1 69 Table of Contents 71 116

Seguritecnia 461

70 SEGURITECNIA Febrero 2019 Seguridad en Entidades Financieras traído como consecuencia que la ciber- seguridad sea una de las mayores preo- cupaciones para los bancos. Dicho esto, yo no creo que esta haya relegado a la seguridad física. En ambos casos el fin último es la se- guridad de nuestros activos, las perso- nas y la información, por este orden. Bajo mi punto de vista ambas son com- plementarias y necesarias, no considero más importante una que la otra. Muchas veces nos olvidamos de que siempre es necesario dotar de seguri- dad los sistemas que alojan nuestra in- formación. Es igual de importante re- forzar la seguridad física para evitar que personas no autorizadas accedan física- mente a ella, como los CPD o nuestros equipos. Para ello debemos dotarnos de sistemas de acceso, videovigilan- cia, alarma 24 horas, políticas y proce- dimientos de acceso y uso de instala- ciones. Existe un riesgo reputacional y/o finan- ciero para el banco si sufre un ataque de denegación de servicio en la banca on- line , fuga de información o fraude online ; pero también existen los mismos riesgos si la entidad sufre atracos en sus ofici- nas, en sus cajeros o si por actos de van- dalismo, ocupación o robo se devalúa el valor de sus bienes inmuebles. Se da la circunstancia de que, en oca- siones, la ciberseguridad y la seguri- dad física se dan la mano, ya que se han dado casos de ataques cibernéticos a los sistemas CCTV y grabadores. - Existen multitud de proveedores de seguridad tanto física como ló- gica. ¿Qué criterios debe aplicar el res- ponsable de seguridad para decan- tarse por un socio tecnológico en ese océano repleto de opciones? Para mí todo se resume en la confianza mutua, especialmente es los servicios referidos a la seguridad, donde lo que busco es un compañero de viaje que aporte su experiencia, profesionalidad y conocimientos, y que ayude a tomar las decisiones más acertadas, que compar- tamos la misma filosofía de trabajo. Aparte de lo anterior, necesito cono- cer el perfil del proveedor, cuál es su de protegernos contra el cibercrimen, por lo que es necesario tener instala- das siempre las últimas actualizaciones y parches de seguridad y antivirus. Disponer de controles y métricas que permitan hacer un seguimiento perió- dico nos permite identificar debilida- des y/o puntos de mejora. La formación y concienciación de los usuarios (tanto trabajadores como clientes) es otra me- dida de seguridad que tenemos imple- mentada en el banco. Lo hacemos de diversas formas, ya sea con reuniones de formación con los trabajadores, ejer- cicios de simulación de fraude online o recomendaciones de seguridad en nuestras plataformas web. Medir nuestro grado de resiliencia a los ciberataques como organización también forma parte de nuestra es- trategia de seguridad, y lo hacemos de manera periódica mediante prue- bas y ejercicios de diferente índole y al- cance, que nos permiten evaluar nues- tro grado de madurez e identificar debi- lidades y puntos de mejora. - ¿Cree que la ciberseguridad ha des- plazado definitivamente a la seguridad física como principal foco de impor- tancia en la protección de los bancos? Es cierto que el auge del mundo digital y su uso ha generado una nueva forma de relación comercial entre las entida- des financieras y los clientes, y que ha Por otro lado, hay que seguir traba- jando en la concienciación y en trasla- dar argumentos que justifiquen la nece- sidad de invertir en seguridad. - La ciberseguridad se ha convertido en una prioridad para el sector de la banca. ¿De qué manera abordan esta parcela en Triodos Bank? En este aspecto, los riesgos que nos ocupan y preocupan son los relaciona- dos con la fuga de información, fraude online , ataques dirigidos a nuestras pla- taformas web o ataques de denega- ción de servicio. Abordamos esta tarea dentro del departamento de Seguridad en estrecha colaboración con el depar- tamento de Tecnología y con terceros (servicios especializados y nuestros pro- veedores estratégicos). Lo primero que hacemos es identifi- car y evaluar los principales riesgos a los que nos enfrentamos, así como los gaps tanto técnicos como procedimentales u organizativos. Esto nos permite definir prioridades de defensa e identificar qué recursos necesitamos. Aplicamos tanto la seguridad perime- tral como la red interna, en el endpoint y en nuestras plataformas online , utili- zamos herramientas de monitorización continua de eventos, sistemas de detec- ción y prevención de intrusos, etc. Mantener actualizados nuestros ac- tivos también es importante a la hora

RkJQdWJsaXNoZXIy MzA3NDY=