FFIEC emite una guía actualizada sobre autenticación y acceso a servicios y sistemas de instituciones financieras
El Consejo de Examen de Instituciones Financieras Federales de EE.UU. (FFIEC por sus siglas en inglés) publicó una guía titulada Authentication and Access to Financial Institution Services and Systems –Autenticación y Acceso a Servicios y Sistemas de Instituciones Financieras— para proporcionar a las instituciones financieras ejemplos de principios y prácticas de gestión de riesgos efectivos para el acceso y la autenticación. Estos principios y prácticas se dirigen a clientes comerciales y consumidores, empleados y terceros que acceden a los servicios de banca digital y a los sistemas de información de las instituciones financieras.
La guía destaca las prácticas de gestión de riesgos que respaldan la supervisión de las soluciones de identificación, autenticación y acceso como parte del programa de seguridad de la información de una institución.
El FFIEC es un organismo interinstitucional formal facultado para prescribir principios uniformes, estándares y formularios de informe para el examen federal de las instituciones financieras por la Junta de Gobernadores del Sistema de Reserva Federal (FRB), la Corporación Federal de Seguros de Depósitos (FDIC), la Administración Nacional de Cooperativas de Ahorro y Crédito (NCUA), la Oficina del Contralor de la Moneda (OCC) y la Oficina de Protección Financiera del Consumidor (CFPB) y hacer recomendaciones para promover la uniformidad en la supervisión de las instituciones financieras.
La Guía reemplaza la publicación de la FFIEC Authentication in an Internet Banking Environment (2005) –Autenticación en un Entorno Bancario por Internet—y Supplement to Authentication in an Internet Banking Environment (2011) –Suplemento para la Autenticación en un Entorno Bancario por Internet—, que proporcionaban prácticas de gestión de riesgos para las instituciones financieras que ofrecen productos y servicios basados en Internet. Esta nueva guía reconoce los riesgos significativos asociados con el panorama de amenazas a la seguridad cibernética que refuerzan la necesidad de que las instituciones financieras autentiquen de manera efectiva a los usuarios y clientes para proteger los sistemas de información, las cuentas y los datos. La guía también reconoce que las consideraciones de autenticación se han extendido más allá de los clientes e incluyen empleados, terceros y comunicaciones de sistema a sistema.
La guía destaca las prácticas de gestión de riesgos que respaldan la supervisión de las soluciones de identificación, autenticación y acceso como parte del programa de seguridad de la información de una institución.
Las evaluaciones de riesgo periódicas informan las decisiones de la institución financiera sobre las soluciones de autenticación y otros controles que se implementan para mitigar los riesgos identificados. Cuando una evaluación de riesgos indica que la autenticación de un solo factor con seguridad en capas es inadecuada, la autenticación de múltiples factores (MFA) o los controles de fuerza equivalente, combinados con otros controles de seguridad en capas, pueden mitigar de manera más efectiva los riesgos asociados con la autenticación.
Las instituciones financieras están sujetas a varios estándares de seguridad y solidez, como el estándar para tener controles internos y sistemas de información que sean apropiados para el tamaño y complejidad de la institución y la naturaleza, alcance y riesgo de sus actividades. La aplicación de los principios y prácticas de esta guía, según corresponda al perfil de riesgo de una institución financiera, puede respaldar la alineación con dichos estándares de seguridad y solidez.
Un programa de autenticación eficaz también puede respaldar la alineación con otras leyes y regulaciones. Por ejemplo, el programa de autenticación de una institución financiera puede respaldar el cumplimiento de las leyes de protección financiera del consumidor y de las leyes que abordan los requisitos del Programa de identificación de clientes (CIP) y Diligencia debida del cliente (CDD), la prevención del robo de identidad, entre otros. Esta Guía no interpreta ni establece un estándar de cumplimiento en relación con estas leyes ni impone nuevos requisitos regulatorios a las instituciones financieras.
La guía establece principios y prácticas de gestión de riesgos que pueden respaldar la autenticación de una institución financiera de
- los usuarios que acceden a los sistemas de información de la institución financiera, incluidos empleados, miembros de la junta, terceros, cuentas de servicio, aplicaciones y dispositivos (colectivamente, usuarios) y
- clientes consumidores y clientes comerciales autorizados para acceder a los servicios de banca digital.
La aplicación de estos principios y prácticas puede variar en las instituciones financieras con base en su respectiva complejidad operativa y tecnológica, evaluaciones de riesgo y apetitos y tolerancias de riesgo.
• Realización de una evaluación de riesgos para el acceso y autenticación a la banca digital y los sistemas de información.
• Identificar a todos los usuarios y clientes para los que se necesitan controles de autenticación y acceso, e identificar a aquellos usuarios y clientes que puedan justificar controles de autenticación mejorados, como MFA.
• Evaluar periódicamente la efectividad de los controles de autenticación de usuarios y clientes.
• Implementar seguridad por capas para una mayor protección contra el acceso no autorizado.
• Monitoreo, registro y reporte de actividades para identificar y rastrear el acceso no autorizado.
• Identificar los riesgos e implementar controles de mitigación para los sistemas de correo electrónico, el acceso a Internet, los centros de atención telefónica del cliente y las mesas de ayuda de TI internas.
• Identificar los riesgos e implementar controles de mitigación para el acceso de una entidad autorizada por el cliente a los sistemas de información de una institución financiera.
• Mantener programas de concientización y educación sobre riesgos de autenticación para usuarios y clientes. • Verificar la identidad de usuarios y clientes.