PSD2 y la seguridad de datos en bancos

PSD2  y la seguridad de datos en bancos

El período de implementación de la “Directiva de servicios de pago 2” (PSD2) expiró a mediados de septiembre, lo que convierte la autenticación de dos factores en el estándar para las transacciones en línea. ¿Es esto bueno en términos de seguridad de datos en los bancos? Lamentablemente no. La economía de datos y los derechos de acceso son esenciales.

Es cierto que los bancos han estado haciendo un gran esfuerzo durante años con respecto al acceso inadecuado a las cuentas de los clientes, y la nueva directriz ahora hace obligatorio un nivel adicional de seguridad. Sin embargo, además del front-end de la cuenta, los bancos y las instituciones financieras todavía tienen muchos datos confidenciales e interesantes para los ciberdelincuentes, cuya protección a menudo se pasa por alto.

 ¡Buena lectura!

Por: Lenildo Morais
Maestro en la Ciencias de la Computación. Gerente de Proyectos en Ustore / Claro. Profesor del Centro Universitario Maurício de Nassau e Investigador de Assert – Tecnologías Avanzadas de Investigación en Ingeniería de Sistemas y Software.

 Reduce el acceso a datos

Uno de los mayores factores de riesgo que enfrentan las características financieras es el acceso controlado a los datos y el almacenamiento de muchos datos innecesarios y no utilizados en sus redes y almacenes de datos. Por ejemplo, como parte de las evaluaciones de riesgos, un banco encuentra un archivo de nómina al que podían acceder todos los empleados. Incluso un recepcionista de la recepción podría acceder fácilmente a los recibos de pago confidenciales a través de su cuenta de usuario. Y, lamentablemente, no se trata de un caso aislado.

En promedio, hay más de 450.000 archivos confidenciales no seguros a los que todos pueden acceder en el sistema de la empresa. Esto es cuestionable por varias razones. En primer lugar, el acceso total a los archivos significa que cualquier persona de una empresa puede ver y cambiar archivos, independientemente de su función profesional, ya sea que realmente lo necesite o tenga acceso. ¿Debería un consultor temporal o incluso un pasante poder acceder y modificar los datos personales de un cliente?

Además: 10 consejos para la seguridad de datos

En segundo lugar, estos derechos de acceso excesivos también facilitan las cosas a los atacantes. Si un ciberdelincuente puede acceder a la red de la empresa, tendrá acceso a todos estos archivos a los que puede acceder la cuenta pirateada. Lo mismo se aplica a un ataque de ransomware. Cuantos más archivos pueda acceder una cuenta infectada, más archivos se podrán cifrar. Esto significa que si una cuenta de usuario en cuestión tiene derechos de acceso global, todos los archivos de la empresa se pueden copiar o cifrar. El peor de los casos para la seguridad de los datos.

Seguridad de datos: elimine los datos que ya no son necesarios

Los datos obsoletos, en desuso o redundantes no solo generan costes en términos de almacenamiento y gestión, sino que también son relevantes para la seguridad. Y son más extensos de lo que la mayoría de la gente piensa. Casi 9  de cada 10 (87%) empresas tienen más de 1.000 archivos desactualizados y siete de cada diez (71%) tienen más de 5.000. Pero, ¿por qué es esto un riesgo de seguridad?

También: Trojans Bancarios: Protección de los sistemas informáticos de los bancos

Los datos financieros de los ex clientes pueden caer en manos equivocadas, con varios puntos de partida para fraudes, chantajes y similares.  Además, solo puede proteger adecuadamente lo que sabe. Para la seguridad de los datos, las empresas financieras deben saber exactamente qué datos han almacenado en sus sistemas. Esto también es ineludible con respecto a la Ley General de Protección de Datos. Toda empresa que tenga datos personales debe poder informar a las personas relevantes sobre la información almacenada y, si es necesario, eliminarla. Esto solo es posible si sabe dónde se pueden encontrar todos los datos personales.

Recuperar el control

Con el tiempo, la cantidad de datos en todo el mundo ha seguido creciendo. El sector bancario no es una excepción. Y, desafortunadamente, en algún momento se perdió el control y la vista general. Para recuperarlo, las instituciones financieras deben realizar un análisis completo de todas las carpetas y archivos de sus redes corporativas, hasta el último rincón. Durante esta “limpieza”, los archivos obsoletos que ya no son necesarios deben identificarse y marcarse para que puedan ser eliminados o archivados de acuerdo con las regulaciones respectivas. Al mismo tiempo, también se debe determinar quién debe tener acceso a qué carpetas y archivos para que las autorizaciones se puedan ajustar o actualizar de acuerdo con el principio de necesidad de conocimiento. Si el acceso al archivo se supervisa mediante un análisis inteligente del usuario.