Cumplimiento del marco de seguridad cibernética SAMA: brinde una experiencia de banca digital segura y sin interrupciones

Charbel Diab, 5 de Febrero de 2019

Según Gartner, la ciberseguridad es uno de los principales riesgos a los que se enfrentan las empresas e instituciones financieras de Oriente Medio y Norte de África (MENA) en 2019. Como ocurre en todo el mundo, los bancos buscan formas innovadoras de combatir las ciberamenazas, como el malware, el phishing y el fraude en la toma de cuentas, al tiempo que optimizan la experiencia del cliente y refuerzan el cumplimiento de la normativa.

Hace poco volví del Congreso de Banca y Finanzas de IDC en Riad, donde la ciberseguridad y el cumplimiento de normativas como el Marco de Ciberseguridad de la SAMA formaron parte de los debates tanto como la experiencia digital del cliente. La necesidad de proteger los datos, las transacciones, los dispositivos y los usuarios a través de la prevención del fraude, la seguridad de las aplicaciones móviles y la autenticación sólida de los clientes se está integrando profundamente en las estrategias de crecimiento de los bancos. En todo Oriente Medio, estamos viendo que se presta mucha atención al aprovechamiento de las tecnologías emergentes para innovar en este ámbito, especialmente a medida que la banca móvil gana terreno en nuestra región. Para apoyar esto, se espera que el gasto en InfoSec en MENA aumente casi un 10% con respecto al año pasado, aumentando a 1.900 millones de dólares en 2019.

Cumplimiento del marco de ciberseguridad SAMA

Para mejorar la resistencia contra las ciberamenazas, la Autoridad Monetaria de Arabia Saudí (SAMA) introdujo el Marco de Ciberseguridad de la SAMA en mayo de 2017. Esto sigue una tendencia mundial en la que los gobiernos y los reguladores del sector bancario de todo el mundo están introduciendo normas y directrices de ciberseguridad. Un buen ejemplo es la revisión de la Directiva Europea de Servicios de Pago (PSD2) con sus requisitos de Autenticación Fuerte de Clientes, que desde entonces se ha convertido en un catalizador de la Banca Abierta segura en todo el mundo, incluso en Bahréin.

La Autoridad Monetaria de Arabia Saudí elaboró la normativa basándose en los marcos estándar del sector, como el:

  • Marco del Instituto Nacional de Normas y Tecnología (NIST) para mejorar la ciberseguridad de las infraestructuras críticas (NIST CSF)
  • Norma de seguridad de datos del sector de las tarjetas de pago (PCI DSS)
  • Normas de gestión de la seguridad de la informaciónISO 27001/27002
  • Norma de buenas prácticas para la seguridad de lainformación del Foro de Seguridad de la Información
  • Convergencia internacional de medidas y normas de capital deBasilea II (nota: los nuevos ajustes acaban de ser aprobados el 14 de enero de 2019 como parte de Basilea III)

Es obligatorio que todos los bancos, compañías de seguros y empresas financieras que operan en Arabia Saudí adopten el Marco de Ciberseguridad de la SAMA.

Adaptive authentication
White Paper

Autenticación adaptativa: experiencia de usuario superior y crecimiento a través de seguridad inteligente

Descargue este documento y logre el doble objetivo de reducir el fraude y complacer al cliente.

Descargar ahora

Las 4 áreas clave para el cumplimiento del SAMA

Durante mi presentación en la conferencia, expliqué las estrategias y tecnologías de ciberseguridad que los bancos del Reino deberían adoptar, no solo para cumplir plenamente con la SAMA, sino también para crear confianza digital con sus clientes, ya que esta es la clave para desbloquear el crecimiento futuro.

Charbel Diab presenta en el Congreso de Banca y Finanzas de IDC en Riyadh

He aquí cuatro aspectos clave del Marco:

1.Gestión de la identidad yel acceso: En la sección 3.3, Operaciones y tecnología de ciberseguridad, el SAMA proporciona directrices sobre la gestión de la identidad y el acceso (IAM). El Marco especifica la autenticación multifactor (MFA) para la gestión de accesos privilegiados y remotos. Los bancos exigen la AMF por dos motivos:

  • Proteger los datos y los activos financieros de los clientes utilizando una autenticación fuerte para asegurar el inicio de sesión del cliente en la banca online y móvil.
  • Para asegurar el acceso remoto de los empleados a la red corporativa y a la VPN, y protegerlos contra los malos actores que intentan acceder y robar datos.

Además de los inicios de sesión, el Marco también exige la AMF para estos casos de uso:

  • Añadir o modificar beneficiarios
  • Añadir servicios de pago de servicios públicos y gubernamentales
  • Transacciones de alto riesgo (cuando supera los límites predefinidos)
  • Restablecimiento de la contraseña

Hay muchas opciones de autenticación multifactoriales en el mercado. Los bancos saudíes deben buscar un proveedor que admita una amplia gama de métodos de autenticación en diferentes canales, incluidos los tokens de hardware y la autenticación de software para los usuarios móviles. Las últimas soluciones de autenticación multifactor basadas en la nube aprovechan la autenticación escalonada, también conocida como Autenticación Adaptativa Inteligente, habilitada a través de aplicaciones móviles con biometría nativa, FIDO U2F o UAF, biometría de comportamiento, etc.

