seguritecnia 410

SEGURITECNIA Julio-Agosto 2014 81 Seguridad en Entidades Financieras - Concienciación del cliente y los co- mercios, explicando las medidas de seguridad y patrones, comunicación de incidentes, etc. Todos ellos resumidos en 14 grandes requerimientos o dominios , cada uno con su detalle Key Control (KC) y Reco- mended Control (RC) similar y con cierta base en un PCI DSS o en lo que ya otras entidades americanas han ido aplicando. Resumiendo, podemos decir que la tendencia más clara es la homogenei- zación mediante el compliance ( Legs & Regs ) de las medidas mínimas de segu- ridad en todos aquellos servicios, ca- nales y dispositivos, junto con la con- cienciación, educación, formación y ca- pacitación de usuarios y ciudadanos, tendentes a la prevención y, en todo caso, predicción temprana de los deli- tos de fraude o ciberataques que aten- tan contra la estabilidad de los servicios y/o suministros de nuestra sociedad. En definitiva, generar una cultura en la que su ADN incluya seguridad y continuidad junto a la calidad del servicio, por de- fecto y por definición. Haciendo que se sea sostenible en el tiempo. S tinuidad y la resiliencia como un axioma y no como algo opcional para el tejido económico-social de los ámbitos públi- cos y privados. En esa dirección se han lanzando iniciativas como la Estrategia de Ciberseguridad Nacional, la legisla- ción de PCI o en el ámbito de los pagos por Internet (tarjetas, banca, mandatos SEPA y E-Money ), donde el fraude siem- pre acecha. Requerimientos También han surgido regulaciones del European Central Bank focalizadas en aspectos relevantes para los proveedo- res de servicios de pagos (PPS), relacio- nadas con: - Políticas de pagos, análisis y apetito al riesgo, cuerpo documental y procedi- mental, etc. - Medidas de seguridad de toda índole para proteger los denominados “da- tos sensibles” que puedan ser utili- zados para cometer fraude, como puede ser el doble factor con OTP ( One Time Password ) en procesos como la autenticación, la firma de operaciones o el alta/modificación/ baja de “datos sensibles”. Evolución La proliferación de nuevas tecnologías, la interconexión de redes (alámbricas o no) y sistemas, la ‘consumerización’ de servicios en cloud , la movilidad y la crea- ción de un nuevo mundo donde vivir nuestra realidad entre lo físico y lo vir- tual, hacen necesario que la seguridad TIC y la seguridad integral evolucionen, ayudadas por soluciones como el Big Data , el cloud , la virtualización, etc. Ese avance se debe realizar sin pensar sólo en una seguridad por capas o niveles, sino en una nueva seguridad basada en inteligencia ( Little Intelligent ), en el com- portamiento de los usuarios y las má- quinas (no olvidemos el ‘Internet de las cosas’), en la trazabilidad y transparen- cia de las operaciones, en las evidencias electrónicas y biométricas, en la predic- ción y gestión de las anomalías o en la monitorización en tiempo real de con- textos y ayuda a la toma de decisiones, entre los aspectos más relevantes a des- tacar. Todo ello junto a la educación sis- temática necesaria a todos los niveles en aspectos como: prevención, seguri- dad, continuidad, resiliencia, actuación en emergencias, etc. Eso sin olvidar la importancia y relevancia de la cooperación, colabo- ración, coordinación, comunicación y compartición de información, estudios, análisis, vectores y modus operandi , para formar un frente común ante la indus- tria del mal. En definitiva, frente a una guerra simétrica en tiempo y forma, que nos obliga a tener una detección y respuesta cada vez más ágiles y una gestión de las crisis y emergencias mu- cho más avanzada y basada en la ayuda a la toma de decisiones ágiles para combatir los escenarios e impactos que se nos presentan. Éste es el escenario global que el si- glo XXI nos está deparando, por el que cada vez más gobiernos y empresas, ciudadanos y clientes van tomando conciencia de la magnitud del pro- blema. Se está produciendo un cambio de paradigma, en el que la legislación y regulación están tomando un papel esencial a la hora de forzar, de alguna manera, a adoptar la seguridad, la con- Hay que generar una cultura en la que su ADN incluya seguridad y continuidad junto a calidad del servicio, por defecto y por definición