La seguridad en los bancos, cajas y entidades financieras. La opinión de Marcos Checa Rubio. Gerente de Operaciones de Panel Sistemas Informáticos. (F&B, 124, nov. 2007.)

Marcos Checa

¿Por qué?
Porque los bancos, cajas y entidades financieras basan su negocio en la confianza del cliente: debemos estar seguros de que harán un uso adecuado de nuestro dinero y protegerán nuestra privacidad frente a terceros. Un problema de seguridad informática puede poner en peligro los cimientos de su negocio. Además, la generalización de la banca electrónica, la incorporación de las tecnologías móviles al sector financiero y el surgimiento de nuevos servicios de captación y fidelización de clientes, han supuesto un importante cambio de enfoque en el sector, que requiere de nuevos procesos de gestión, más flexibilidad de negocio y estructuras tecnológicas más potentes, integradas y 100% seguras.

¿Qué recomendaciones pueden hacerle a este tipo de entidades?
Les recomendamos que cuenten con una adecuada infraestructura y política de seguridad que proteja la información confidencial de sus clientes y usuarios. La información financiera tiene un carácter especialmente sensible y es necesario evitar que personas no autorizadas puedan hacer un uso indebido de esa información, además de protegerla frente a daños predecibles y dotarla de un respaldo legal.

¿Trabajan actualmente con alguna entidad bancaria o financiera?
Sí, entre nuestros clientes podemos citar a Grupo Santander, Banco Totta, y Franfinance, entre otros.

¿Cuál es el producto que más demandan estas entidades?
En el ámbito específico de la seguridad lógica, los mecanismos más demandados por las entidades son aquellos que "fortifican el castillo": Seguridad de perímetro/Red (firewalls, proxies, RPV). A éstos hay que añadir los mecanismos de Seguridad de sistema (control accesos, antivirus), Seguridad del usuario (SSO, autenticación) y de Seguridad de los datos (integridad, confidencialidad).
En estos casos, el uso de la firma electrónica y del certificado digital reconocido es el más apropiado para garantizar la autenticación (es decir, la identidad); el no-repudio (es decir, que la transacción realizada compromete a todas las partes), y la integridad de los datos (es decir, la imposibilidad de alterar los documentos).
Otros dispositivos más novedosos son aquellos que permiten la autenticación basada en medidas biométricas (iris, huella digital).

¿Y los errores de seguridad que más cometen?
Los mayores problemas a los que se enfrentan en la actualidad son el fraude en las tarjetas bancarias y la usurpación de la identidad.
El principal error en la mayoría de casos es no disponer de tecnologías punteras de cifrado y de servidores convenientemente protegidos, pero también se debe a la falta de una Política de Seguridad apropiada.
En muchos casos, el problema no está sólo en no haber evitado un daño predecible, sino en no haber contado con un adecuado análisis de los riesgos, es decir, del impacto de la infracción, ni con un adecuado Plan de Contingencia para minimizar el daño.

¿Qué consideran que deben cambiar para protegerse mejor?
Los bancos, cajas y entidades financieras de España están en la vanguardia en el uso de Tecnologías de la Información.
Por eso les aconsejamos que cuenten tanto con una adecuada infraestructura tecnológica como con una buena política de seguridad.
Como hemos mencionado antes, son necesarias inversiones en seguridad lógica como Firma Electrónica, Control de acceso con Certificados Digitales, o en su defecto con servicios de Autenticación mediante Usuario y Contraseña Cifrados, Módulos de normalización, Dispositivos de Autenticación por Medidas Biométricas, por citar algunos.
Para terminar, siempre deben ponerse en manos de un equipo de profesionales con el objetivo de llegar a definir e implantar un SGSI (norma UNE 71502 e ISO 27001) así como modelos como SSE-CMM o CMMI.

¿Considera que la legislación que les afecta se ha quedado obsoleta?
Actualmente contamos con un marco jurídico que puede considerarse adecuado, y aunque siempre encontramos diferencias entre la norma jurídica y los avances tecnológicos, el objetivo de ambos debe ser el de dar confianza a los usuarios en general sobre el grado de protección de la información disponible en los sistemas de información.
Por esta razón, nuestros esfuerzos se centran en lograr que nuestros clientes cuenten con soluciones tecnológicas que les permitan cumplir con la normativa actual en protección de datos y asegurar el cumplimiento de políticas y protocolos de seguridad, lo que sin duda redundará en un mayor uso de una tecnología.