Conformidade com o SAMA Cyber Security Framework: forneça uma experiência digital segura e integrada

De acordo com Gartner , a cibersegurança é um dos principais riscos que as empresas e instituições financeiras do Oriente Médio e do Norte da África (MENA) enfrentam em 2019. Como é o caso em todo o mundo, os bancos estão procurando maneiras inovadoras de combater ameaças cibernéticas, como malware, phishing e fraude de sequestro de contas - além de otimizar a experiência do cliente e reforçar a conformidade.

Voltei recentemente do IDC Congresso Bancário e Financeiro em Riad, onde a segurança cibernética e a conformidade com regulamentos como o Estrutura de segurança cibernética SAMA faziam parte das discussões tanto quanto a experiência digital do cliente. A necessidade de proteger dados, transações, dispositivos e usuários através da prevenção de fraudes, segurança de aplicativo móvel e autenticação forte de cliente está profundamente enraizado nas estratégias de crescimento dos bancos. Em todo o Oriente Médio, estamos vendo muito foco na alavancagem de tecnologias emergentes para inovar nessa área, principalmente à medida que os serviços bancários móveis ganham terreno em nossa região. Para apoiar isso, os gastos da InfoSec em MENA devem aumentar quase 10% em relação ao ano passado, subindo para US $ 1,9 bilhão em 2019 .

Conformidade com o SAMA Cyber Security Framework

Para melhorar a resiliência contra ameaças cibernéticas, a Autoridade Monetária da Arábia Saudita (SAMA) introduziu o Estrutura de segurança cibernética SAMA em maio de 2017. Isso segue uma tendência global em que os reguladores do setor bancário e do governo ao redor do mundo estão introduzindo padrões e orientações de segurança cibernética. Um bom exemplo é a Diretiva Européia de Serviços de Pagamento (PSD2) revisada, com seus autenticação forte de cliente , que desde então se tornou um catalisador para o Open Banking seguro em todo o mundo, incluindo Barém .

A Autoridade Monetária da Arábia Saudita desenvolveu o regulamento com base em estruturas padrão da indústria, como:

• Instituto Nacional de Padrões e Tecnologia (NIST) Estrutura para melhorar a segurança cibernética da infraestrutura crítica (NIST CSF)
• Indústria de cartões de pagamento Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS)
• ISO 27001/27002 Padrões de Gerenciamento de Segurança da Informação
• Fórum de Segurança da Informação Padrão de Boas Práticas para Segurança da Informação
• Basileia II Convergência internacional de medição de capital e padrões de capital (nota: novos ajustes foram aprovados em 14 de janeiro de 2019 como parte de Basileia III )

É obrigatório que todos os bancos, seguradoras e empresas financeiras que operam na Arábia Saudita adotem o SAMA Cyber Security Framework.

RELATÓRIO BRANCO

Autenticação adaptativa: experiência de usuário superior e crescimento por meio da segurança inteligente

Baixe este documento e alcance o objetivo duplo de reduzir a fraude e agradar ao cliente.

Baixar Agora

As 4 áreas de foco principais para conformidade com a SAMA

Durante minha apresentação na conferência, expliquei as estratégias e tecnologias de cibersegurança que os bancos do Reino devem adotar - não apenas para total conformidade com a SAMA, mas também para criar confiança digital com seus clientes, pois essa é a chave para promover o crescimento futuro.

Aqui estão quatro aspectos principais do Framework:

1 Gerenciamento de identidade e acesso: Na seção 3.3, Operações e tecnologia de segurança cibernética , A SAMA fornece diretrizes sobre Gerenciamento de identidade e acesso (EU SOU). A estrutura especifica a autenticação multifator (MFA) para gerenciamento de acesso remoto e privilegiado. Os bancos exigem MFA para dois propósitos:

• Para proteger os dados e ativos financeiros dos clientes, usando autenticação forte para proteger o login do cliente no banco on-line e móvel.
• Proteger o acesso remoto dos funcionários à rede corporativa e VPN e proteger contra maus atores que tentam acessar e roubar dados.

Além dos logins, a Estrutura também exige MFA para estes casos de uso:

• Adicionando ou modificando beneficiários
• Adição de serviços de pagamento de serviços públicos e governamentais
• Transações de alto risco (quando exceder limites predefinidos)
• Redefinição de senha

Existem muitas opções de autenticação multifator no mercado. Os bancos sauditas devem procurar um fornecedor que suporte uma ampla variedade de autenticação métodos em diferentes canais, incluindo tokens de hardware e autenticação de software para usuários móveis. As mais recentes soluções de autenticação multifatorial baseadas na nuvem utilizam a autenticação intensificada, também conhecida como Autenticação adaptativa inteligente ativada por aplicativos móveis com biometria nativa, FIDO U2F ou UAF, biometria comportamental e muito mais.

