Cumplimiento del marco de seguridad cibernética SAMA: brinde una experiencia de banca digital segura y sin interrupciones

Charbel Diab, 5 de Febrero de 2019

De acuerdo a Gartner , la seguridad cibernética es uno de los principales riesgos que enfrentan las empresas e instituciones financieras de Medio Oriente y África del Norte (MENA) en 2019. Como es el caso en todo el mundo, los bancos están buscando formas innovadoras para combatir las amenazas cibernéticas como el malware, el phishing y el fraude de adquisición de cuentas, al tiempo que optimizan la experiencia del cliente y fortalecen el cumplimiento.

Hace poco regresé de IDC Congreso de Banca y Finanzas en Riad, donde la ciberseguridad y el cumplimiento de regulaciones como la Marco de seguridad cibernética de SAMA formaron parte de las discusiones tanto como la experiencia digital del cliente. La necesidad de proteger datos, transacciones, dispositivos y usuarios a través de la prevención del fraude, seguridad de aplicaciones móviles , y fuerte autenticación de cliente se está incrustando profundamente en las estrategias de crecimiento de los bancos. En todo el Medio Oriente, estamos viendo mucho enfoque en aprovechar las tecnologías emergentes para innovar en esta área, particularmente a medida que la banca móvil gana terreno en nuestra región. Para respaldar esto, se espera que el gasto de InfoSec en MENA aumente casi un 10% durante el año pasado, aumentando a USD $ 1.9 mil millones en 2019 .

Cumplimiento del marco de seguridad cibernética de SAMA

Para mejorar la resiliencia contra las amenazas cibernéticas, la Autoridad Monetaria de Arabia Saudita (SAMA) introdujo el Marco de seguridad cibernética de SAMA en mayo de 2017. Esto sigue una tendencia global en la que los reguladores gubernamentales y de la industria bancaria de todo el mundo están introduciendo normas y orientaciones de seguridad cibernética. Un buen ejemplo es la Directiva revisada de servicios de pago europeos (PSD2) con su Fuertes requisitos de autenticación del cliente , que desde entonces se ha convertido en un catalizador para la banca abierta segura en todo el mundo, incluso en Bahrein .

La Autoridad Monetaria de Arabia Saudita desarrolló la regulación basada en marcos estándar de la industria tales como:

Es obligatorio que todos los bancos, compañías de seguros y compañías financieras que operan en Arabia Saudita adopten el Marco de Seguridad Cibernética SAMA.

PAPEL BLANCO

Autenticación adaptativa: excelente experiencia de usuario y crecimiento a través de seguridad inteligente

Descargue este documento y logre los objetivos gemelos de reducir el fraude y deleitar al cliente.

Descargar ahora

Las 4 áreas de enfoque clave para el cumplimiento de SAMA

Durante mi presentación en la conferencia, expliqué las estrategias y tecnologías de ciberseguridad que los bancos del Reino deberían adoptar, no solo para el pleno cumplimiento de SAMA, sino también para generar confianza digital con sus clientes, ya que esta es la clave para desbloquear el crecimiento futuro.

Charbel Diab presentando en el Congreso de Banca y Finanzas de IDC en Riad

Aquí hay cuatro aspectos clave del Marco:

1) Gestión de identidad y acceso: En la sección 3.3, Operaciones y tecnología de seguridad cibernética , SAMA proporciona directivas sobre Gestión de identidad y acceso (YO SOY). El Marco especifica la autenticación multifactor (MFA) para la administración de acceso privilegiado y remoto. Los bancos requieren AMF para dos propósitos:

  • Para proteger los datos y activos financieros de los clientes mediante el uso de una autenticación sólida para asegurar el inicio de sesión del cliente en la banca en línea y móvil.
  • Para asegurar el acceso remoto de los empleados a la red corporativa y VPN, y proteger contra los malos actores que intentan acceder y robar datos.

Además de los inicios de sesión, el Marco también exige MFA para estos casos de uso:

  • Agregar o modificar beneficiarios
  • Agregar servicios públicos y servicios de pago
  • Transacciones de alto riesgo (cuando excede los límites predefinidos)
  • Restablecimiento de contraseña

Hay muchas opciones de autenticación de múltiples factores en el mercado. Los bancos sauditas deben buscar un proveedor que admita una amplia gama de autenticación métodos en diferentes canales, incluidos tokens de hardware y autenticación de software para usuarios móviles. Las últimas soluciones de autenticación multifactor basadas en la nube aprovechan la autenticación paso a paso, también conocida como Autenticación Adaptativa Inteligente, habilitada a través de aplicaciones móviles con biometría nativa, FIDO U2F o UAF, biometría de comportamiento y más.

