E-Banking - Sanas Prácticas - felaban.net · canal se conforma de un aplicativo desarrollado por la entidad, que le permite al cliente el acceso a su ... acceso y de bajos costos

B.C.R.A.5e-Banking

Introducción

Este documento intenta interiorizar a sus lectores sobre la realidad actual de la Banca Electrónicay por Internet en el entorno financiero. Para ello, se ha ordenado de forma tal de proveer al nivelgerencial de conceptos que ayuden al entendimiento de las tecnologías que se encuentran direc-tamente relacionadas con estos servicios, una aproximación al análisis de los riesgos asociados alas operaciones involucradas y por último, sin pretender ser una guía a seguir en cuanto a seguri-dad informática, una serie de conceptos y lineamientos generales para su administración.

Se espera que el presente trabajo permita el acercamiento de los niveles no especializadostécnicamente a los principales conceptos y aspectos de e–Banking, poniendo énfasis en la difusiónde los desafíos de administración del riesgo de estas actividades a nivel del Directorio y la Gerencia.

No se pretende definir conceptos técnicos específicos o brindar estándares relativos ae–Banking, especialmente considerando que corresponde a las entidades analizar en profundidadla naturaleza de estas actividades y el impacto en su perfil global de riesgo, así como evaluar lasacciones más adecuadas para su gerenciamiento en un entorno con rápidos cambios.

Asimismo, es deseo de esta comisión brindar a las entidades un canal de comunicación quepermita en el futuro hacerles llegar actualizaciones y/o avisos sobre novedades y documentaciónrelevante. Las entidades interesadas en acceder a la información antes mencionada podrándirigirse a la dirección de mail: [email protected]

Integrantes de la Comisión de e–Banking Superintendencia de Entidades Financieras y CambiariasBanco Central de la República Argentina

Dr. Rubén MarascaSubgerente General de Análisis y Auditoría

Dr. Marcelo D. FernándezGerente de Auditoría Externa de Sistemas

Dra. Silvia NúñezInspectora General de Control de Auditorías

Lic. Marcelo H. GonzálezInspector General de Auditoría Externa de Sistemas

Lic. Carlos A. BiancoInspector de Auditoría Externa de Sistemas

Breve descripción de la evoluciónde los entornos tecnológicos de procesamiento . . . . . . . . . . . . . . . . . . . . .9

Canales electrónicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11

Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13

La evolución de la Banca Electrónica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15

Riesgos en e–Banking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29

Administración del riesgo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .37

Controles internos de tecnología en e–Banking . . . . . . . . . . . . . . . . . . . . .41

Sanas Prácticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .45

Conclusiones finales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .57

Glosario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .59

Fuentes de documentación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .61

B.C.R.A.7e–Banking

Indice

Etimológicamente, “tecnología” se define comoarte de la generación; por extensión, se concluyeque “tecnología informática” se considera al artede la generación de servicios de información ytelecomunicaciones. Estos servicios deberán sercontrolados en forma íntegra, adecuada y eficiente.

Durante las décadas del 70 y 80, los riesgos deTecnología Informática (T.I.) se reducían al espaciofísico del centro de procesamiento de datos. Enesas décadas, la ventaja determinante del proce-samiento era la rapidez en la generación deinformación contable versus la convivencia conregistros contables manuales.

Se verificaba una casi inexistente segregaciónde responsabilidades en la prestación de los servi-cios de análisis, diseño, programación, operación,gerenciamiento y seguridad informática, siendo elprincipal usuario de dichos servicios el personalinterno de la entidad, y no se evidenciaba laexistencia de sistemas de información de gestión.

Con el advenimiento masivo a mediados de ladécada del 80 de redes de microcomputadoresLAN (Local Area Network) en nuestro país, el iniciodel cableado y la conectividad a través de dispositi-vos de comunicación aún rudimentarios, seampliaron los riesgos de seguridad física y lógicaexistentes.

En ese momento comenzaron a surgir eviden-cias de una clara separación de responsabilidadesentre administración de seguridad, desarrollo yprogramación. La ventaja determinante en estaetapa fue la reducción de tareas por la distribuciónde las redes para la realización de labores de oficinay complementarias al procesamiento central.

Seguidamente, comenzó la complementaciónde datos compartidos entre el “host” central y losmicrocomputadores interconectados, disminu-yendo en forma paulatina la existencia de registroscontables manuales y ampliándose la índole ycantidad de usuarios de los servicios de procesa-miento dentro del personal interno de la entidad.

