Si hay un sector que es pionero en transformación digital es el sector bancario. Sus procesos clave y sus flujos de trabajo llevan años en constante transformación gracias a la tecnología. Hace varias décadas que su modelo comenzó a incorporarla: grandes ordenadores centrales, los primeros cajeros automáticos, los monederos electrónicos, las tarjetas de crédito… hasta llegar a un modelo tecnológico centrado en la red que poco a poco ha ido evolucionando hacia los negocios digitales en los que debe tomar mayor protagonismo un elemento que no siempre fue la prioridad: la ciberseguridad, que repercute en otros como su reputación e incluso en su solvencia.
La banca como empresa cognitiva
Pese a que todas sus acciones están reguladas por ley, lo que dificulta a veces determinadas operaciones por la hiperregulación, ha ido encontrando la forma de amoldarse a ésta y hacer que las operaciones cotidianas hasta no hace mucho “manuales” como el pago en comercio, las transferencias, el control de gastos o la apertura de una cuenta bancaria pueda hacerse desde una app directamente desde un teléfono móvil.
Siempre en la vanguardia, son de las primeras grandes empresas que avanzan hacia lo que Marta Martínez, presidenta de IBM España, Portugal, Grecia e Israel llama la empresa cognitiva, pues cumple con sus cinco pilares: el primero una arquitectura tecnológica sólida, abierta e integrada centrada en la nube. El segundo son los datos, la materia prima que han demostrado que gestionan eficientemente ayudados por el tercer pilar la inteligencia artificial, que permite sobre todo la ayuda en la toma de decisiones al exprimir el conocimiento de la entidad. El cuarto pilar es el de la transparencia que genera confianza, y quizás el que sustenta todo lo anterior y quinto, el de la ciberseguridad.
“La ciberseguridad es el pilar que sustenta la integridad, confidencialidad y disponibilidad de lo la información digital de cualquier organización”
Transparencia
Los bancos tienen la obligación legal de ser transparentes. De hecho al igual que otras administraciones públicas deben dar a conocer periódicamente los datos más relevantes de su actividad en aras a la generación de confianza derivada por una parte de su transparencia y por otra de sus buenas praxis.
Sin embargo, según los consejeros delegados de las mayores entidades de España, el sector se enfrenta a 3 grandes retos: mejorar la rentabilidad (los bajos tipos de interés están pasando factura), abordar la digitalización, recuperar la reputación a la vez que se lidia con un entorno de continuo endurecimiento regulatorio. En esa misma línea iba el Banco de España. La confianza es, pues, básica.
Invisibilidad
A estas alturas entidades como el BBVA ya superará el 50% de clientes digitales e igual porcentaje de clientes móviles. Sin duda, a ello ha contribuido acciones como la posibilidad de darse de alta una cuenta online sin necesidad de acudir físicamente a una entidad. No son los únicos. José Sevilla, consejero delegado de Bankia, también afirmó en mayo de 2018 que “un 40% de los clientes se relaciona exclusivamente con nosotros a través de la oficina, y el 80% utiliza un mix (oficina y aplicaciones)”. Por su parte, Ezequiel Szafir, CEO de OpenBank decía que “el 80% de los clientes que inicia una hipoteca lo hace desde el móvil”.
La actividad bancaria se está virtualizando, ya que el cliente está empezando a tener el control total sin la intermediación de ningún empleado de las entidades.
Boceto de aplicación para un banco realizada por Cuatroochenta.
El usuario de la era digital solo quiere que los procedimientos sean sencillos. Demanda un servicio rápido que esté embebido en su vida diaria y que pueda hacer él mismo sin tener la necesidad de depender del banco.
Lo anterior nos lleva a un nuevo concepto, el de banca invisible. “En la banca invisible los productos y servicios están empaquetados en la “trastienda” de forma que no son visibles para el cliente, que solamente recibe una experiencia positiva. Las apps y otros canales cada vez serán más autónomos y sustituirán la decisión consciente de pago”. Pensemos en el paso de pagar con la tarjeta a pagar con la tecnología NFC (Near Field Communicaction), con la que el pago se realiza con solo acercar el teléfono móvil.
La consecuencia inmediata de la banca invisible es la posibilidad de que la marca corporativa de los bancos se desdibuje en la mente de los consumidores, en la que la entidad se convierte en un “motor” que genera servicios desprovisto de cara, lo que a su vez puede afectar a su reputación o imagen corporativa, que era uno de los retos que debía afrontar el sector bancario. A lo que se une el problema añadido de la entrada de las grandes tecnológicas (Facebook, Mastercard, Google, Apple, etc.) que comienzan a ofrecer servicios parecidos a los de los bancos pero sin someterse a su regulación, aprovechando toda su potencia tecnológica.