2) Canal seguro: Na seção 3.3.13, Serviços bancários eletrônicos , A SAMA exige o “uso de técnicas de comunicação para evitar ataques intermediários (aplicáveis ao banco on-line e móvel)”. Nesse tipo de ataque, os fraudadores se posicionam entre o banco e o cliente para interceptar o comunicação. Esse ataque pode transformar uma transferência genuína de 5.000 SAR para um amigo e uma transferência não autorizada de 50.000 SAR para um impostor, sem que o cliente esteja ciente disso.  Uma das maneiras mais comuns de isso acontecer é através de uma rede Wi-Fi maliciosa ou ponto de acesso público (conhecido como ponto de acesso não autorizado). Os consumidores desfrutam da conveniência de pontos de acesso públicos, sem saber que podem estar transferindo seus dados de pagamento através de uma rede controlada por um ator ruim. Para proteger os clientes de ataques intermediários, os bancos podem implementar o Cronto ^® criptogramas visuais seguros. Para ver isso em ação, leia este blog ou Assista um video .

3) Blindagem de aplicativos móveis: Na seção 3.3.13, Serviços bancários eletrônicos , SAMA descreve os requisitos para segurança de aplicativos móveis. Isso abrange requisitos como impedir e detectar tentativas de alterar o código do aplicativo móvel, técnicas de sandbox e mitigar os vários riscos de comprometimento do aplicativo móvel. Uma das considerações importantes quando se trata de dispositivos móveis é o fato de que os usuários não estão suficientemente cientes do cenário de ameaças e nem sempre tomam as medidas de proteção necessárias - especialmente no Android. De acordo com GlobalStats , O Android lidera o mercado móvel no Reino Unido, de 65% a 34% para iOS.

Ao mesmo tempo, muitos bancos ainda não desenvolveram aplicativos móveis, não monitoram o canal móvel ou não têm experiência suficiente com fraude móvel. No entanto, o malware móvel está aumentando. De acordo com a Kaspersky Lab, o número de Trojans bancários atacando usuários de dispositivos móveis dobrou em 2018. É por isso que aplicar medidas proativas de segurança do lado do cliente, como dispositivos móveis blindagem de aplicativo móvel tornou-se uma necessidade. Com as medidas corretas de segurança e os mecanismos de MFA, os bancos e outras instituições financeiras podem não apenas defender o aplicativo contra ataques, mas também simplificar a experiência de usuário. É essencial que os bancos forneçam os métodos de autenticação mais convenientes, incluindo biometria móvel e continue avançado segurança de aplicativo móvel sendo executado em segundo plano, invisível para o usuário.

4) Detecção e prevenção de fraudes: Na seção 3.3.16, Gerenciamento de ameaças , a Estrutura especifica o uso de fraude e gerenciamento de riscos . À medida que mais produtos financeiros são oferecidos via canais digitais, a superfície de ataque de um banco cresce exponencialmente. Para acompanhar o ritmo, o mercado global está se voltando para o aprendizagem de máquina e a sofisticada mineração e modelagem de dados para obter as previsões mais precisas de risco e fraude. As modernas plataformas de detecção e prevenção de fraudes analisam grandes quantidades de dados de várias fontes em todos os canais digitais para garantir a pontuação de risco mais precisa. Essas pontuações geram fluxos de trabalho inteligentes que permitem ação imediata com base em políticas e regras de segurança predefinidas e / ou definidas pelo banco.

De acordo com a Forrester Previsão de soluções de gerenciamento de fraudes, 2017 a 2023 (global) , espera-se que os gastos globais em soluções de gerenciamento de fraudes dobrem ao longo de um período de cinco anos, atingindo US $ 10 bilhões até 2023. A chave para extrair o ROI completo dos gastos com gerenciamento de fraude é trabalhar com um fornecedor que fará com que você consiga alcançar os objetivos duplos de segurança forte e uma ótima experiência de usuário.

Vamos continuar a discussão

Para o cliente bancário digital de hoje, a transação com seu provedor financeiro deve ser tão fácil quanto segura. Deve ser tão fácil e sem atritos que os clientes nem pensam na segurança. A segurança deve ser bem executada, a fim de criar as melhores experiências possíveis para os clientes, pois isso impulsionará o crescimento por meio da melhoria da fidelidade, retenção e uso de serviços bancários digitais e móveis.

Tudo isso requer que os bancos inovem com novas tecnologias. Para falar sobre inovação na experiência digital do cliente e construir confiança em suas ofertas digitais, entre em contato comigo em Charbel.Diab @OneSpan .com