A fines de la década del 80 se produjo uncambio estructural de los entornos de T.I. con eldespegue de las telecomunicaciones globales.

Durante la década del 90 se hizo masiva lacreación de redes WAN (Wide Area Network),iniciándose la convivencia de la antigua arquitectura“host”, cuyos datos estaban físicamente centraliza-dos, con una nueva arquitectura “cliente / servidor”,donde un servidor (lugar donde se localizan losdatos) distribuye a quien lo solicite los datos que seactualizan en una gran base. De esta manera, semodifica la filosofía tecnológica de “archivo físico” auna nueva filosofía definida como “base de datos”.

Este momento determina el inicio de la comuni-cación satelital masiva. Con la reducción notoriadel cableado, la conectividad pasa a tener un rolprincipal. Se generan auditorías especializadas, sedeterminan nuevos objetivos de control, seobserva una mutación de los perfiles de riesgotradicionales, y se incrementa la importanciarelativa de la seguridad informática.

La existencia de registros contables totalmentemanuales sólo es aceptable bajo condicionescontingentes, y fundamentalmente se amplía laíndole, cantidad y conocimientos de usuarios delos servicios de procesamiento dentro y fuera de laentidad financiera, avanzando en la implementa-ción de nuevas técnicas de administración,gerenciamiento y sistematización de la informaciónde gestión para la toma de decisiones.

Internet, ideado en la década anterior, surge ennuestro país a principios de la década del 90. Estesuceso, y la proliferación de diversos recursostecnológicos que han sido los facilitadores de laintegración de los procesos de negocio (computa-ción portátil, computación móvil y otros) conlleva auna evolución continua del área de tecnologíainformática, mejoran las comunicaciones locales yse integran a las telecomunicaciones globales,generando un solo conjunto heterogéneo de lasdistintas conectividades, redes y arquitecturasmencionadas.


Breve descripción de la evolución de los entornos tecnológicos de procesamiento

Se entiende por canal electrónico al conjuntode dispositivos tecnológicos, que permiten unainterfase con el cliente, posibilitando el transportede información y una comunicación remota dedicho cliente con el ambiente de tecnología deinformación del banco para la generación detransacciones.

Debe considerarse que no importarán lascaracterísticas del canal electrónico en particular,sino que las transacciones sean imputadas“online”, a una base de datos común y con dígitosidentificatorios únicos, que distingan cuál ha sido elcanal utilizado para su concertación.

Dentro de los canales electrónicos relevantesse encuentran:

PC Banking

Si bien su uso se encuentra en retroceso, estecanal se conforma de un aplicativo desarrollado porla entidad, que le permite al cliente el acceso a suinformación financiera, consultas y transferencias.

El cliente debe poseer un “modem” y una líneatelefónica. Presenta como ventaja que el usuariopuede bajar la información necesaria y trabajar “offline”. Su desventaja es el mayor costo para elcliente por mantenimiento, distribución e imple-mentación de nuevas versiones de la aplicación.

Banca Telefónica

En la actualidad, este canal es el más utilizadopor los clientes para realizar operaciones financie-ras. Es altamente dependiente de la tecnología decomunicaciones: la mayoría de las llamadas seenvían a contestadores inteligentes, sin necesidadde instalación de “call centers” físicos.

Es la alternativa ideal para aquel cliente que noposea otros canales, al no requerir un software paraacceso a los productos o actualizaciones. Es de fácilacceso y de bajos costos transaccionales en relacióncon la banca física.

Cajero Automático (ATM)

Canal electrónico conformado por un disposi-tivo que, conectado a una red propietaria, envía y

recibe información de un computador central quelo identifica y procesa.

Este canal ha tenido un crecimiento exponen-cial durante los últimos años. Puede conectarsedirectamente a entornos de procesamiento centra-les o a sistemas de sucursales.

Tanto el hardware como el software se implementan de forma modular, por lo que suactualización no requiere la sustitución de launidad. Esto permite un costo de mantenimientoreducido y puede ser configurado remotamente.

Su utilización supone un ahorro en personal eincluso en el número de oficinas bancarias, y en laactualidad, las entidades los utilizan como unaimportante herramienta de marketing.

Video kiosco

Sistema interactivo, que permite al cliente ver ycomunicarse con un gestor del banco a través de videoy monitor.

