FlagMartes, 20 Noviembre 2018

Información de valor para integradores de Seguridad Electrónica y Ciberseguridad

 

 

seg elec 65 01

La vertical financiera en México es una de las pocas ramas empresariales que cuentan con una longeva regulación cuando se habla de seguridad. Es el caso de SEPROBAN (Seguridad y Protección Bancarias), constituída con fundamento en la Ley Reglamentaria del Servicio Público de Banca y Crédito publicada en el Diario Oficial de la Federación el 6 de abril de 1987, organismo que cuenta con la infraestructura para transmitir señales de alarma e información de sucursales bancarias en el momento y por el período en el que tenga lugar un siniestro.

 

seg elec 65 02La misma indica, respecto a las sucursales bancarias, aspectos de gestión entre el sistema de video y el cumplimiento con las alarmas así que está orientado a dictaminar la integración y acciones que haga el sistema cuando un cuentahabiente presiona un botón de pánico, el despacho de las acciones en tiempo real y posteriormente los usos forenses para deslindar responsabilidades. El objetivo es claro, la banca ha sido históricamente uno de los organismos más atacados por parte de los delincuentes; sin embargo, el uso de alarmas sonoras necesariamente debió ser complementado con más elementos como es el uso de videocámaras y control de acceso.

Como sucede en cualquier superficie de ataque, entre mayor sea su extensión más elementos hay que considerar para su protección. Al respecto, Manuel Zamudio, Industry Associations Manager en Axis Communications, dijo que las posibilidades que trae consigo la tecnología no han sido completamente explotadas a favor de la vertical financiera. “La apertura de nuevas sucursales o su renovación trae formas distintas de atender a los tarjetahabientes. Algunos analíticos usados en verticales como retail, son igualmente benéficos para la banca para agilizar trámites e incrementar la experiencia del cliente, aunque se ha visto por el momento de manera aislada; es decir, destinan las cámaras únicamente para la seguridad”, consideró.

Entonces se trata de asesoramiento a la banca, no instalación de equipo, agregó el directivo de Axis, quien además consideró que una consultoría se basa en el Costo Total de Propiedad (TCO) para no dejar fuera del presupuesto una partida para la operación, el mantenimiento y casos de interrupción por terceros como es el vandalismo. Hay otro tipo de intervenciones a considerar, no obstante, cuando la decisión se sustenta únicamente en el costo de adquisición porque se corre el riesgo de que los equipos dejen de operar repentinamente o lo hagan a favor de cibercriminales, como fue el caso de un ataque tipo Distributed Denial of Service (DDoS), donde routers, cámaras de video vigilancia y otros equipos IoT fueron involuntariamente parte de la red botnet Mirai para atacar los servidores de DYN en el 2016. “Estos equipos fueron intervenidos por mantener una contraseña preestablecida y no se ejecutó una buena práctica al momento de implementación, dejando paso libre al código malicioso. Cuando abres las puertas para que usen tus cámaras a personas malintencionadas, existe la posibilidad latente de que también busquen claves de SuperUser para poner en jaque al sector”, agregó Manuel Zamudio de Axis.

Integración y analítica, modelo para prevenir pérdidas

Es por ello que la industria considera relevante modificar las conversaciones con clientes, como discutir si se implementan 3 megapixeles en la lente y pasar hacia el tema de las integraciones y del mismo modo el uso de analíticas como dos elementos para prevenir oportunamente actos no deseados dentro de las sucursales y el personal.

“En Schneider Electric tenemos muy claro el tema de la ciberseguridad y la digitalización que está transformando a la banca por lo que adoptamos el marco normativo de compliance NIST en seguridad informática. Sabemos es una carrera contra el tiempo cuando se trata de combatir a la delincuencia. Ello deja claro el tema de la integración porque un plan de gestión del riesgo para la vertical financiera considera temas externos e internos. Para expresar un caso práctico, el VMS Video Xpert puede integrarse con el directorio activo del banco y se cruza la información; cuando un usuario válido trata de acceder a su cuenta pero no está presente físicamente en la oficina de la sucursal entonces se debería bloquear el acceso. Este tipo de funcionalidades se logran cuando se comunican los diferentes sistemas en lugar de trabajar como silos”, consideró Víctor Merino, Vicepresidente para Latinoamérica de Pelco by Schneider Electric.

seg elec 65 03El caso resulta interesante considerando que la seguridad física encuentra puntos en común con la seguridad informática cuando ambos usan la red IP para dirigir las acciones hacia la productividad, discriminando ataques. En ese sentido, la red ya creada puede usarse para agregar más servicios como es la analítica, consideró Manuel Zamudio de Axis. “Un alto porcentaje de amenazas inicia con una amenaza verbal y es posible detectar anomalías en tiempo real si se analizan los decibeles de un espacio monitoreado. De la misma forma es posible echar mano de las analíticas de video y audio para que en común acuerdo contextualicen por qué una persona está corriendo mientras se escucha la alarma de un automóvil”, ejemplificó.

