¿Cómo se define este sector?
El sector Servicios Financieros, corresponde a una actividad comercial, prestadora de servicios de Intermediación relacionados al ámbito de generación de valor a través del dinero.
Desde el punto tributario, son actividades que están clasificadas en el comercio. Tributan en la 1° Categoría, sobre la base de rentas efectivas.
Las actividades que incluye este sector son principalmente:
Ø Bancos e Instituciones Financieras: Bancos Nacionales, Extranjeros, Representaciones.
Ø Oferta y Contratación de seguros: Cías de Seguros generales, de Vida, de crédito,
Ø Corredores.
Ø Administradoras de Fondos: Generales, de Pensiones, Mutuos, para la Vivienda, de
Ø Inversión.
Ø Mercado de valores: Bolsas de Comercio y de Valores, Corredores.
Ø Otros Servicios Financieros: Factoring, Leasing, Casas de Cambio.
Seis pasos fundamentales para proteger una compañía de servicios financieros.
1. Implementar sistemas de administración de accesos.
No hay duda de que el robo de datos de identidad es el problema de seguridad más importante en el sector de servicios financieros. Los ataques de suplantación de identidad (phishing), que consisten en mensajes de correo electrónico falsos en los que se convence a los clientes para que faciliten números de cuenta y contraseñas, han asestado un golpe al 51 por ciento de las instituciones financieras, de acuerdo con un estudio mundial realizado durante el 2006 por Deloitte Touche Tohmatsu de Nueva York. "Cualquiera [de las compañías] en el mundo de la banca que no haya sido víctima aún de un ataque de suplantación de identidad (phishing) se unirá pronto al club", afirma Shana Allen, vicepresidenta y directora de TI de EvergreenBank de Seattle.
Las tecnologías de administración de accesos estrictas constituyen la mejor defensa frente a los robos de datos de identidad. De hecho, los organismos reguladores exigen cada vez más el uso de este tipo de soluciones. Por ejemplo, a finales de 2005, el Consejo Federal de Inspección de Instituciones Financieras de los EE.UU. publicó una orientación en la que se instaba con gran eficacia a las compañías de servicios financieros a que complementaran las contraseñas con otros controles de acceso.
Hasta la fecha, sólo un 38 por ciento de las compañías lo han cumplido, indica el estudio de Deloitte, si bien otro 25 por ciento tiene previsto llevar esto a cabo en los próximos dos años.
Los sistemas de administración de accesos pueden estar disponibles de diversas formas. Muchos proveedores ofrecen servicios que contrastan las solicitudes de inicio de sesión con una lista de direcciones de protocolo de Internet (IP) y nombres de dominio sospechosos. Si alguien trata de conectarse desde una ubicación dudosa, las instituciones pueden requerir una identificación más exhaustiva. Otras soluciones realizan un seguimiento de los equipos que los clientes utilizan para tener acceso a servicios en línea y, además, formulan preguntas de seguridad ya concertadas siempre que alguien intente iniciar sesión en un equipo distinto. Otras complementan las contraseñas con una "tarjeta inteligente" o un dispositivo biométrico que los clientes deberán conectar al equipo y activar cada vez que deseen tener acceso a su cuenta. (para obtener más información sobre las distintas soluciones de administración de acceso de Microsoft, consulte Windows Server 2003 R2).
Bob Egan, director de investigación de tecnologías emergentes en la compañía consultora de servicios financieros The Tower Group Inc., con sede en Needham (Massachussets), recomienda instaurar una combinación de controles en segundo plano con medidas de autenticación más perceptibles. Por ejemplo, ahora algunas instituciones asignan a los titulares de las cuentas una imagen secreta, como una foto de un animal o una flor. Así, cuando un cliente introduce su nombre de usuario, la página de inicio de sesión muestra inmediatamente el gráfico pertinente. Ver la imagen adecuada indica al cliente que se encuentra en un sitio legítimo (y no en un sitio de suplantación de personalidad), ya que la institución financiera y el cliente son los únicos que saben qué imagen debe mostrarse. Por tanto, podrá introducir la contraseña con toda seguridad.
2. Formar a los clientes acerca de los robos de datos de identidad.
La formación es un arma fundamental en la lucha contra el robo de datos de identidad, de modo que asegúrese de que sus clientes cuentan con una orientación clara sobre el uso sin riesgos de los servicios en línea. Por ejemplo, inste a los clientes que a no obtengan acceso a un sitio Web haciendo clic en un vínculo incrustado en un mensaje de correo electrónico, aun cuando éste parezca auténtico. En su lugar, los titulares de las cuentas deben escribir siempre las direcciones URL directamente en el explorador o utilizar un marcador en la lista de "favoritos".
Además, si desea evitar confundir a los clientes acerca de qué comunicaciones son legítimas y cuáles no, cree una directiva en la compañía por la cual nunca se solicite por correo electrónico información confidencial, como una contraseña o un número de cuenta. A continuación, informe a los clientes de tal directiva para que sepan que los mensajes de correo electrónico en los que se soliciten datos privados siempre van a ser ilegítimos.