Si bien éste canal aún no ha avanzado ennuestro país, se le augura un prometedor futuro,debido a su capacidad para atraer un alto númerode usuarios y a sus bajos costos relativos.

Tarjetas inteligentes

Si bien su uso aún no está instalado en nuestropaís, se trata de tarjetas multifuncionales que,incorporando un microprocesador, podrán abarcardistinta información del titular de las cuentas;dentro de ellas cabe destacar el “monederoelectrónico” (e-Money).

E.D.I. (electronic data interchange)

Este canal permite el intercambio de infor-mación entre empresas de manera segura. Las empresas pueden ser pymes o corporativas,con tecnologías distintas pero compatibles entre sí.

Actualmente su principal servicio es el de inter-cambio de facturas, órdenes de compra, etc., y sucomunicación se establece sobre líneas privadas oredes propietarias.


Canales electrónicos

Muestra como ventaja la reducción de lostiempos de gestión y los costos de producción, ycomo debilidades, que el número de empresasque utilicen este canal deberá ser masivo paralograr una mayor eficiencia, situación que en laactualidad no se presenta.

Para grandes clientes, ciertas entidades finan-cieras ponen a disposición este canal electrónico através de la instalación del hardware y softwarenecesarios para la conexión interna de dichosclientes con el centro de procesamiento de datosde la entidad.

P. o. S. (point of sale)

Dispositivo utilizado para la automatización engrandes comercios minoristas. Tiene comoobjetivo facilitar la venta al consumidor. En generalse lo utiliza como “input” de transacciones comer-ciales con tarjetas de crédito/débito.

Tiene la ventaja de reducir el tiempo deaprobación de la transacción comercial, y comodebilidad, los problemas de seguridad, disposi-ción física y confidencialidad.

Banca Móvil (m–Banking)

Este canal puede ofrecer diversos servicios a través de celulares, “handies” y “pagers”; puedeser utilizado como receptor de mensajes financie-ros, y como un canal de soporte de tecnología “sincable” que le permitirá al cliente operar vía Internet,pudiendo conformar lo que se denomina en laactualidad como PAN (Personal Area Network –Red de Area Personal).

Su principal ventaja es la facilidad otorgada por la movilidad, y su debilidad, similar a la bancatelefónica, es su gran dependencia de la homoge-neización global de los avances de lascomunicaciones.

Internet banking

Puede definirse como el conjunto de serviciosutilizados por los clientes, a fin de acceder a suscuentas y a cualquier otra información o productoofrecido por las entidades financieras, mediante eluso de herramientas informáticas, a través delcanal de Internet.

Sanas Prácticas 12 e–Banking

Internet tiene sus orígenes a comienzos de ladécada del ’70, como una red denominadaArpanet, establecida por la Agencia de Proyectosde Defensa de los EE.UU.

A finales de esa década surgieron otras redesglobales, como la UUCP (Unix to Unix CopyProtocol), que era un conjunto de miles de compu-tadoras Unix. Ya en la década del 80 aparecenmega redes como Bitnet, Csnet y otras.

Este conjunto de redes privadas (Cerfnet, Bitnet), gubernamentales (Arpanet, Nsfnet, Scnet) yotras (UUCP), iniciaron un proyecto conjunto y llegaron a ser conocidas como INTERNET,mediante un proyecto que se inició en la NationalScience Foundation (NSF), la cual creó una red de supercomputadores conectados a lo largo yancho de EE.UU., siendo los usuarios inicialescientíficos e investigadores. La red de alta veloci-dad que conectó la NSF fue el embrión de Interneten EE.UU.

Actualmente se configura en “links” (conexio-nes) de alta capacidad, usando líneas telefónicas,microondas, láser, fibra óptica y satélites conecta-dos a redes, sitios computarizados y usuarios através del mundo.

También se consideran sus orígenes en 1989,en un laboratorio Europeo de Física de Partículas(CERN). Los investigadores querían un métodoúnico que realizara la actividad de encontrar ciertainformación, la trajera a la computadora, y lespermitiera ver algún documento y/o gráfico a travésde una interfase única, eliminando la complejidadde diversas herramientas.

Cuando Internet se hizo visible más allá de lascomunidades científicas y de investigación, ungrupo de compañías privadas, proveedoras dedistintos servicios, consideró su existencia.

