Aunque la creciente adopción de tecnología de seguridad ha supuesto una notable reducción del volumen de mano de obra necesaria para la seguridad de la banca y las instituciones financieras, parece que la opción óptima sería una combinación de lo mejor de ambos ámbitos. Hi-Tech Security Solutions charla con especialistas del sector sobre la combinación de seguridad, la ciberdelincuencia y la embestida de la inteligencia artificial (IA).
Franz Kersten, del fabricante de cámaras de vigilancia Panasonic, señala que, anteriormente, los guardias de seguridad solían patrullar por rutas establecidas en las instalaciones del cliente, con la esperanza de identificar y alertar a la dirección sobre riesgos o amenazas. Sin embargo, este papel ha disminuido debido al despliegue de cámaras de vigilancia que permiten tener a un operador en una sala viendo varios sitios simultáneamente, sin necesidad de tener los pies en el suelo, a menos que un incidente lo exija.
Una ventaja añadida de esta vigilancia a distancia es que ya no es necesario colocar vigilantes desarmados de grado C en zonas de alto riesgo donde la posibilidad de ataque es elevada. El despliegue de equipos de reacción armados sólo se activa cuando se ha evaluado todo el riesgo en cámara.
Franz Kersten
«Desde una perspectiva práctica, las cámaras eliminan cualquier problema de identificación situacional que pudiera producirse cuando un vigilante tiene una visión limitada o dañada. Desde el punto de vista financiero, los clientes pueden pasar ahora de un modelo de costes operativos a un modelo de gastos de capital, ya que todas las cámaras están vinculadas a un SLA que define un plan de mantenimiento establecido.»
Su colega Gert Janzen añade que el backend de los sistemas habilitados con análisis de vídeo y detección facial está mostrando una notable mejora y que, por tanto, se puede reducir la dependencia de la mano de obra, ya que muchas de sus funciones están siendo sustituidas por inteligencia integrada en los sistemas de seguridad.
La integración sigue siendo la clave
Hay que destacar que la tecnología o la mano de obra aisladas nunca son la solución, afirma Kersten. «Simplemente tienen que trabajar en sinergia para que las medidas de seguridad sean sostenibles. Migrar a un sistema automático en el que la vigilancia sea una herramienta activa en lugar de un mero complemento pasivo es muy beneficioso, pero estas ventajas deben comunicarse al usuario final.
«Los integradores de sistemas tienen que ser creativos a la hora de aplicar soluciones, ya que no se trata de un escenario de pintura por números. Es importante investigar cuidadosa y metódicamente las necesidades del cliente y luego ajustarlas a la tecnología disponible, teniendo en cuenta las características y la integración entre sistemas (vigilancia, T&A y control de accesos).»
Ian Downie, de la empresa de servicios de seguridad gestionados Xone, afirma que la tecnología de seguridad se está volviendo más inteligente, hasta el punto de que los dispositivos pueden informar a los usuarios cuando las cosas funcionan o están fuera de servicio y también pueden automatizar los procesos. Un ejemplo que cita es la sustitución del guardia de seguridad en la entrada de una zona restringida de alto riesgo por un procedimiento de esclusa que requiere verificación electrónica y contraseñas.
«IoT permite que la tecnología sea lo suficientemente inteligente como para desempeñar las funciones de las personas, mientras que antes los sistemas eran mucho más limitados. Como resultado, esta automatización se vuelve más fiable y objetiva, ya que es fácil verificar si los procesos se están llevando a cabo con eficacia, reduciendo así la dependencia del elemento humano», explica.
Ian Downie
Es necesario establecer un entorno de mando y control centralizado, con dispositivos integrados y que permita disponer de la cantidad mínima de mano de obra necesaria para cumplir con los procesos requeridos. Los dispositivos integrados podrían incluir el control de accesos, la gestión de visitantes, la vigilancia de zonas restringidas, las instalaciones para el manejo de efectivo, la seguridad del dinero y la respuesta a alarmas y notificaciones de emergencia.
