Bankinter mejora su seguridad informática gracias a las buenas prácticas
La entidad obtuvo hace un año la certificación ISO 27001
La importancia de asegurar unas buenas prácticas dentro del sector financiero como forma de mantener la confianza de los clientes está haciendo que las entidades se planteen la certificación, mediante auditoría, de sus procesos. Es el caso de Bankinter, que consiguió, hace casi un año y tras la ejecución de un proyecto de certificación que duró dos, que sus sistemas de seguridad informática se acojan a la norma ISO 27001.
Bankinter se convirtió en 2006 en la primera entidad financiera española en adherirse a la certificación internacional ISO 27001, la cual garantiza una serie de estándares en los sistemas que gestionan la seguridad sus plataformas y sistemas informáticos. Esta certificación, otorgada a la entidad por la British Standard Institution (BSI), alude a los procesos de identificación, autenticación, firma de operaciones financieras y sus respectivas evidencias electrónicas a través del canal Internet.
La certificación responde a la estrategia de Bankinter, que está llevando a cabo una importante potenciación de la banca a distancia, en especial de la banca a través del móvil y de Internet, algo que requiere garantizar que el banco puede hacer frente sin problemas a las amenazas que surgen en este ámbito.
Según explica Javier Valdés, director de seguridad informática de Bankinter, uno de los principales objetivos era constatar “cuán lejos o cerca estábamos de lo que se pudieran considerar mejores prácticas a nivel internacional”. A través de este proceso la compañía pudo, según indica este responsable, “localizar las distintas áreas de mejora que debíamos de afrontar, especialmente en lo que se refiere a formalización de controles, documentación y todo el conjunto de cosas que, en un universo orientado al pragmatismo inmediato, se pueden ir dejando a un lado”.
La entidad, por tanto, ha sido sometida a un proceso de revisión exhaustiva de los aspectos organizativos y técnicos asociados a la gestión de la seguridad y la detección y gestión de riesgos. “Lo importante no era la certificación, sino el camino que nos íbamos a ver obligados a recorrer para lograrlo”, concluye Valdés.
El proyecto
El proyecto completo de certificación tuvo una duración de dos años, desde el momento en que se planteó la iniciativa por primera vez hasta que se consiguió la certificación, aunque, según explica el directivo, no todo el tiempo ha tenido la misma exigencia de concentración y las primeras fases tenían más un objetivo de lanzamiento del proyecto y coordinación de la participación: “El proyecto de certificación neto podemos decir que tuvo una duración aproximada de un año”.
De este año, la implantación de todos los controles incluidos en la norma ha requerido unos seis meses de trabajo. Los otros seis meses se han dedicado a la maduración del sistema, como requisito previo a la certificación.
Uno de los primeros requisitos fue la elaboración de un análisis de riesgos formalizado, algo que todos los manuales de buenas prácticas recomiendan tener siempre actualizado. Esta parte del proyecto ha traído beneficios claros para Valdés: “Hemos ido perfeccionando sistemas que nos permiten actualizar el mapa de riesgos con relativa facilidad, sin tener que reinventar la rueda en cada ocasión”.
A continuación, y partiendo de ese análisis de riesgo, se analizaron uno a uno los controles que podían aminorar los riesgos detectados y se establecieron los puntos que necesitaban acciones de mejora. Dentro de esta fase, una parte sustancial del trabajo tuvo que ver con la coordinación de las diferentes áreas implicadas en el proceso de seguridad: entre otras, recursos humanos, asesoría jurídica, responsables de inmuebles, áreas de negocio, seguridad física…
Una de las características de todo el proceso de certificación, en palabras del directivo “es que ésta no fue creada artificialmente”. Es decir, la entidad no construyó nada ad hoc para obtener el certificado, sino que perfeccionó y sometió sus sistemas a un juicio externo. “Hubo que mejorar cosas, pero ninguna de estas mejoras supuso cambios radicales. Tales cambios ya habían tenido lugar anteriormente, de forma progresiva a lo largo de años, en la construcción de los sistemas de defensa y reacción”, explica.
Confianza
Para cualquier banco es prioritario tener unos buenos sistemas de seguridad que aporten garantía y respondan ante las contingencias. Bankinter planteó el proyecto que llevó a la entidad a obtener la certificación como un medio para lograr una mejor ejecución en este ámbito y la obtención de la misma como una garantía de buenas prácticas. “La certificación no era más que un medio para lograr un mayor perfeccionamiento y su consecución no es otra cosa que la constatación de que ese camino se ha recorrido”, explica el directivo, quien añade que el certificado es una forma de que “quede claro” que la entidad “está a la altura de la confianza que pedimos que el cliente deposite en nosotros”.
Para Valdés, “esta certificación es posiblemente la mejor de las opciones en cuanto a estrategia, ya que muestra que el camino hacia el seguimiento de estándares cada vez más completos en muy distintos ámbitos de la TI”.
