Las tentaciones inherentes al sector bancario, y a las instituciones financieras en general, las enfrentan en una batalla eterna y cada vez más tecnificada para protegerse de las amenazas internas y externas. También tienen la responsabilidad de proteger a sus clientes y sus datos de accesos no autorizados, y dado que las sucursales bancarias son esencialmente empresas, están buscando formas de mejorar la experiencia del cliente de forma similar al sector minorista.
Abordar todas estas preocupaciones requiere un enfoque altamente integrado que utilice la vanguardia de las tecnologías de seguridad en todos los ámbitos. Hemos preguntado a IDEMIA, Cathexis Africa y CA Southern Africa cómo se están aprovechando las áreas de especialización particulares de sus empresas en el sector financiero.
«En los últimos años hemos observado un cambio significativo entre las mayores instituciones financieras del mundo, hacia la tecnología biométrica sin fricción, que está impulsado por varios factores clave», comenta Nicolas Garcia, director regional de ventas de IDEMIA SA. Estos factores incluyen el cumplimiento de las normas de seguridad y las presiones de auditoría resultantes, que han aumentado drásticamente en todo el mundo en los últimos años (tanto para la seguridad física como para la lógica). Esto se ha visto impulsado en parte por el gran número de infracciones/ataques de alto perfil, tanto internos como externos, que se han producido en los últimos cinco años.
Es más, las principales instituciones financieras del mundo compiten tanto por los mejores clientes como por los mejores empleados. Siempre están buscando formas de atraer a los mejores talentos, y son
centrándose en gran medida en lugares de trabajo que sean de alta tecnología, seguros y atractivos para los empleados. Además, la tecnología de control de acceso es muy visible para cualquier visitante que entre en el vestíbulo, y desempeña un papel importante a la hora de reforzar el mensaje de lo serio que se toma el banco la seguridad.
Identidad aumentada
En el lugar de trabajo, la misma tecnología sin fricciones se extiende regularmente al control de presencia, los pagos en la cafetería, el acceso al gimnasio, el aparcamiento y otros servicios. Esto alimenta el concepto de «identidad aumentada» de IDEMIA, cuyo eje central es la idea de que aprovechar nuestra identidad no sólo debe ser un proceso seguro, sino también natural y cómodo. Esto va mucho más allá de las aplicaciones tradicionales de control de acceso y seguridad y se extiende a otros ámbitos como el eKYC, los sistemas de votación, los programas de identificación civil, el control de fronteras y la facilitación de pasajeros, entre otros.
«Las soluciones analíticas y de reconocimiento facial de IDEMIA proporcionan una capa adicional de seguridad diseñada para complementar los puntos de acceso tradicionales ampliando el alcance de la seguridad mucho más allá de las puertas y barreras físicas. Al fusionar la detección y el seguimiento de personas u objetos con algoritmos precisos de reconocimiento facial, se consigue un potente sistema de alerta temprana y una herramienta de investigación que proporciona un ROI (retorno de la inversión) mucho mayor de la infraestructura de vigilancia existente del cliente», afirma García. La tecnología puede proporcionar alertas basadas en cualquier número de listas de vigilancia para una variedad de propósitos que van desde la detección de atracadores de bancos conocidos a la identificación de clientes VIP.
La tecnología biométrica de IDEMIA desempeña un papel clave a la hora de proporcionar una mayor seguridad tanto a los bancos como a sus clientes. La biometría puede utilizarse para verificar la identidad de un cliente al abrir una cuenta bancaria y/o para detectar si ese mismo cliente ha existido previamente en el sistema con un nombre diferente. Esa tecnología biométrica también está integrada en cajeros automáticos y soluciones de cajeros de sucursales de todo el mundo para proporcionar una autenticación segura de los clientes.
IDEMIA también ofrece una tarjeta bancaria segura con sensor de huellas dactilares incorporado, conocida como FCode. Esto permite a un cliente escanear su huella dactilar directamente en su tarjeta bancaria para autorizar una transacción, en lugar de depender de un PIN o una firma tradicionales.
«Cada vez son más los grandes bancos y proveedores de crédito que integran la tecnología biométrica de IDEMIA en la experiencia de pago», afirma García. «Los pagos seguros mediante biometría aportan una importante combinación de mayor comodidad y seguridad al mismo tiempo. Las expectativas del cliente bancario típico de hoy en día son muy diferentes a las de hace 10 o 20 años.
«El cliente de hoy creció con un nivel diferente de accesibilidad a la tecnología y la mayoría ya se siente completamente cómodo utilizando la biometría en su teléfono para una amplia variedad de casos de uso de autenticación, incluidos los pagos. El cliente de hoy espera que esa misma capacidad se extienda más allá de su teléfono y llegue al espacio comercial, ya sea en un centro comercial, un concierto o una estación de tren.»
Utilizar el análisis de vídeo
El especialista en software de gestión de vídeo (VMS), Cathexis Technologies, trabaja con diversas entidades del sector financiero. Aunque su participación se ha extendido a instituciones como la Bolsa de Londres, el mayor componente son los bancos y sus sucursales, según el director gerente de Cathexis África, Gus Brecher.