Estos proveedores son los que a fines de ladécada del 80 construyeron la gran mayoría de líneas de entrada a la comunicación de losusuarios de Internet.

A finales de 1990, los investigadores ya tenían“browsers” (navegadores de Internet) en modotexto y muy pocos en modo gráfico.

En 1992 se difunden para el público engeneral y a medida que fueron avanzando, seagregaron interfases a otros servicios, entre elloslos bancarios.

La comunidad de Internet adoptó rápidamenteesta herramienta y comenzó a crear sus propiosservidores de www (World Wide Web) para publi-car información.

A finales de 1993 los “browsers” se habíandesarrollado para una gran variedad de computa-doras y sistemas operativos, y desde allí a la fecha,la Web es una de las formas más populares deacceder a los recursos de la red.

Para acceder a la Web se debe ejecutar en la computadora cliente un “browser”: ésta es unaaplicación que sabe cómo interpretar y mostrardocumentos hipertextuales. Un documento hipertextual es un texto que contiene vínculos con otros textos, gráficos, sonido, video y animaciones.

Cuando recuperamos un documento de laWeb, este es con formato y puede ser visto endistintas computadoras. Para asegurar unaadecuada imagen existe un formato o lenguajellamado HTML (Hiper Text Mark-up Language), quees un conjunto de instrucciones sencillas queindican como se estructura ese documento. El “browser” interpreta los comandos HTML ypresenta el documento formateado para su visiónpor el usuario.

La Web convierte el acceso a Internet en algosencillo para el público en general, lo que permitióque experimentara un crecimiento explosivo.

Es relativamente sencillo recorrer la Web ypublicar información en ella. Las herramientas de laWeb crecieron a lo largo de los últimos años hastaser las más populares.

La Web permite unir información que está en un extremo del planeta con otra que se encuentra en lugar distante a través de algo que se denomina hipervínculo. Al hacer “click” sobreéste, nos comunica con el otro sector deldocumento o con otro documento en otro servidorde información.


Internet

Las autopistas de información serán el soporteprincipal en el futuro de la banca electrónica.

Los principales problemas a evaluar en Internetse basan en la seguridad de las transaccioneseconómicas, afectando elementos fundamentalescomo los pagos seguros y la confidencialidad delas transacciones.

Actualmente, se están desarrollando herra-mientas de seguridad para la Red, basadas ensistemas que permitan que los códigos secretos ylos números de tarjetas no circulen por la misma, osi lo hacen, sea en forma segura y confidencial.

Con la banca electrónica se pueden prestarservicios de valor agregado que compensen losestrechos márgenes financieros. De igual manera,se plantea el reto de reducir los costos para losclientes menos rentables. Esto implica la ejecuciónde estrategias para todos los nuevos perfiles quese presenten sobre los riesgos tradicionales.


Entendemos por Banca Electrónica alconjunto de facilidades concedidas por las entida-des financieras a sus clientes mediante distintoscanales electrónicos, a fin de acceder remota-mente a los servicios y productos ofrecidos.

El desarrollo de nuevas tecnologías enfrenta alas entidades financieras en un entorno competitivoradicalmente distinto del precedentementeconocido.

La banca a distancia facilita el acceso a lasoperaciones y disminuye los costos operativos.Con esto se consiguen dos objetivos: mayorcomodidad para el cliente y reducción de costos de la administración global de las entidades financieras.

Tiempo atrás, el papel predominante en lacaptación de clientes era la distribución geográfica.En consecuencia, la sucursal bancaria se conside-raba como elemento competitivo fundamental.

Actualmente, la sucursal bancaria estáperdiendo peso como único punto de referenciaen la distribución bancaria y tiende a ser cada vezmás pequeña. Por lo tanto, deja de ser intere-sante la concentración geográfica.

Una de las misiones de los bancos consiste enser capaces de anticiparse a los futuros hábitos decompra de los clientes.

La idea de que el cliente bancario valora elcontacto personal, va quedando matizada en elsentido de que valora preferentemente el serviciopersonalizado antes que dicho contacto, siendolos clientes de renta alta y los más jóvenes los quemás valoran el precio y la rapidez.

La banca electrónica deberá ser consideradacomo un nicho de mercado y como un intento de anticipación a los cambios que se estánproduciendo.

El principal riesgo de la anticipación en bancaelectrónica es equivocarse con la tecnologíaescogida o errar en el “timing”.

