad bancaria
Ciberseguridad y transformación digital
Mientras los bancos tratan de integrarse con una amplia gama de terceras partes como las fintechs, crece el panorama de riesgos potenciales.
“Se tiene que mirar al rol de proveedores, no tienes que mirar solo en la propia casa, tienes que ver también a los proveedores,” dijo José Marangunich, gerente del seguridad corporativa de BCP Banco de Crédito del Perú & Credicorp.
Eso incluye tanto integraciones back-end como las que dan la cara al cliente. El nacimiento de carteras digitales como Apple Pay o Google Pay, por ejemplo, significa que los detalles de las tarjetas de los clientes están almacenados en múltiples servidores a la vez. El internet de las cosas ofrece más riesgos potenciales.
Marangunich apunta hacia las integraciones que se están probando en Asia, que incorporan realidad aumentada a los procesos de venta.
“Si eres parte de una cadena, tus riesgos también son parte de la cadena,” dice.
Sin embargo, los socios y las terceras partes también presentan una oportunidad para los especialistas de seguridad de la información.
Un ejemplo es el nacimiento de esquemas de Bug Bounty en bancos latinoamericanos. El banco brasileño C6 Bank y el chileno Coopeuch están entre los bancos que ofrecen recompensas a las personas que consigan y reporten vulnerabilidades digitales.
Adicionalmente, compartir información entre bancos relativa a los riesgos emergentes y las amenazas puede ayudar a todo el sistema a permanecer en alerta. “La colaboración es clave para lograr avanzar en la prevención contra el cibercrimen,” dice Zañartu.
Desarrollo y velocidad
Los equipos de ciberseguridad también están lidiando con los métodos de desarrollo de nuevos productos digitales de los bancos.
Las instituciones financieras se apuran para lanzar nuevos productos rápidamente, hacen modificaciones y mejoran sus productos continuamente, lo que crea desafíos para los equipos de seguridad digital.
“En cada MVP y cada avance, tienes que entregar una nueva experiencia al cliente,” dijo Marangunich. “Los procesos regulares de control y seguridad no tienen esa velocidad por lo que debemos adecuarnos a la tendencia.”
Igualmente, hacer los procesos de seguridad digital virtualmente invisibles al usuario final es otra dificultad. “El gran reto para nosotros es que sean frictionless,” dijo Marangunich.
Phishing y el factor humano
Sin embargo, a pesar de los rápidos cambios tecnológicos en la industria bancaria, algunas cosas no cambian. Phishing sigue siendo la ruta más común de los atacantes digitales para entrar a los sistemas de los bancos.
Y siguen siendo muy importantes los riesgos (y las oportunidades) para la gente.
“Sin duda el principal factor seguirán siendo las personas,” dijo Zañartu.
Eso significa que, para todo el avance tecnológico, una parte importante de mantener seguro a un banco digital es entrenar a la gente para que todos estén conscientes de los riesgos.
“Comunicación robusta con terceros es clave, con los clientes, proveedores, colaboradores,” dijo Marangunich. “Concientización y capacitación son lo más importante.”
José Marangunich y Tomás Zañartu van a hablar en CELAES 2019, el 20 y 21 de junio en Panamá. El evento es el foro anual de ciberseguridad de Felaban para la industria de servicios financieros. Revisa la agenda y regístrate aquí.