Integrar la mano de obra y la tecnología
Según Gus Brecher, de la empresa de desarrollo de sistemas de gestión de vídeo Cathexis, se puede mejorar la eficacia o la eficiencia de la mano de obra desplegada añadiendo tecnología a la ecuación.
«Sin embargo, la reducción de mano de obra no debe ser el factor impulsor de la incorporación de tecnología. En última instancia, se debe aspirar a una solución de seguridad más eficaz, con un mínimo de errores, la capacidad de extraer inteligencia empresarial del sistema si es posible y, cuando se produzca un incidente de seguridad, el equipo de seguridad debe ser capaz de reaccionar con eficiencia y eficacia de la manera correcta. La solución puede suponer, y a menudo supone, una reducción de la mano de obra».
Gus Brecher
El uso del análisis de vídeo permite desencadenar eventos de forma inteligente e iniciar respuestas automatizadas en la sala de control, eliminando así la dependencia de los operadores para tomar decisiones. También hay que considerar los beneficios que la tecnología moderna puede aportar a las organizaciones más allá de la seguridad. Por ejemplo, el recuento de personas en una sala bancaria o en un cajero automático puede alertar a la dirección de que en determinados días o a determinadas horas puede ser necesario más personal o recursos para garantizar la satisfacción del cliente. Otro ejemplo es la señalización de clientes VIP mediante sistemas de reconocimiento facial, con lo que el sistema alertará a la dirección de la presencia del VIP en el edificio y permitirá ofrecer mejores niveles de servicio.
La amenaza virtual
La ciberdelincuencia es una amenaza real y global, y todos los dispositivos IoT son una puerta de entrada potencial a zonas sensibles o de alto riesgo. Kersten sugiere que, además de un cortafuegos o una VPN con políticas de seguridad en vigor, se considere el cifrado en dos niveles: SSL (cerrado) o propietario, con cifrado de datos propio; en el segundo nivel, una solución de extremo a extremo en asociación con un proveedor reconocido de protección de puntos finales, utilizando certificados de seguridad integrados en el hardware y el software propios. De este modo, se elimina la oportunidad de que los piratas informáticos accedan a los puertos o interfaces de usuario.
«Panasonic utiliza dos niveles de cifrado de datos: nuestro propio SSL, que es más seguro que el más comúnmente conocido SSL abierto. El segundo nivel es una asociación entre Panasonic y Symantec. Esta asociación añade una capa más de encriptación y protección de datos y aumenta la credibilidad de la ciberseguridad integrada en las cámaras i-PRO de Panasonic», afirma Kersten.
Downie advierte de que existe una cantidad significativa de legislación en torno a la ciberseguridad que pone de relieve la necesidad de que las organizaciones dispongan de las medidas preventivas necesarias para reducir eficazmente el riesgo.
«Es importante recordar que existen normativas específicas en torno a la privacidad de la información, como la Ley PoPI. Por lo tanto, las medidas deben estar a la vanguardia, respetando al mismo tiempo la privacidad de las personas. La implantación de una cámara acorazada centralizada de datos restringidos, dirigida por un responsable de control de datos, es cada vez más pertinente. El personal en general debe ser educado para ser cauteloso sobre la forma en que maneja los correos electrónicos, específicamente cuando tiene acceso a información privilegiada.»
Los protocolos estrictos en términos de contraseñas de correo electrónico, otras contraseñas y a qué correos electrónicos se puede acceder y a cuáles no, deberían ser un hecho. Del mismo modo, los cortafuegos y el software antivirus deben ser objeto de un mantenimiento y un control rigurosos.