El éxito de la banca electrónica va a dependercada vez más de la capacidad de la entidad finan-

ciera para ofertar sus productos de forma eficientey eficaz, ofreciendo operaciones sencillas, quepuedan resultar de uso masivo, pues las elevadasinversiones en tecnología llegan a ser rentablessobre la base de un alto número de clientes y detransacciones.

Un riesgo crítico que plantea la banca a distan-cia en las entidades financieras, desde el foco deestrategia comercial, es que se produzca unasobreoferta y superposición de productos, alvenderse a través de diferentes canales de distri-bución con objetivos similares.

También, dependiendo del medio tecnológicoque la entidad financiera utilice para proyectarse alexterior, pueden surgir distintos riesgos desde elpunto de vista de la estrategia operacional.

Actualmente, en la Argentina, la banca adistancia se utiliza únicamente como complementoa los canales de distribución tradicionales.

Para conseguir la complementariedad de losdistintos canales, el banco deberá hacer unesfuerzo para formar a sus empleados, transmitircorrectamente a los clientes las ventajas de estasnuevas modalidades, manejar adecuadamente losriesgos tradicionales y los nuevos perfiles quepresentan éstos, y establecer prácticas y procedi-mientos para utilizar los canales emergentes.

En el futuro, la banca deberá contar con múlti-ples puntos de acceso para los clientes, sinimportarle tanto dónde se encuentren sino su dispo-nibilidad a través de los diferentes medios: el usuariovalorará menos el hecho de tener un banco cerca,que el saber que puede acceder a los servicios delbanco en cualquier momento.

Se buscará una mayor satisfacción del cliente,y la captación de nuevos clientes mediante elabaratamiento del producto virtualizado, y de estaforma se irá introduciendo masivamente el canal decomunicación con el banco convencional, pormedio de Internet y de los diferentes dispositivos ycanales electrónicos que permitan su integración.

Como ejemplo, cada transacción efectuada através de cajero automático se estima como untercio del costo que supondría su ejecución por un


La evolución de la Banca Electrónica

empleado. Con los nuevos dispositivos se sugiereun ahorro mucho mayor, dada la transferencia delos costos tecnológicos de los puntos de consultaa los clientes, pues en muchos casos estos dispo-sitivos son de propiedad de los mismos clientes yse utilizan para fines variados.

Los nuevos canales de distribución electrónicaconducen hacia el micromarketing, basado en lacapacidad tecnológica de cada grupo de clientes,a quienes se les remite la información segmentadaque conduzca a la satisfacción de sus necesida-des concretas.

Esta tendencia puede verse incrementada porla creciente desintermediación y por la menorimportancia de las fronteras, pudiendo aparecerofertas segmentadas por diversos motivos: cultura-les, religiosos, ideológicos u otros de índole similar.

Crecimiento de e–Banking

Existen numerosos factores de mercado queestán motivando a las entidades a evaluar sutecnología y analizar profundamente los efectos dela incorporación de productos y servicios relacio-nados con e–Banking y comercio electrónico en ladefinición de sus estrategias. Entre dichos factoresdel mercado se incluyen:

La competencia

Los estudios muestran que la presión competi-tiva es la fuerza conductora del uso creciente detecnología de e–Banking, posicionándose delantede la reducción de costos y del acrecentamiento delas ganancias. Los bancos ven al e–Banking comoun camino estratégico para mantener los clientesexistentes y atraer a los nuevos.

Eficiencia de costos

Las entidades financieras tienen la posibilidadde entregar los distintos servicios de e–Banking aun costo transaccional menor que el de las sucur-sales “de ladrillos” tradicionales.

Los costos actuales para ejecutar una transacciónvariarán dependiendo del canal de entrega utilizado.

Los bancos tienen importantes razones paradesarrollar tecnologías que permitan asistir en laentrega de productos y servicios bancariosmediante los canales más rentables.

El Directorio deberá incluir en sus decisiones el desarrollo y la revisión continua de los costosasociados con un nuevo producto o servicio, incluyendo tecnología informática, marketing,mantenimiento, y funciones de soporte al cliente.Esto ayudará a que la gerencia lleve a cabo unaadecuada administración, tome decisiones conmás información y mida el éxito de su emprendi-miento comercial.

Alcance geográfico

El e–Banking permite expandir el contacto conel cliente a través de un mayor alcance geográficoy canales de entrega a costo más bajo.

