Es un proceso continuo que engloba tres fases:
- Un banco debe dieñar un proceso analítico para identificar riesgos y, si fuera posible, cuantificarlos. En el caso de que los riesgos no pudieran ser cuantificados, la gestión podría identificar los riesgos potenciales y establecer las pautas para tratarlos y limitarlos. La gestión bancaria debería estimar la magnitud del impacto asociada a los riesgos (incluyendo el impacto máximo potencial) y la probabilidad de que tal suceso ocurriese.
- Un segundo paso en la valoración del riesgo consistiría en determinar el nivel de tolerancia al riesgo, basado en una valoración de las pérdidas que el banco podría soportar en el caso de que un riesgo se materializase.
- Finalmente, habría que comparar, por un lado la tolerancia y, por otra, la valoración de los riesgos, para ver si la exposición a los mismos se encuentra dentro de los límites de tolerancia.
GESTIÓN Y CONTROL
Una vez realizada la valoración y la tolerancia al riesgo, la gestión bancaria debería gestionar y controlar dicho riesgo. Esta fase incluye actividades tales como la aplicación de medidas de seguridad, coordinación de la comunicación interna, evaluación de productos y servicios, implantación de medidas para asegurar que los riesgos externos son controlados y gestionados, suministrar información al cliente y desarrollar planes de contingencias.
Sería recomendable que el departamento encargado de hacer cumplir los límites de riesgo sea independiente de la unidad de negocio dedicada a la banca electrónica, así como definir y establecer las políticas y procedimientos en documentación escrita.
Entendemos por seguridad una combinación de sistemas, aplicaciones y de controles internos utilizados para salvaguardar la integridad, autenticidad y confidencialidad de los datos y procesos operacionales. Una buena seguridad descansa en el desarrollo y aplicación de adecuadas políticas y medidas de seguridad en los procesos internos del banco, y en la comunicación con terceros ajenos a él. De esta forma, se puede limitar el riesgo de ataques internos y externos en la banca electrónica, así como el riesgo reputacional producido por rupturas de seguridad.
Una política de seguridad debe establecer los parámetros que definan la tolerancia al riesgo del banco y, así cogarantizar el cumplimiento de las medidas de seguridad y establecer procedimientos que evalúen la ejecución de la política, las medidas disciplinarias y la comunicación de posibles violaciones en la seguridad.
Las medidas de seguridad son combinaciones de herramientas de hardware, software y gestión de personal que contribuyen a construir sistemas seguros. Los bancos pueden elegir entre una variedad de medidas para prevenir o mitigar los ataques internos y externos y malos usos en la banca electrónica. Estas medidas pueden incluir, por ejemplo, la password, control de virus, registro del empleado, etc. La password, la contraseña y los números de identificación personal son técnicas para controlar el acceso e identificar al usuario. Los firewalls son combinaciones de hardware y software que controlan y limitan el acceso interno y externo a sistemas conectados en redes como Internet. Los firewalls pueden separar segmentos de redes internas utilizando la tecnología de Internet (intranet). Su tecnología puede ser un medio efectivo para controlar el acceso y salvaguardar los datos confidenciales. Un diseño bien planificado debería incluir requerimientos de seguridad amplios, claros procedimientos de operación, separación de deberes, y selección de personal de confianza que fuera responsable de la configuración y operación de un firewall.
Aunque los firewalls investigan los mensajes que entran, no necesariamente protegen de la infección de virus bajados de Internet. Como consecuencia, se deberían desarrollar controles preventivos y de detección para reducir la probabilidad de ataques de virus y de destrucción de datos.
Los programas para mitigar el riesgo de virus pueden incluir controles de la red, seguimiento de los usuarios, software antivirus, etc. No todas las amenazas de seguridad son externas; la banca electrónica debe estar salvaguardada con respecto a actividades no autorizadas llevadas a cabo por los empleados presentes y pasados. Para proteger la seguridad del sistema hay que tomar precauciones, controlando a los nuevos empleados, a los temporales y a los consultores.