3. Proteger todos los dispositivos móviles.
Pese al consabido riesgo inherente a los portátiles o teléfonos móviles perdidos o robados, únicamente el 40 por ciento de las instituciones financieras contempladas en el estudio de PricewaterhouseCoopers han puesto en marcha procedimientos para proteger los dispositivos portátiles y de mano.
Los expertos aconsejan a las compañías que exijan a los empleados el cifrado de toda la información de cliente que lleven en sus desplazamientos. Algunos países (incluidos 30 estados de los Estados Unidos) tienen leyes que obligan a las empresas a notificar a los clientes en caso de pérdida de un dispositivo que contenga datos de cuenta sin cifrar. La embarazosa cobertura de los medios de comunicación, inevitable en estos casos, podría dañar seriamente la fama de una compañía.
Las tecnología de borrado local y remoto pueden mejorar aún más la seguridad. Las herramientas de borrado local bloquean automáticamente un dispositivo móvil en caso de que alguien trate de introducir una contraseña incorrectamente varias veces, mientras que los sistemas de borrado remoto permiten que los administradores de redes envíen mensajes de "eliminación" a los dispositivos robados o perdidos con los que se borran todos los datos y credenciales.
4. Implementar procedimientos de desecho de hardware con seguridad.
No son portátiles, pero los equipos de escritorio y los servidores también almacenan información confidencial. Los datos que muestra la investigación de PricewaterhouseCoopers son, no obstante, alarmantes: la relación de instituciones financieras que desechan hardware obsoleto con seguridad y aquellas que no lo hacen es de 1 a 1. Para garantizar que los datos privados de los equipos desechados no llegan a las manos equivocadas, utilice una aplicación de eliminación segura (como SDelete) para sobrescribir el contenido de la unidad. Para mayor seguridad, puede que quiera desmagnetizar o pulverizar los discos duros antiguos. Muchos proveedores ofrecen este tipo de "servicios sanitarios para soportes".
5. Evitar la pérdida de información dentro de la oficina
Los delincuentes que participan en la suplantación de identidad (phishing) y el robo de portátiles son amenazas sociales, pero sus propios empleados también pueden violar los procedimientos de seguridad de forma inconsciente. Si bien el robo total de información confidencial es muy poco frecuente, no lo es tanto revelar de forma involuntaria este tipo de datos.
El cifrado de los archivos confidenciales en servidores, equipos y portátiles supone una buena forma de evitar que los empleados no autorizados hagan un uso incorrecto de los datos restringidos.
Otra forma consiste en implementar herramientas de prevención de pérdidas de información (también conocidas como herramientas de prevención de pérdidas de datos). Estos sistemas analizan los mensajes y archivos mientras transitan por la red e impiden automáticamente que los empleados distribuyan información confidencial de forma inapropiada. Como mínimo, limite los privilegios de acceso de los empleados con sensatez. Sólo aquellos que realmente necesiten tener acceso a una aplicación determinada deberán disponer de tal privilegio.
6. Supervisar minuciosamente a los proveedores subcontratados.
Si subcontrata funciones de TI importantes (tal y como ocurre en un gran número de compañías financieras de tamaño medio), no baje nunca la guardia con los proveedores de tales servicios. "Con la contratación de un recurso externo se está dando entrada a un todo un grupo de personal interno nuevo", observa Daniel Blum, director general adjunto y director de investigaciones de la firma de análisis Burton Group, en Midvale, Utah. Para minimizar los riesgos de seguridad asociados a la contratación de recursos externos, Blum sugiere las siguientes directrices:
• Buscar recursos externos que tengan una certificación SAS 70 o ISO 27001, que proporciona una validación independiente que acredita que el proveedor subcontratado mantiene controles de seguridad adecuados.
• Siempre que sea posible, colabore con recursos externos que ofrezcan servicios tanto a grandes como a medianas empresas. Como apunta Blum, "la pequeña o mediana empresa típica no dispone de tiempo de realizar auditorias de proveedores con detenimiento, pero las grandes sí".
• Asegurarse de que los recursos externos entienden y siguen las directivas de seguridad instauradas. Solamente un 53 por ciento de las compañías de servicios financieros evalúa el cumplimiento de las pautas de seguridad internas por parte de los recursos externos, según la investigación de Deloitte.
• Proporcionar a los recursos externos el acceso a únicamente la información que precisan para realizar el trabajo. Por ejemplo, si se encuentra en el transcurso de unas negociaciones de fusión de gran confidencialidad, impida que los recursos externos tengan acceso al servidor que contiene las propuestas más recientes.
Aunque la protección de su empresa de los ataques conlleva tiempo y esfuerzo, a las compañías de servicios financieros no les queda más alternativa que realizar las inversiones que sean necesarias.
"Es una cuestión de confianza", afirma William Hartnett, director general del grupo de soluciones de seguros de Microsoft.
"La gente debe tener confianza en los sistemas con los que interactúa." Las compañías que no consigan ganarse la confianza de los clientes estarán abocadas a sufrir las consecuencias.
Rich Freeman es un escritor autónomo de Seattle especializado en temas tecnológicos y empresariales. Posee más de 14 años de experiencia en estrategias de marketing y comunicaciones en el sector de las tecnologías de la información.
No hay comentarios:
Publicar un comentario