El teletrabajo o trabajo remoto desde casa,
siempre ha sido una realidad en países como Suecia, Irlanda, Países Bajos, Luxemburgo, Dinamarca, Corea del Sur o Reino Unido, donde por razones climáticas, culturales o de acceso a banda ancha, estas geografías ya tenían desde 2019 niveles superiores al 20% de su población activa, contribuyendo a sus empresas de forma estable desde este nuevo paradigma de movilidad.
Como es lógico, la situación de confinamiento tras la pandemia del Covid 19 ha disparado estas estadísticas en todo el mundo y el resultado de este experimento, en líneas generales ha resultado bastante positivo en términos de continuidad.
Es muy difícil saber con seguridad, el número de accesos que de este tipo se realizan todos los días en el mundo. Sin entrar a valorar los aspectos positivos y negativos de esta forma de relación, lo cual nos llevaría a un debate probablemente interminable, es evidente que estamos ante un reto sin precedentes en lo que se refiere a la seguridad de los datos de las empresas, clientes y empleados.
Este reto es todavía más relevante en el caso de las empresas con información sensible, como sin duda son las entidades financieras. Una brecha de seguridad sobre las mismas, supondría la gota que probablemente sobrepasase el vaso de la confianza reputacional.
En este sentido los reguladores son bastante exigentes. La ciberseguridad es un riesgo operacional y todos los supervisores demandan una política de protección de la información para situaciones de movilidad, restringir el acceso a la información en función de distintos roles y perfiles, configurar y actualizar periódicamente los equipos y dispositivos, monitorizar los accesos realizados a la red corporativa desde el exterior, gestionar racionalmente la protección de datos, guardar la información en espacios de red en lugar de copias de seguridad locales y lo más importante, en caso de que se haya producido una brecha de seguridad, comunicar inmediatamente la misma a los responsables de seguridad corporativos y a los cuerpos y fuerzas de seguridad del estado.
Además de estos requisitos, los supervisores exigen un plan de contingencia y continuidad de negocio ante cualquier vulnerabilidad y un capital regulatorio por riesgo operacional que responda a las posibles pérdidas, que por este efecto se generen en cada una de nuestras entidades. El nuevo método estándar avanzado previsto por Basilea III y que entrará en vigor previsiblemente en 2022, será bastante exigente en este sentido y nos permitirá comparar entidades de distintas geografías con bastante facilidad según sus niveles de capitalización.
Como siempre es mejor mitigar o controlar el riesgo operacional, que gestionarlo. Todas las entidades financieras deberían contar al menos con accesos de doble factor de autenticación. Esto significa una medida de seguridad adicional, al aplicar un mensaje SMS con un pin, sobre los terminales móviles corporativos de cada uno de los empleados.
Este sistema es mucho más seguro que las contraseñas simples de windows, que el módulo SSO de Empresa (combinado con directorios de usuarios o LDAPs, listas negras de fraude, filtrado de IPs, consolidación de información de logs) , o un módulo de autenticación OTP (One time-Password) que permite generar una contraseña durante un periodo limitado, pues ambos métodos son vulnerables a ciberataques y physings por parte de los amigos de lo ajeno.
«Como el mundo está cada vez más interconectado, todos comparten la responsabilidad de asegurar el ciberespacio».
Newton Lee
Todavía mejor que el factor doble de autenticación, es el factor múltiple, es decir al SMS se añadirían, tokens o generadores de claves tanto en formato físico como virtual, sistemas de reconocimiento de voz, de reconocimiento de huella dactilar, o incluso de reconocimiento biométrico. Aunque en este sentido es importante buscar un equilibrio entre seguridad y experiencia de usuario, pues podemos hacer muy engorroso para nuestros clientes y empleados el acceso a determinados recursos.
Además de estas medidas de seguridad, podríamos combinar autoridades de registro (S.A) que verifiquen la identidad del usuario a nuestros servidores, autoridades de certificación (CA) es decir añadir un certificado o firma digital a nuestra llamada, o autoridades de depósito (AD) es decir de autoridades dedicadas a la conservación de los certificados.
En definitiva, son muchas las soluciones de autenticación que nos permitirían tener una fuerte política de seguridad en nuestra entidad financiera y por consiguiente es el momento de invertir en estas tecnologías para prevenir el Riesgo Operacional que puede ser muy relevante. El teletrabajo ha llegado para quedarse y parece que las empresas incorporarán muy probablemente un modelo mixto, combinando trabajo presencial y trabajo en remoto.
Los perfiles expertos en este tipo de reglamentos jurídicos y tecnologías, serán muy demandados por las empresas en los próximos meses. Sin duda estas especializaciones en ciberseguridad serán diferenciales y marcarán las próximas oportunidades laborales.»
¡Sin duda contar con buenos equipos marca la diferencia!
Para contribuir a su formación, consulta nuestro programa específico en Ciberseguridad y Riesgo Operacional que puede servir tanto para profesionales como personas que desean iniciar una carrera profesional en este ámbito
Autor del articulo: ALEJANDRO FRANCO HIDALGO, BBVA GRM Finance&Corporate Systems, Strategy&Development Staffer at BBVA.