Desde el área de seguridad informática que encabeza este directivo existe la intención de continuar explorando otros ámbitos de posible certificación. Otras áreas en las que se están estudiando otros estándares y procesos de mejora con un enfoque muy similar son gestión de sistemas, continuidad de negocio, calidad o atención a usuarios.
Bankinter se convirtió en 2006 en la primera entidad financiera española en adherirse a la certificación internacional ISO 27001, la cual garantiza una serie de estándares en los sistemas que gestionan la seguridad sus plataformas y sistemas informáticos. Esta certificación, otorgada a la entidad por la British Standard Institution (BSI), alude a los procesos de identificación, autenticación, firma de operaciones financieras y sus respectivas evidencias electrónicas a través del canal Internet.
La certificación responde a la estrategia de Bankinter, que está llevando a cabo una importante potenciación de la banca a distancia, en especial de la banca a través del móvil y de Internet, algo que requiere garantizar que el banco puede hacer frente sin problemas a las amenazas que surgen en este ámbito.
Según explica Javier Valdés, director de seguridad informática de Bankinter, uno de los principales objetivos era constatar “cuán lejos o cerca estábamos de lo que se pudieran considerar mejores prácticas a nivel internacional”. A través de este proceso la compañía pudo, según indica este responsable, “localizar las distintas áreas de mejora que debíamos de afrontar, especialmente en lo que se refiere a formalización de controles, documentación y todo el conjunto de cosas que, en un universo orientado al pragmatismo inmediato, se pueden ir dejando a un lado”.
La entidad, por tanto, ha sido sometida a un proceso de revisión exhaustiva de los aspectos organizativos y técnicos asociados a la gestión de la seguridad y la detección y gestión de riesgos. “Lo importante no era la certificación, sino el camino que nos íbamos a ver obligados a recorrer para lograrlo”, concluye Valdés.
El proyecto
El proyecto completo de certificación tuvo una duración de dos años, desde el momento en que se planteó la iniciativa por primera vez hasta que se consiguió la certificación, aunque, según explica el directivo, no todo el tiempo ha tenido la misma exigencia de concentración y las primeras fases tenían más un objetivo de lanzamiento del proyecto y coordinación de la participación: “El proyecto de certificación neto podemos decir que tuvo una duración aproximada de un año”.
De este año, la implantación de todos los controles incluidos en la norma ha requerido unos seis meses de trabajo. Los otros seis meses se han dedicado a la maduración del sistema, como requisito previo a la certificación.
Uno de los primeros requisitos fue la elaboración de un análisis de riesgos formalizado, algo que todos los manuales de buenas prácticas recomiendan tener siempre actualizado. Esta parte del proyecto ha traído beneficios claros para Valdés: “Hemos ido perfeccionando sistemas que nos permiten actualizar el mapa de riesgos con relativa facilidad, sin tener que reinventar la rueda en cada ocasión”.
A continuación, y partiendo de ese análisis de riesgo, se analizaron uno a uno los controles que podían aminorar los riesgos detectados y se establecieron los puntos que necesitaban acciones de mejora. Dentro de esta fase, una parte sustancial del trabajo tuvo que ver con la coordinación de las diferentes áreas implicadas en el proceso de seguridad: entre otras, recursos humanos, asesoría jurídica, responsables de inmuebles, áreas de negocio, seguridad física…
Una de las características de todo el proceso de certificación, en palabras del directivo “es que ésta no fue creada artificialmente”. Es decir, la entidad no construyó nada ad hoc para obtener el certificado, sino que perfeccionó y sometió sus sistemas a un juicio externo. “Hubo que mejorar cosas, pero ninguna de estas mejoras supuso cambios radicales. Tales cambios ya habían tenido lugar anteriormente, de forma progresiva a lo largo de años, en la construcción de los sistemas de defensa y reacción”, explica.
Confianza
Para cualquier banco es prioritario tener unos buenos sistemas de seguridad que aporten garantía y respondan ante las contingencias. Bankinter planteó el proyecto que llevó a la entidad a obtener la certificación como un medio para lograr una mejor ejecución en este ámbito y la obtención de la misma como una garantía de buenas prácticas. “La certificación no era más que un medio para lograr un mayor perfeccionamiento y su consecución no es otra cosa que la constatación de que ese camino se ha recorrido”, explica el directivo, quien añade que el certificado es una forma de que “quede claro” que la entidad “está a la altura de la confianza que pedimos que el cliente deposite en nosotros”.
Para Valdés, “esta certificación es posiblemente la mejor de las opciones en cuanto a estrategia, ya que muestra que el camino hacia el seguimiento de estándares cada vez más completos en muy distintos ámbitos de la TI”.
Desde el área de seguridad informática que encabeza este directivo existe la intención de continuar explorando otros ámbitos de posible certificación. Otras áreas en las que se están estudiando otros estándares y procesos de mejora con un enfoque muy similar son gestión de sistemas, continuidad de negocio, calidad o atención a usuarios.
