Seguridad en la nube y pagos móviles en el sector financiero

Por: Ph.D. Juan Herrera Silva, Miembro AECI-ISACA  y asesor CISO-DPD instituciones financieras y seguros. 

El sector financiero experimenta una notable transición hacia la adopción de pagos móviles y servicios en la nube como parte de su estrategia de inclusión en la transformación digital.  

La nube conocida por su capacidad para impulsar la escalabilidad, el crecimiento y la eficiencia en costos, presenta desafíos en términos de seguridad que deben ser abordados de manera efectiva a nivel de toda la organización, especialmente el área de tecnología.  

La seguridad debe ser una consideración central en la estrategia de adopción tecnológica para garantizar la confianza de los clientes y proteger los activos financieros. 

Los principales retos de seguridad al adoptar servicios en la nube tienen que ver con las regulaciones de cada país en el que se encuentre físicamente la infraestructura que presta el servicio, y el desconocimiento de los aspectos legales (incluida Ley Orgánica de Protección de Datos Personales), que permitan canalizar de mejor manera los riesgos de la localización de datos y procesos, garantías contractuales, protección de datos personales, propiedad intelectual, así como aspectos laborales y contractuales. 

La falta de claridad en cuanto a las responsabilidades entre proveedores y clientes debido a los diferentes modelos de nube, como IaaS, PaaS o SaaS, a menudo generan confusión sobre quién es responsable de qué. De manera que los acuerdos de nivel de servicio (SLA) a veces resultan débiles y pueden generar brechas de seguridad sobre el acceso a los datos por parte de los administradores de la infraestructura. 

De otro lado, los reguladores también enfrentan un reto importante en la supervisión y control de las actividades del sector para evitar, por ejemplo, que empresas fintech operen sin autorización o participen en actividades ilícitas como el fraude o el lavado de activos.  Así como la coexistencia de varias Leyes y Normativas que deben considerar para su ejercicio y control. 

Con la Ley Fintech que busca la inclusión de nuevos actores en la prestación de servicios financieros y abre oportunidades para la creación de empresas de concesión digital de créditos y neobancos el espectro de seguridad en la nube y banca móvil se expande.  Estas empresas también deberán realizar inversiones en seguridad en la nube y la banca móvil para proteger la información de los usuarios.  

La adopción de tecnologías en la nube y los pagos móviles ofrecen oportunidades de crecimiento a una amplia gama de productos para descongestionar las agencias.  El desafío para el sector financiero radica en maximizar las inversiones en seguridad cibernética para mitigar posibles riesgos financieros debido a brechas de seguridad.  La transformación digital también abre nuevas vías de ataque.  A medida que el mundo se mueve hacia un entorno financiero más móvil que ofrece comodidad también presenta desafíos apremiantes, relacionados con la protección de datos sensibles.  Los pagos móviles implican la transmisión y el almacenamiento de información personal y financiera, lo que aumenta el riesgo de exposición de datos.  Las instituciones financieras deben garantizar que se implementen medidas sólidas de cifrado y autenticación para salvaguardar estos datos. 

El sector financiero se encuentra en la necesidad de aumentar sus inversiones en seguridad cibernética para contrarrestar los riesgos potenciales asociados a un aumento en las brechas de seguridad. Según una investigación llevada a cabo por Prosegur Research, es evidente que los delincuentes destinan más tiempo y, en ocasiones, recursos adicionales a la innovación que los expertos en seguridad de las empresas y las compañías especializadas, por lo que siempre están un paso adelante, de ahí la necesidad de que las empresas tomen mayor conciencia de este alto riesgo e incorporen medidas de seguridad adecuadas con equipos de respuesta especializados. 

Por lo tanto, se requiere un mayor respaldo por parte de las Juntas Directivas en cuanto a las inversiones destinadas a fortalecer la seguridad en la nube y en los pagos móviles. Además, las instituciones financieras deben contar con asesores especializados en ciberseguridad, ya que la falta de dicho respaldo podría limitar la inversión en esta área crítica. El resultado de estas acciones e inversiones se traducirá en la calidad de los servicios ofrecidos a mediano y largo plazo. 

Estas inversiones deben complementarse con sólidas estrategias de seguridad que estén alineadas con la visión, la estrategia y los objetivos del negocio. Para lograrlo, se debe tener en cuenta factores como los tiempos de respuesta en la nube y en tiempos de los pagos en línea, así como los costos asociados a los servicios y transacciones. 

Además, las instituciones financieras pueden colaborar con proveedores de tecnología y empresas fintech para mejorar la seguridad en la banca móvil y los pagos en línea, mediante la compartición de datos de las vulnerabilidades, incidentes, problemas de seguridad que cada institución haya experimentado, lo que permitirá desarrollar soluciones completas. 

Finalmente, se pueden considerar estrategias adicionales para ayudar a las instituciones financieras a mantener un equilibrio entre la seguridad y la facilidad de uso en sus servicios en línea y la adopción de la nube en sus diferentes servicios. 

Estas estrategias ayudarán a mantener un equilibrio efectivo entre la seguridad y la facilidad de uso en un entorno financiero cada vez más digitalizado. 

• Parametrización de aplicaciones por parte del cliente 

• Interconexión de sistemas para brindar una experiencia de usuario atractiva, fácil y segura 
• Incorporación de tecnologías de seguridad de acceso biométrico 
• Adopción del Servicio de recuperación ante desastres en la nube (DraaS) como mecanismo de contingencias de servicio 
• Considerar al Ransomware y SaaS en la nueva frontera de la ciberseguridad mediante una postura de evaluación de riesgos ante amenazas latentes 
• Gestionar el riesgo en la Cadena de Suministro 

• Implementación de controles tecnológicos sobre configuraciones débiles  
• Concientización de los clientes finales en temas de seguridad.