Un punto crítico a considerar por parte delmanagement será definir cuál es la combinaciónóptima entre operación virtual y sucursal física “deladrillos” tradicional.

Demografía del cliente

El e–Banking permite a las entidades financierasofrecer un amplio rango de opciones a sus clientes.

Algunos de ellos confiarán en las sucursalestradicionales para conducir sus negocios bancarios,considerando que ésta es la forma más segura deconcretarlos o privilegiando el contacto personal.

Otros usuarios han adoptado en formatemprana las nuevas tecnologías que llegan almercado. Estos clientes fueron los primeros enobtener computadoras personales y los primerosen emplearlas en la conducción de sus negocios.

La demografía de dichos clientes se mantiene en un proceso de mutación continuo. El desafíoactual para las entidades financieras es evaluar ycomprender la integración de su base de clientes y encontrar la mejor combinación de canales paraentregar los productos y servicios en forma segura y rentable para sus diferentes segmentos delmercado.


Esquema tradicional del e–Banking

Dentro del esquema tradicional del e–Banking,las entidades financieras establecen las relacionescomerciales con sus clientes dentro de unambiente controlado, ya que tanto su sede centralcomo las sucursales son el ámbito natural dondelos clientes se desenvuelven.


Esquema del e–Banking con Internet (Internet Banking):

Dentro del esquema de e–Banking con Internetlas entidades financieras pierden el controlfehaciente de los puntos en donde se establecenlas relaciones comerciales con sus clientes, yademás es muy difícil mantener un esquema decontrol de todos los actores (intermediadores deInternet) que intervienen.


e–Banking en Argentina

En la actualidad, la mayoría de las entidadesfinancieras en el país cuentan con alguna clase depresencia de e–Banking por medio de Internet. Noobstante, no muchas son las que han implemen-tado las mismas alternativas de negocio sobre laWeb como las que poseen en su sucursal tradi-cional.

Se evidencia que el crecimiento que se hapresentado en los últimos años, tanto en volumencomo diversificación de canales electrónicos alternativos, ha sido, comparativamente, muyimportante.

Hoy, en Argentina, podemos encontrar unaimportante provisión de servicios bancarios sobreInternet. Al mismo tiempo, se observa un mayorgrado de tecnificación en los mecanismos deatención a los clientes en las mismas sucursalesbancarias tradicionales. Estas dos situaciones, enalgunos casos, han provocado una disminución dela dotación de personal de atención en las entidades.

Existen bancos que incentivan la utilización delos distintos canales electrónicos, sean internos enlas sucursales o externos a ella, mediante un cargoadicional al cliente cuando éste realiza sus transac-ciones en el mostrador tradicional de la entidad.

Se espera que este desarrollo de canales alter-nativos vaya en aumento a medida que bajen loscostos de las tecnologías actuales, y aparezcannuevos dispositivos portables con capacidades deconexión a las infraestructuras tecnológicas de lasentidades financieras.

Actualmente, un conjunto de entidadesfinancieras permiten realizar consultas y trans-ferencias, por medio de los navegadores Web, delos teléfonos celulares “WAP” y de los dispositivos“Palm”. La mayoría de las que poseen presencia enInternet permiten la realización de consultas dediversa índole sobre cualquier dispositivo portablecon capacidad de navegación Web.

Los servicios que generalmente se ofrecen son:

• Consulta del estado de cuentas.

• Pagos de servicios (e-Pagos).

• Pagos de tarjetas de crédito (e-Pagos).

• Transferencia entre distintas cuentas.

• Concertación de certificados de plazo fijo.

• Solicitudes de chequeras.

• Consulta, simulación y/o inicio de adjudica-ción de préstamos.

• Compra de acciones, bonos u otrospapeles.

Visto desde el ámbito de la seguridad de dichasoperatorias, la utilización de firmas digitales y certi-ficados digitales enmarcados en la ley 25.506 esuno de los principales elementos que fortalecen elesquema.


Sitios de e–Banking

La comprensión de los distintos productos dee–Banking existentes en el mercado permitiráidentificar los riesgos inherentes involucrados.

Actualmente, las denominaciones clásicasempleadas para designar las diversas clasificacio-nes de sitios de servicios son:

• Sitios que proveensólo información:

Este es un nivel básico, en donde la entidadfinanciera brinda información sobre productos yservicios a través de un servidor aislado de lared (stand alone).