2.Canal seguro: En la sección 3.3.13, Servicios de banca electrónica, la SAMA exige el "uso de técnicas de comunicación que eviten los ataques del hombre en el medio (aplicable a la banca en línea y móvil)". En este tipo de ataque, los defraudadores se situarán entre el banco y el cliente para interceptar la comunicación. Un ataque de este tipo podría convertir una transferencia genuina de 5.000 SAR a un amigo en una transferencia fraudulenta de 50.000 SAR a un impostor, sin que el cliente sea consciente de ello.Una de las formas más comunes en que esto sucede es a través de una red Wi-Fi maliciosa o un punto de acceso público (conocido como punto de acceso falso). Los consumidores disfrutan de la comodidad de los puntos de acceso públicos, sin saber que pueden estar transfiriendo sus datos de pago a través de una red controlada por un agente malicioso. Para proteger a los clientes de los ataques del hombre en el medio, los bancos pueden implementar criptogramas visuales seguros Cronto®. Para ver esto en acción, lea este blog o vea un vídeo.

Criptogramas visuales seguros

3.Blindaje de aplicaciones móviles: En la sección 3.3.13, Servicios de banca electrónica, la SAMA describe los requisitos de seguridad de las aplicaciones móviles. Esto abarca requisitos como la prevención y detección de intentos de alterar el código de la aplicación móvil, las técnicas de sandboxing y la mitigación de los diversos riesgos de que la aplicación móvil se vea comprometida. Una de las consideraciones importantes cuando se trata de móviles es el hecho de que los usuarios no son suficientemente conscientes del panorama de las amenazas y no siempre toman las medidas de protección necesarias, especialmente en Android. Según GlobalStats, Android lidera el mercado de los móviles en el Reino con un 65% frente al 34% de iOS.

Al mismo tiempo, muchos bancos aún no han desarrollado aplicaciones móviles, no supervisan el canal móvil o no tienen suficiente experiencia con el fraude móvil. Sin embargo, el malware para móviles está aumentando. Según Kaspersky Lab, el número de troyanos bancarios que atacan a los usuarios de dispositivos móviles se duplicó en 2018. Por eso, aplicar medidas de seguridad proactivas en el lado del cliente, como el blindaje de aplicaciones móviles, se ha convertido en una necesidad. Con las medidas de seguridad y los mecanismos MFA adecuados, los bancos y otras instituciones financieras no sólo pueden defender la aplicación contra los ataques, sino también simplificar la experiencia del usuario. Es fundamental que los bancos ofrezcan los métodos de autenticación más convenientes, incluida la biometría móvil, y que mantengan la seguridad avanzada de las aplicaciones móviles en segundo plano, invisible para el usuario.

4.Detección y prevención del fraude: En la sección 3.3.16, Gestión de la amenaza, el Marco especifica el uso de la gestión del fraude y del riesgo. A medida que se ofrecen más productos financieros a través de canales digitales, la superficie de ataque de un banco crece exponencialmente. Para mantener el ritmo, el mercado mundial está recurriendo al aprendizaje automático y a la extracción de datos y modelos sofisticados para obtener las predicciones más precisas de riesgo y fraude. Las plataformas modernas de detección y prevención del fraude analizan grandes cantidades de datos procedentes de múltiples fuentes en todos los canales digitales para garantizar la puntuación de riesgo más precisa. Estas puntuaciones impulsan flujos de trabajo inteligentes que permiten una acción inmediata basada en políticas y reglas de seguridad predefinidas y/o definidas por el banco.

Según el informe Forrester's Fraud Management Solutions Forecast, 2017 To 2023 (Global), se espera que el gasto mundial en soluciones de gestión del fraude se duplique en un periodo de cinco años, alcanzando los 10.000 millones de dólares en 2023. La clave para extraer el máximo rendimiento del gasto en gestión del fraude es trabajar con un proveedor que le permita alcanzar el doble objetivo de una seguridad sólida y una experiencia de usuario óptima.

Continuemos el debate

Para el cliente de banca digital de hoy en día, las transacciones con su proveedor financiero tienen que ser tan fáciles como seguras. Debe ser tan fácil y sin fricciones que los clientes ni siquiera piensen en la seguridad. La seguridad tiene que hacerse bien para crear las mejores experiencias posibles para los clientes, ya que esto impulsará el crecimiento a través de la mejora de la lealtad de los clientes, la retención y el uso de los servicios bancarios digitales y móviles.

Todo esto requiere que los bancos innoven con las nuevas tecnologías. Para hablar sobre la innovación en la experiencia del cliente digital y la creación de confianza en sus ofertas digitales, póngase en contacto conmigo en [email protected]

 

Charbel Diab es la directora regional de ventas para Oriente Medio, África y Pakistán en OneSpan, y dirige las operaciones de ventas en la región durante tres años. Antes de unirse a OneSpan, ocupó numerosos roles instrumentales con reconocidas empresas de TI en el Medio Oriente.