Ciberseguridad
Uno de los factores que influye en la rentabilidad, que como veíamos era uno de los retos a los que se enfrentaba el sector bancario, es la fuerte inversión necesaria para hacer frente a las demandas de tecnología que requieren los nuevos servicios que los bancos han de implementar.
Todo lo relacionado con la digitalización es caro y además hay un aspecto a tener en cuenta: la ciberseguridad. Un error en este pilar de la empresa cognitiva daría al traste con la reputación. En este sentido, David Höhn, socio responsable de Transaction Services y de la Práctica China de KPMG en España, afirma que el daño reputacional que sufre una organización cuando un fallo de seguridad queda al descubierto lleva consigo una pérdida de negocio y de clientes que, en el peor de los casos, puede llegar al 20-40% de los mismos, lo que afectaría a una rentabilidad ya mermada y podría dañar gravemente la estrategia digital.
Así, no es de extrañar que cajas y bancos opten por la contratación de pólizas aseguradoras con cobertura de su riesgo cibernético e incluso hayan comenzado a reforzar sus equipos de personas con responsables provenientes de otras entidades en liza.
“Cuando compras una compañía, estás comprando sus datos y puedes estar comprando también sus problemas de seguridad con los datos”.
Jason Weinstein, procurador del Departamento de Justicia de Estados Unidos.
En este sentido, la misma tecnología ayuda a la prevención del riesgo en ciberseguridad, aunque su despliegue no es totalmente homogéneo. El informe sobre el estado de la Ciberseguridad en el Sector Bancario en América Latina (LATAM) y el Caribe, por ejemplo, indica que “el 49% de las entidades bancarias aún no están implementando herramientas, controles o procesos usando Tecnologías Digitales Emergentes, tales como Big Data, Machine Learning o Inteligencia Artificial, las cuales resultan muy importantes a la hora de prevenir ciberataques o determinar patrones sospechosos asociados a fraude, entre otras capacidades de detección”, lo que contrasta con la conclusión de un nuevo estudio del Instituto de Investigación de Capgemini: dos tercios (69%) de las compañías reconocen que no podrán responder a las amenazas críticas sin IA.
Tal vez por ello, y según el mismo estudio, los directivos aceleran la inversión en IA por razones de ciberseguridad, pues una clara mayoría de directivos acepta que la IA es fundamental para el futuro de la ciberseguridad:
El 64% contesta que reduce el coste de la detección de brechas de seguridad y de la respuesta a estas brechas, que cae un 12% de media. El 74% indica que permite disminuir el tiempo de respuesta: una reducción del 12% del tiempo necesario para detectar amenazas, reparar las brechas e implementar parches. El 69% afirma también que la IA mejora la precisión en la tarea de detección de brechas y el 60% asegura que aumenta la eficiencia de los analistas de ciberseguridad, reduciendo el tiempo que invierten en el análisis de falsos positivos y aumentando la productividad.
En este sentido, Latinoamérica se encuentra en plena evolución en materia de ciberseguridad, ya que actualmente muchos de los países como Panamá o República Dominicana están actualizando las normas y estándares que obligan a cumplir en ciertos sectores críticos entre los que se encuentra el bancario. Esta legislación por lo general no exige la utilización de herramientas concretas de ciberseguridad, aunque existen herramientas avanzadas en este campo que utilizan inteligencia artificial. Darktrace es una de ellas y, gracias a la detección de comportamientos anómalos a través de inteligencia artificial, su uso refuerza el cumplimiento de los nuevos estándares de seguridad.
Sin embargo, un punto crítico sigue siendo la formación de los empleados. Una formación básica y un recuerdo periódico de los riesgos evitarán ataques de ingeniería social que logren vulnerar las medidas de seguridad y acceder a los sistemas gracias a la falta de conocimientos adecuados de los empleados, para lo que se podría recurrir por ejemplo a la realización periódica de auditorías de Ingeniería Social, e implantar programas de formación para los empleados que les ayuden a conocer los riesgos en cada puesto de trabajo, así como la evolución continuada de estos riesgos.
La investigación de Computer Weekly / TechTarget IT Priorities muestra que la seguridad cibernética y la gestión de riesgos se encuentran entre las principales prioridades de inversión para 2019 en Europa, Oriente Medio y África (EMEA). Se espera que el presupuesto aumente en esta área en un 39% según los encuestados. Cuando se les preguntó qué elementos de su entorno de TI planeaban monitorear en términos de seguridad, los encuestados de EMEA se clasificaron entre los cuatro principales datos de flujo / tráfico de red (45%), identidad de red (44%) y controles de acceso (41%) y comportamiento del usuario (38%).
El Consejo Europeo, por su parte, está respondiendo endureciendo las sanciones para quienes realicen ataques o colaboren con ellos. A su vez, las entidades encargadas del cumplimiento regulatorio, están imponiendo sanciones al sector bancario cuando no cumplan unos mínimos estándares de seguridad. Un ejemplo de que las administraciones públicas también deben trabajar en esta línea.