Los algoritmos son particularmente de apoyo porque las instalaciones de las sucursales suelen ser un reto para las cámaras: espacios con grandes ventanales, contraluz la mayor parte del tiempo, pisos de color claro, puertas de cristal dobles. Cuando se aprovecha el análisis de las imágenes y el sonido ambiental los operadores tienen la posibilidad de actuar en el menor tiempo posible porque diferentes sistemas corroboran que se está ejecutando un acto contra la institución o algún usuario.

“Todavía hay personas que acceden a las salas bancarias así que los analíticos no sólo crean listas negras, también bases de datos sobre clientes VIP a quienes es posible atender de manera preferencial porque el banco desea retenerlos como clientes o bien, identificar personas con cobros pendientes; en realidad hay varias aplicaciones en puerta”, consideró el directivo de Axis respecto al valor agregado que la analítica aporta a la vertical financiera. Sin duda, los algoritmos cada vez más refinados pueden crear formas precisas de identificar un rostro humano e insertarlo en un contexto operativo. Una tendencia que aleja a la banca de las revisiones forenses de video.

seg elec 65 04Identificar al sujeto

Un problema asociado con la combinación del mundo digital y el físico es el robo de identidad, donde HID consideró que representa uno los principales fraudes cometidos contra la vertical financiera; después de que algún ciberdelincuente logró hacer mal uso de una identificación oficial, le basta con reemplazar la fotografía de la credencial para hacer una transacción apócrifa ante alguna institución bancaria. El problema para el dueño de los datos es que podría enfrentar negativas por buró de crédito o enfrentar pagos por un producto financiero que no solicitó.

“Tenemos impresoras de cada vez mejor calidad, credenciales que son clonadas e información vendida en la Deep Web. Entonces el recurso de la biometría como método para tener una identificación única que no permita copias, se asoma como una posibilidad para proteger a la banca contra fraudes. Características medibles del cuerpo (huella, voz e iris) empoderan a un ejecutivo de cuenta al pedir una verificación confiable y solicitar que cada usuario coloque su mano en la lectora; ello corrobora la identidad y en tiempo real permite o niega el retiro de dinero en ventanilla. Los bancos están en proceso y se espera estar en reglamentación obligatoria para el 2020” auguró Jorge Domínguez, Director de Ventas para México y Centroamérica de HID Biometrics.

De hecho en otras regiones el uso de la biometría es una práctica consolidada e inclusive funciona como una forma de transaccionar con el sector financiero de manera habitual, como es Brasil con 4 billones de operaciones vía huella digital.

Tomar la oportunidad

“El tema para los canales es contar con los elementos y convertirse como primer punto, en un consultor especializado dentro de cierta gama de productos ya que cuando hablamos de seguridad se pueden ver involucrados muchos aspectos. Es raro un proyecto donde se vea un canal especializado en ambos rubros de la seguridad física e informática; aunque el cliente requiere de ambos”, comentó René Salas, Gerente de la Unidad Data Center & Security para Ingram Micro.

Como mayorista de valor, Ingram ha desarrollado una unidad con los cursos y certificaciones para tomar proyectos de cualquier complejidad. La habilidad técnica se complementa con su estrategia de Arquitectos de Soluciones, que permiten al canal propietario de la oportunidad, sub-contratar a los especialistas requeridos en un campo específico de la tecnología y llevar ante el cliente una propuesta más integral.

seg elec 65 05Esta cadena que se complementa con el portafolio y los ingenieros de preventa Ingram para lograr el dimensionamiento correcto y evitar fallas cuando llegue el momento de la implementación. De esta manera la credibilidad del canal se consolida porque toda la cadena de apoyos tienen ante el cliente el nombre y logo del canal líder; al mismo tiempo se mantiene la confianza en el resto de la cadena de valor, al apartar de la ecuación posibles complicaciones técnicas. La iniciativa tiene más de 3 años de operar, y el área de servicios en concreto poco más de 2 años, ambos con resultados a la alza.

Al considerar el tamaño de la oportunidad que significa un lead de la vertical financiera es probable que un canal observe un avance más despacio por temas de financiamiento; en ese sentido el gerente de Ingram Micro agregó que las cadenas productivas se suman a sus esquemas tradicionales de crédito para agilizar proyectos en términos de presupuesto. Debido a su nivel de flexibilidad y la posibilidad de combinar los diversos músculos económicos a los cuales tenga acceso el canal interesado es posible tener una ventaja competitiva que le ayudará a cerrar con mayor facilidad cualquier proyecto.

Siguientes pasos

La industria de seguridad física también está consciente de que debe mantenerse a la vanguardia y facilitar la gestión, por lo que de forma reciente Pelco ha implementado una plataforma Cloud donde se puede gestionar y aplicar las políticas de seguridad, verificar que el sistema se encuentre activo, cumplir con la normatividad competente y mantener la plataforma actualizada para evitar vulnerabilidades.

“Video Xpert puede gestionar desde una plataforma única la integración de equipos como el control de acceso y alarmas, entre otros elementos. Es posible iniciar con una arquitectura local y crecer hasta un nivel empresarial con múltiples sitios, pero con la ventaja de tener un tablero centralizado y de alta disponibilidad”, agregó el directivo de Pelco.