EN

Seguridad de la Información

Seguridad de la Información

Una estrategia de protección ante una amenaza creciente

La seguridad de la información es una de las grandes prioridades de Bankinter. El objetivo es siempre garantizar un alto nivel de confidencialidad, integridad y disponibilidad a clientes, empleados, accionistas y proveedores. En ese sentido, durante 2018 se acometieron los proyectos acordados dentro del Plan Director de Seguridad de la Información, cuya duración se amplía hasta 2020.

El modelo para la lucha contra los ciberdelincuentes está basado en 3 líneas de defensa: la primera está formada por la tecnología, el negocio, las operaciones, etc.; la segunda la integran los órganos de control de riesgo y Cumplimiento Normativo; y la tercera línea la defiende Auditoría Interna, que vigila que la primera y la segunda línea actúen con independencia y con un enfoque de mejora continua.

Desde el punto de vista de la organización, en la primera línea se implantó un nuevo modelo dentro de la Dirección de Seguridad de la Información con tres gerencias:

  • Riesgos tecnológicos. Con foco en Cumplimiento Normativo, políticas, plan de continuidad de negocio, análisis de riesgos, etc.
  • Ciberseguridad. Su prioridad es la protección de datos de clientes, la simulación de ataques constantes contra los sistemas del Grupo y la mejora continua contra ciberataques.
  • Monitorización de la seguridad y prevención del e-fraude. Vigila las comunicaciones y las transacciones, y por otro lado analiza la seguridad de las aplicaciones.

Sobre esa nueva estructura, Bankinter emprendió en 2018 una estrategia de protección con distintas fases. En un primer momento, se procedió a sentar las bases de la nueva estrategia optimizando procedimientos como el control de acceso a la red y la protección del dato para prevenir la fuga de información.

Tras esta fase, que se prolongó hasta el primer semestre de 2018, se desplegará un conjunto de procesos que incluyen los ataques contra la infraestructura del banco, el análisis forense informático o sistemas de detección de intrusos avanzados, entre otros. Posteriormente, se acometerán proyectos más complejos, con tecnología avanzada, y se revisará el régimen de subcontratación externa en materia de ciberseguridad.

Uno de los objetivos más importantes para 2019 es la implantación de un sistema de seguridad adaptativa, que ofrecerá al cliente la posibilidad de decidir cómo gestionar su seguridad (si no quiere hacer transferencias al extranjero, si restringe la actividad de su tarjeta de crédito…), en función de su sensibilidad al riesgo.

Programas de formación

La actividad del área de Seguridad de la Información se completa con el desarrollo de planes de concienciación de los usuarios, que son el eslabón más débil de la cadena de seguridad. La entidad lleva a cabo programas de formación online para los empleados a través de la Intranet, y se realizan simulaciones para obtener información confidencial (contraseñas, datos de identificación, etc.) a través de correos electrónicos, mensajes de texto o llamadas telefónicas. El objetivo es conocer la reacción de la gente en situaciones que pueden ser explotadas por los ciberdelincuentes.

La creciente importancia de la seguridad de la información se pone de relieve con la rápida expansión del cibercrimen, cuyas actividades han evolucionado y se han hecho mucho más peligrosas. Inicialmente se trataba de prácticas individuales de hackers aficionados, cuya motivación no era fundamentalmente económica. Ahora, el cibercrimen ha creado grandes y sofisticadas estructuras empresariales que son capaces de atacar sectores económicos enteros.

El robo a empresas de datos confidenciales masivos, los ataques de acceso de servicio y el phishing (suplantación de una empresa o entidad pública para conseguir información confidencial de la víctima) son las principales estrategias de los ciberdelincuentes. Las instituciones financieras están especialmente expuestas a este tipo de manipulaciones y fraudes como consecuencia de su contacto permanente con el público y por las propias características de su negocio, parte del cual descansa sobre el sistema de pagos.

La entidad lleva a cabo programas de formación online para los empleados a través de la Intranet, y se realizan simulaciones con el fin de conocer la reacción de los empleados.

Utilizamos cookies propias y de terceros para mejorar nuestros servicios y mostrarle publicidad relacionada con sus preferencias mediante el análisis de sus hábitos de navegación. Si continúa navegando, consideramos que acepta su uso. Puede obtener más información, o bien conocer cómo cambiar la configuración en nuestra Política de cookies. Aceptar