La integración es un factor importante en el sector bancario, afirma Brecher: «Tenemos bastantes clientes bancarios y en ese sector hacemos mucha integración con sus sistemas contra incendios, paneles de alarma y control de accesos. Dependiendo del banco, a muchos de ellos les gusta tener una central de vigilancia
por lo que tienen un escenario híbrido en el que disponen de grabaciones distribuidas in situ, una instalación de supervisión centralizada para las alarmas y la posibilidad de ver y almacenar vídeo fuera de las instalaciones si se solicita».
Más allá de los sistemas de control de acceso desplegados en las áreas de back-office, Brecher afirma que los bancos recurren cada vez más al análisis de vídeo. Una forma de utilizarlo es notificar al director de una sucursal si alguien ha entrado en el área de atención al cliente y no ha sido atendido en un periodo de tiempo determinado, para que la sucursal pueda mejorar sus niveles de atención al cliente. El recuento de personas también puede utilizarse para conocer mejor las idas y venidas de la gente.
Los algoritmos analíticos que identifican los comportamientos de merodeo también se despliegan fuera de los bancos y en los cajeros automáticos. «También hemos realizado algunas integraciones de cajeros automáticos en las que los cajeros autónomos tienen pequeños dispositivos de grabación en ellos que pueden correlacionarse con las transacciones del cajero. Sin embargo, debido a las cuestiones de privacidad abordadas por la Ley de Protección de Datos Personales (PoPI, por sus siglas en inglés) y el Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés), esto suele limitarse a detalles como la hora y el tipo de transacción, en lugar de detalles sobre la persona que realiza la transacción», afirma Brecher.
No se debe ignorar la ciberseguridad
Tanto si el delito se comete con una palanca como con un ordenador, el principal motivador de un atacante es la codicia, señala Gregory Dellas, preventor de seguridad de CA Southern Africa. «Por este motivo, las instituciones bancarias y financieras se enfrentan a la amenaza más persistente de los variados ciberdelincuentes del mundo. Aunque los datos tienen valor y pueden ser violados y vendidos, son los sistemas que manejan el verdadero objetivo de los delincuentes -el dinero- los que constituyen los mejores objetivos», afirma.
Según SABRIC, entre enero de 2018 y agosto de 2018 se registraron 16 296 incidentes con pérdidas por valor de más de 183 millones de rands para el sector bancario. Esto supone un aumento del 64,3% i
n el número de incidentes durante el mismo periodo del año anterior. A una escala más amplia, en la Encuesta Mundial sobre Delitos Económicos y Fraude de PwC de 2018, Sudáfrica ocupó el primer puesto mundial en cuanto a empresas que han sufrido algún tipo de delito económico, con la friolera de un 77% de todas las organizaciones sudafricanas afectadas.
Los mayores aumentos del sector se registraron en los seguros, los préstamos al consumo y la inversión minorista. Un factor que contribuye a esta tendencia es la suposición de que las empresas establecidas son las que corren más riesgos, cuando en realidad, las nuevas entidades, incluidos los servicios basados en la nube y los bancos digitales, también son un objetivo importante. Las organizaciones jóvenes que buscan crecer rápidamente y crear seguridad más tarde constituyen la mayoría de estas infracciones notificadas.
Conciencia frente a alerta
«La concienciación sobre estos hechos es un paso importante hacia una seguridad sólida, pero no es suficiente», insiste Dellas. «El atacante está alerta, preparado y concentrado al 100% cuando explota sistemas. El personal de una empresa de servicios financieros puede ser consciente de la seguridad, pero actúa por rutina, está distraído y no prevé, por ejemplo, una llamada telefónica de ingeniería social potencialmente fatídica.
«Este déficit de alerta sólo puede superarse con las herramientas adecuadas y una amplia estrategia de red de seguridad. El banco DBS, con sede en Singapur, ofrece un buen estudio de caso, en el que una plataforma automatizada de gestión de identidades y accesos de CA Technologies recién implantada redujo el riesgo de fraude, aumentó la eficacia y mejoró la satisfacción del cliente.»
Las capas adicionales de defensa incluyen herramientas que gestionan las credenciales privilegiadas, que son el equivalente a las llaves de la cámara acorazada en un banco físico. La autenticación inteligente basada en el riesgo puede suplir la falta de alerta en caso de que los atacantes consigan acceder a los sistemas o estén en posesión de las credenciales de los empleados; se les puede bloquear basándose en miles de horas de elaboración de perfiles de comportamiento.
«Muchas instituciones financieras se están beneficiando de compararse con empresas homólogas como DBS. Un buen foro del sector que ayuda a abordar el riesgo de ciberseguridad es el Centro de Análisis e Intercambio de Información de Servicios Financieros (FS-ISAC). Realizan frecuentes ejercicios de alcance cibernético y publican recomendaciones. Otra iniciativa excelente es el Intercambio de Datos Financieros, que pretende crear una norma común para el intercambio de datos en todo el sector financiero.
«Ponerse en contacto con colegas y socios familiarizados con la vanguardia de la ciberseguridad es un paso importante para mejorar la postura general de seguridad. Al añadir continuamente capas adicionales de seguridad, ya sean herramientas, procesos o iniciativas de colaboración, las mejores prácticas mantendrán en última instancia a las instituciones financieras seguras y protegidas», concluye Dellas.