2) Canal seguro: En la sección 3.3.13, Servicios de banca electrónica , SAMA requiere el "uso de técnicas de comunicación para evitar ataques de hombre en el medio (aplicable para banca en línea y móvil)". En este tipo de ataque, los estafadores se posicionarán entre el banco y el cliente para interceptar la comunicación. Tal ataque podría cambiar una transferencia genuina de 5,000 SAR a un amigo en una transferencia deshonesta de 50,000 SAR a un impostor, sin que el cliente lo sepa.  Una de las formas más comunes en que esto sucede es a través de una red Wi-Fi maliciosa o un punto de acceso público (conocido como punto de acceso no autorizado). Los consumidores disfrutan de la comodidad de los puntos de acceso públicos, sin saber que pueden estar transfiriendo sus datos de pago a través de una red controlada por un mal actor. Para proteger a los clientes de ataques de intermediarios, los bancos pueden implementar Cronto ® Cryptogramas visuales seguros. Para ver esto en acción, lee este blog o mira un video .

Criptogramas visuales seguros

3) Blindaje de aplicaciones móviles: En la sección 3.3.13, Servicios de banca electrónica , SAMA describe los requisitos para la seguridad de las aplicaciones móviles. Esto cubre requisitos tales como prevenir y detectar intentos de alterar el código de la aplicación móvil, técnicas de sandboxing y mitigar los diversos riesgos de que la aplicación móvil se vea comprometida. Una de las consideraciones importantes cuando se trata de dispositivos móviles es el hecho de que los usuarios no son lo suficientemente conscientes del panorama de amenazas y no siempre toman las medidas de protección necesarias, especialmente en Android. De acuerdo a GlobalStats , Android lidera el mercado móvil en el Reino en un 65% a 34% para iOS.

Al mismo tiempo, muchos bancos aún no han desarrollado aplicaciones móviles, no monitorean el canal móvil o no tienen suficiente experiencia con el fraude móvil. Sin embargo, el malware móvil está aumentando. Según Kaspersky Lab, el número de troyanos bancarios que atacan a usuarios de dispositivos móviles duplicado en 2018. Es por eso que aplica medidas de seguridad proactivas del lado del cliente, como los dispositivos móviles aplicación de blindaje se ha convertido en una necesidad. Con las medidas de seguridad y los mecanismos de AMF adecuados, los bancos y otras instituciones financieras no solo pueden defender la aplicación contra ataques, sino que también simplifican la experiencia del usuario. Es fundamental que los bancos proporcionen los métodos de autenticación más convenientes, incluidos biometría móvil y mantenerse avanzado seguridad de aplicaciones móviles ejecutándose en segundo plano, invisible para el usuario.

4) Detección y prevención de fraude: En la sección 3.3.16, Manejo de amenazas , el Marco especifica el uso del fraude y gestión de riesgos . A medida que se ofrecen más productos financieros a través de canales digitales, la superficie de ataque de un banco crece exponencialmente. Para mantener el ritmo, el mercado global está recurriendo al aprendizaje automático y a la minería y modelado de datos sofisticados para obtener las predicciones más precisas de riesgo y fraude. Las modernas plataformas de detección y prevención de fraude analizan grandes cantidades de datos de múltiples fuentes en todos los canales digitales para garantizar la calificación de riesgo más precisa. Estos puntajes impulsan flujos de trabajo inteligentes que permiten una acción inmediata basada en políticas y reglas de seguridad predefinidas y / o definidas por el banco.

De acuerdo con Forrester Pronóstico de soluciones de gestión de fraudes, 2017 a 2023 (Global) , se espera que el gasto global en soluciones de gestión de fraude se duplique en un período de cinco años, llegando a $ 10 mil millones para 2023. La clave para extraer el ROI completo del gasto en gestión de fraudes es trabajar con un proveedor que lo hará exitoso en el logro de los objetivos gemelos de una seguridad sólida y una experiencia de usuario óptima.

Continuemos la discusión

Para el cliente actual de banca digital, las transacciones con su proveedor financiero deben ser tan fáciles como seguras. Debería ser tan fácil y sin fricciones que los clientes ni siquiera piensen en la seguridad. La seguridad debe hacerse bien para crear las mejores experiencias posibles para el cliente, ya que esto impulsará el crecimiento a través de la lealtad, la retención y el uso mejorados de los servicios bancarios digitales y móviles.

Todo esto requiere que los bancos innoven con nuevas tecnologías. Para hablar sobre la innovación en la experiencia digital del cliente y generar confianza en sus ofertas digitales, contácteme en Charbel.Diab @OneSpan .com

Charbel Diab es la directora regional de ventas para Oriente Medio, África y Pakistán en OneSpan, y dirige las operaciones de ventas en la región durante tres años. Antes de unirse a OneSpan, ocupó numerosos roles instrumentales con reconocidas empresas de TI en el Medio Oriente.