Políticas y procedimientos
Brecher plantea un punto interesante: Toda la tecnología del mundo no servirá de nada si no se dispone de procedimientos y procesos adecuados de gestión de la seguridad. Esto es especialmente relevante tanto para la seguridad del acceso a los datos como para la seguridad de los propios datos. Aconseja utilizar canales de comunicación cifrados y, cuando se archiven datos, el uso de claves de cifrado. Cathexis utiliza personalmente claves dobles RSA-1024 para firmar los datos y un cifrado de bloqueo AES 128 opcional con contraseñas generadas aleatoriamente. Además, las secuencias de vídeo archivadas sólo pueden reproducirse con el software propietario de Cathexis.
«Es fundamental que los usuarios finales tengan en cuenta la Ley PoPI y sus implicaciones cuando graben en vídeo a personas y utilicen estos datos. Ahora estamos instituyendo un proceso por el que se pone una marca de agua automática y se superpone a las grabaciones de vídeo una contraseña necesaria para verlas, con el fin de garantizar que las grabaciones no se filtren accidental o deliberadamente al dominio público», afirma Brecher.
En pocas palabras, prosigue, los puntos débiles son los dispositivos periféricos, como las cámaras, y algunas de las marcas menos reputadas permiten la entrada por la puerta trasera. Los conmutadores de red inteligentes, el control del acceso físico a los sistemas y la insistencia en las contraseñas contribuyen a crear un entorno cibernético más seguro.
Obtener la inteligencia
Se ha hablado mucho de la inteligencia artificial (IA) y el ritmo de desarrollo de la tecnología es poco menos que asombroso. Sin embargo, Kersten cree que aún se encuentra en sus primeras fases. «En última instancia, muchas organizaciones quieren que sus sistemas aprendan y empiecen a asumir las funciones del operador humano mediante el aprendizaje profundo y la IA. La IA resulta atractiva para muchos ya que no presenta características e idiosincrasias humanas, como la fatiga y la omisión de detalles críticos, por lo que se percibe como más fiable y objetiva que su homóloga humana.»
Señala que la IA no se limita a los sistemas de vigilancia. Más bien, diversos sistemas empezarán a compartir información entre sí, con la IA repartida en muchos dispositivos. Janzen añade que todos debemos prestar más atención a los macrodatos para que nos ayuden a aplicar soluciones y a aumentar las prestaciones de las cámaras. Lo ideal, dice, es la consolidación de una empresa de big data con una empresa de seguridad tradicional, para ofrecer un enfoque proactivo de las soluciones de seguridad.
Downie afirma que, a medida que la IA se vuelve más sofisticada, proporciona la capacidad de identificar rápidamente acontecimientos que no son la norma y permite supervisar un escenario sobre el que se puede actuar adecuadamente. Como ejemplos, cita la vigilancia de las personas que entran en zonas restringidas, los comportamientos inusuales o antinaturales, la vagancia y los objetos abandonados en lugares restringidos. «A medida que progresa el aprendizaje profundo, las capacidades del sistema se vuelven más refinadas y se producirá una reducción relacionada de la mano de obra necesaria. Vemos esto en ciertas plantas de fabricación de alta gama en las que la robótica ha avanzado hasta un punto en el que casi dirige las operaciones de la planta.»
Brecher cree que el término «IA» se está utilizando en exceso en la actualidad, pero que, no obstante, es una realidad. La IA se está utilizando para automatizar la recopilación de información con el fin de tomar decisiones informadas sin que sea necesaria la intervención humana. Por ello, los algoritmos de aprendizaje se postulan como la solución para establecer normas en un entorno y los sistemas pueden generar alarmas en torno a lo que se considera anormal. Sin embargo, los humanos seguirán necesitando validar estas alarmas.