Los riesgos operacional, reputacional, etc., pueden ser controlados si los gestores comunican al departamento de control de riesgo la importancia de la banca electrónica sobre el conjunto de objetivos del banco. Al mismo tiempo, el departamento técnico debería comunicar claramente cómo está diseñado el sistema para que funcione, así como sus debilidades y amenazas. Tales procedimientos pueden reducir el riesgo operacional de estructuras de diseño limitado, incluyendo la incompatibilidad de sistemas dentro de la organización bancaria; problemas de integridad de datos; el riesgo reputacional asociado a la insatisfacción del cliente con relación al funcionamiento del sistema; y riesgo de liquidez y de crédito. Para asegurar la adecuada comunicación interna, todas las políticas y procedimientos deberían ser suministrados de forma escrita. Además, los gestores deberían adoptar una política corporativa de educación y potenciación de perfiles y conocimientos, coherente con las innovaciones tecnológicas, con el fin de limitar los riesgos operacionales derivados de una carencia de gestión experta. La implantación del sistema puede incluir un curso técnico de trabajo, así como tiempo para que el departamento se adapte a la evolución del mercado.
La evaluación de productos y servicios antes de que sean lanzados definitivamente al mercado puede también contribuir al control del riesgo operacional y reputacional, en la medida en que la validación permite conocer si el sistema funciona correctamente y produce los resultados deseados. Los programas pilotos y los prototipos resultan muy útiles en el desarrollo de nuevas aplicaciones.
Una tendencia creciente en la industria bancaria consiste en centrarse estratégicamente en sus competencias principales y delegar a terceros expertos otras actividades. Aunque estos acuerdos pueden ofrecer beneficios tales como la reducción de costes y las economías de escala, sin embargo no liberan al banco de la última responsabilidad en cuanto al control de riesgo en sus operaciones. Consecuentemente, los bancos deberían adoptar políticas para limitar los riesgos derivados de estos proveedores de servicios. Por ejemplo, la gestión bancaria debería llevar un seguimiento de la ejecución operacional y financiera de sus proveedores de servicios; asegurar que las relaciones contractuales entre las partes, así como las obligaciones de cada una de ellas, son claramente entendidas y definidas por escrito, y mantener un acuerdo de contingencia para cambiar de proveedor de servicio rápidamente si fuera necesario.
La seguridad de la información delicada del banco es de crítica importancia. El acuerdo de outsourcing obliga al banco a compartir estos datos reservados con los proveedores de servicios. La gestión bancaria debería evaluar la habilidad del proveedor de estos servicios para mantener el mismo nivel de seguridad que el obtenido para las actividades llevadas desde el banco, a través de una revisión de las políticas y procedimientos encaminadas a proteger esta información por los proveedores de servicios. Adicionalmente, la banca que opte por el outsourcing deberá tener el derecho a evaluar la competencia y la ejecución operacional y financiera de los proveedores de servicios.
Las demostraciones y la educación o adiestramiento del cliente pueden ayudar al banco a limitar el riesgo legal y reputacional. Se trata de programas para familiarizar al cliente con los nuevos productos y servicios, con las comisiones inherentes a los mismos, y con los procedimientos de resolución de errores y problemas. Todo ello facilita a los bancos cumplir con las leyes de protección al consumidor.
Explicaciones sobre la naturaleza de la relación bancaria incluida en la página web pueden reducir el riesgo legal derivado de problemas con los servicios o productos ofrecidos en la misma.
Un banco puede limitar el riesgo de ruptura en los procesos internos o en el suministro de un producto/servicio gracias a los planes de contingencia que establecen un curso de acción en el caso de que se produzcan rupturas en la provisión de servicios electrónicos. El plan debería incluir: recuperación de datos, procesos alternativos de datos, servicios de emergencia y de apoyo al cliente... Los sistemas de backup deberían ser testados periódicamente para garantizar su efectividad. En definitiva, los bancos deben asegurar que sus operaciones de banca electrónica son tan seguras como sus operaciones corrientes.
Un importante aspecto de la banca electrónica es la dependencia de otras empresas: vendedores de hardware, software, proveedores de Internet, compañías de telecomunicaciones, etc. La gestión bancaria debe insistir en que tales proveedores de servicios tengan capacidades de bakup.
Además, en la gestión deben pronosticarse acciones compensatorias, que pudieran llevarse a cabo cuando los proveedores de servicios provocasen perjuicios al cliente bancario. Estos planes podrían incluir contratos a corto plazo con otros proveedores y una política que describiese cómo el banco tratará las pérdidas del cliente asociadas con la ruptura del servicio. Los bancos deberían también considerar la facultad de reservarse el derecho de cambiar de proveedores en cualquier momento si fuese necesario.
Los planes de contingencia pueden también contribuir a limitar el riesgo reputacional derivado de las propias acciones del banco, o de problemas experimentados por otras instituciones que ofrecen servicios similares de banca electrónica. Por ejemplo, los bancos podrían establecer procedimientos para tratar los problemas de los clientes durante las interrupciones del sistema