El riesgo es relativamente bajo, dado que engeneral el sistema de información no pasa através de la red interna.

Este nivel puede ser provisto por el banco oestar tercerizado.

Mientras que el riesgo para el banco es bajo,el servidor y/o el sitio web son susceptiblesde intrusión, por lo tanto deben aplicarsecontroles para prevenir alteraciones no autori-zadas sobre los mismos.

• Sitios de intercambiode información:

Esta clase de sitio permite cierto grado deinteracción entre los clientes y los sistemas delbanco. Dicha interacción puede estar limitada alcorreo electrónico, solicitud de saldos de lascuentas propias, aplicaciones de préstamos,actualización de datos por cambios de direc-ción y otros.

Dado que se accede a la información mediantela red interna de la entidad, el riesgo se incre-menta, por lo tanto serán necesariosmecanismos tendientes a prevenir, monitorear yalertar al administrador de los intentos deacceso no autorizados a la red interna.

El control de virus se convierte en un factorcrítico en este entorno.

• Sitios transaccionales:

Este nivel permite a los clientes realizaroperaciones transaccionales. Se parte de laexistencia de un pasaje del requerimientodesde el servidor hacia la red interna; por lotanto, se deberán aplicar los controles másestrictos, dado que las transacciones incluyenpago de servicios, acceso a las cuentas, trans-ferencias de fondos y otros.

• Banca Virtual:

Se deja de lado la concepción tradicional delbanco de “ladrillo” y se adopta la estrategia deconducir las operaciones únicamente a travésde Internet.

En este caso, se amplía la magnitud de losriesgos inherentes, y su control requiere eldesarrollo de nuevas herramientas y procedi-mientos aplicables a operatorias virtuales,cuyas condiciones contractuales escapan a lasprácticas de mercado.


Las Entidades FinancierasArgentinas y su relación con los sitios de e–Banking y el ente regulador

Dado que los servicios bancarios ofrecidos através de Internet aún se encuentran en losestadios iniciales de masificación, el Banco Centralde la República Argentina entiende que no seríaapropiado recomendar estándares normativos quepotencialmente pudieran restringir la innovacióntecnológica.

Con el avance del proceso y la criticidad delos objetivos de control se estudiará la necesi-dad de contar con la regulación pertinente paracada uno de ellos.

En consecuencia, las acciones futuras estaránorientadas a facilitar la continuidad del análisis y eldiálogo que eventualmente conducirá al desarrollode herramientas de supervisión para las activida-des de Internet Banking.

La existencia de estándares razonables desupervisión y administración deberá permitir unaconducción segura y adecuada de las actividades,sin obstaculizar la innovación y la competencia quebeneficiarán tanto a la industria bancaria como asus clientes.



Comercio electrónico porInternet (e–Commerce)

Para realizar un análisis del comercio electrónico,resulta conveniente centrar el estudio en uno o dossubsectores, tal como se efectúa en cualquierindustria. No obstante, en el tema que nos ocupaexisten varios modelos de negocios que se cruzanentre sí, junto a diversas vinculaciones y transaccio-nes intersectoriales que permiten obtener una mayorcomprensión de la dinámica que posee la industria.

Diversos analistas especializados dividen a laindustria en cinco tipos de modelos de negocios:

Acceso: Compañías que venden discados deaccesos, o conexiones a redes u otros serviciosde administración de redes. El modelo de negociotipo está basado en tarifas mensuales, las cualesson determinadas por la velocidad de la conexióno por el volumen de datos que circula.

Software: Compañías que vendensoftware que facilitan el comercio y la comunicaciónentre las empresas o a éstas internamente. El tipode negocio está compuesto por tarifas por licenciasde software, mantenimiento, servicios deconsultoría, y por distintas tareas operativas.

Contenido: Compañías que proveen elmaterial que se visualiza cuando se está en línea.El tipo de negocio está basado en publicidad, o enalgunos casos, tarifas por suscripción.

Comercio: Compañías que venden merca-derías, o facilitan el vínculo entre compradores yvendedores. El tipo de negocio se parece a los catálo-gos para consumidores. Operan en tres areas:“consumer-to-consumer” (C2C), “business-to-consumer” (B2C) y “business-to-business” (B2B).

Servicios: Compañías que proveen unaamplia variedad de servicios necesarios para eltrabajo en línea, incluyendo “hosting”, alquileres deaplicaciones, procesamiento de transacciones,información de bases de datos y consultoría. El tipo de negocio está basado en tarifas por transacciones, materiales utilizados o porsuscripción.