«Por lo tanto, la IA puede reducir la dependencia de los humanos a la hora de tomar decisiones, pero en un futuro previsible no sustituirá la necesidad de mano de obra. Desde una perspectiva operativa, podemos utilizar la IA para ver qué tendencias prevalecen, por ejemplo, que hay más gente en una sala bancaria o en un entorno minorista un sábado y, por tanto, se necesitan más cajeros o personal de seguridad a esa hora. La IA también permitiría descubrir incidentes con mayor rapidez. También se podría utilizar para realizar el postprocesamiento de las grabaciones de vídeo. Cathexis utiliza tres algoritmos de búsqueda avanzados que procesan los datos del método de las cámaras para analizar el movimiento. Este tipo de inteligencia aumenta tanto la eficacia como la eficiencia del sistema y reduce el tiempo necesario para buscar a una persona concreta en un vídeo.»
Proteger su identidad digital
Schalk Nolte, director general de Entersekt, comenta los problemas de seguridad a los que nos enfrentamos a medida que el sector financiero abraza el mundo digital.
A medida que nuestro mundo se digitaliza, la información que queremos mantener en privado está cada vez más en peligro y, sin embargo, nadie quiere que esa información esté protegida por engorrosas medidas de seguridad que no se adaptan a nuestro ritmo de vida. El escenario está ahora preparado para la adopción a gran escala de la tecnología biométrica superconveniente, especialmente en los dispositivos móviles.
Diferentes formas de seguridad biométrica ya han empezado a abrirse camino en los sectores bancario y de pagos; entre ellas se encuentran el rostro, las huellas dactilares, el iris, la palma de la mano, las venas y el voi.
Schalk Nolte
Todos los interesados en la banca digital y la seguridad han estado siguiendo la rápida evolución de la biometría y debatiendo la utilidad de la tecnología en la batalla contra la ciberdelincuencia. No cabe duda de que la biometría desempeñará un papel importante en la seguridad de los servicios móviles, sobre todo desde el punto de vista de la comodidad del usuario.
Sin embargo, también es justo señalar que la biometría puede poner en peligro a las empresas y a sus clientes si se utiliza como único medio de identificación de los usuarios y de autenticación de las transacciones.
Para asegurar eficazmente las transacciones de alto riesgo, los bancos y otros proveedores de servicios financieros necesitan una sólida capa base de seguridad. Un ejemplo es la plataforma Transakt de Entersekt, a la que se pueden añadir datos biométricos mediante un plug-in, para aumentar los niveles de riesgo o mejorar la experiencia del usuario.
A diferencia de los nombres de usuario y las contraseñas, que podemos cambiar a voluntad, sólo existe un conjunto de datos biométricos. Si esto cae en manos de piratas informáticos, no servirá de nada a efectos de autenticación. El consenso entre los expertos del sector, como la Alianza FIDO, es que debemos limitar la exposición de nuestros datos biométricos privados no compartiéndolos. En su lugar, deberíamos mantenerlo bajo llave en nuestros dispositivos personales.
Hay una aplicación para eso (por supuesto)
Recientemente hemos lanzado una nueva herramienta de habilitación del comercio digital llamada Connekt. La herramienta permite a las instituciones financieras activar nuevos servicios de pago por móvil dentro de sus aplicaciones bancarias existentes de forma rápida y rentable.
Funciona independientemente de la tecnología subyacente, del punto final de pago o de la red comercial implicada. Las redes de tarjetas como Visa y Mastercard han desarrollado nuevas tecnologías tanto para permitir como para proteger a los consumidores en línea que realizan pagos sin efectivo.
Innovaciones como la tokenización, los pagos de aplicación a aplicación, 3D Secure y los monederos móviles -junto con tecnologías como QR (escanear para pagar) y NFC (tocar para pagar)- hacen que el número de opciones de pago que los bancos deben considerar y a las que deben responder sea abrumador.
La ventaja clave de Connekt es que los usuarios móviles del banco disfrutarán de la misma experiencia de usuario para iniciar y autentificar transacciones de comercio electrónico que para realizar operaciones bancarias. No es necesario que el consumidor se descargue una profusión de aplicaciones de pagos móviles; puede acceder a todos los diferentes servicios a través de un único punto de confianza: su aplicación bancaria de marca.