El comercio electrónico por Internet involucratanto a los productos financieros como a los nofinancieros, y se está en presencia de un fuertecrecimiento de los mismos. Esto se verifica fácil-mente con sólo leer sobre los desarrollos yavances de los distintos productos: dinero-electró-nico, pagos electrónicos con tarjetas de crédito ycheques electrónicos.

Teniendo en cuenta las experiencias, el éxito detodo este proceso dependerá no sólo de la tecnolo-gía, sino también, en una parte considerable, de laaceptación por parte del consumidor de estos nuevosinstrumentos.

Para lograrlo resulta indispensable que losbancos aseguren confidencialidad, disponibilidad eintegridad de las transacciones y de la informaciónque ellos procesan.

Las cámaras compensadoras (automated-clearing-houses o ACH) y diversas compañíastecnológicas están invirt iendo importantesesfuerzos en pos de ofrecer a los consumidoresuna flexibilidad parecida a los documentos emiti-dos en papel, en términos de oportunidad ycantidad de los pagos, como también en el uso decomputadoras personales para los pagos de factu-ras electrónicas.

Todos estos esfuerzos seguramente continuaránen aumento al tener que considerar la exigenciacreciente que los consumidores impondrán a susentidades bancarias, inclusive en el caso de peque-ñas transacciones.

Con lo expresado se evidencia que el comercioelectrónico por Internet, con el amplio potencialque cuenta para ofrecer una gran variedad debienes y servicios a los precios más bajos, llegaráa ser el canal principal para convertir pagos realiza-dos en papel en pagos electrónicos.

Es importante recordar que el comercio porInternet no es el único factor que alienta el uso deelementos electrónicos. Los “Automated TellerMachines” (ATMs), denominados en Argentinacomo Cajeros Automáticos, son instrumentos queofrecen servicios de suma utilidad.

Es indudable que la vinculación de los ATM conlas redes de Internet para ofrecer nuevos produc-tos bancarios es una realidad, que generaráseguramente interesantes alternativas para losconsumidores.

Es evidente que las entidades financieras persi-guen la consigna de reducir la tarifa del servicio almínimo, estimulando el uso de las computadoraspersonales, esto se nota en un importante creci-miento de las PC bancarias. Para el desarrollo dedistintos productos vinculados con el uso de las“PC banking”, será muy importante una precisa yamplia acción de las ACH, como también eldesarrollo de “help desks”, centros telefónicos paraayudar a los consumidores en su capacitación, ysolventar sus dudas y necesidades.

Competencia

Resulta un ejercicio interesante proyectar elambiente competitivo en el cual estarán los bancosen el futuro con todo este proceso, especialmenteen el negocio minorista (“retail”), para lo que seanalizarán: (a) la comoditización de los productosbancarios y los nuevos competidores, (b) las estra-tegias competitivas que desarrollarán los bancos, y(c) la confianza de los consumidores.


Productos bancarios y losnuevos competidores como“Commodities”

Es indudable que con los consumidoresusando todos los servicios bancarios con unteléfono, computadora personal o en un ATM, laubicación geográfica del banco perderá importan-cia relativa, ya que éstos le darán mayor relevanciaa la calidad del servicio y al precio del mismo.Usando “software” inteligentes podrán buscar yver productos de todos los bancos de una regióno un país, haciendo comparaciones de costos,tasas y condiciones. Además ésta comparaciónelectrónica de los productos, no sólo se podrárealizar con un “sentido geográfico”, sino quepodría realizarse “producto por producto”, y comoéstos se irán automatizando, algunos analistashablan de una base “commodity por commodity”.Es obvio que esto resulta una amenaza muyimportante a la lealtad de los consumidores consus bancos.

No obstante lo dicho, el principal temor para losbancos es la posible aparición de competidores nobancarios, que ofrezcan diversos productos comoser: tarjetas de crédito, hipotecas, cuentas deahorro e inversión y préstamos, con precios ycalidad muy competitivos.

Estos competidores no bancarios (muchos de ellosserán compañías tecnológicas) tendrán precios intere-santes debido a los bajos costos de procesamiento enescala, y a que no deberán mantener los costos fijos deuna extensa red de sucursales que tienen la mayoría delos bancos comerciales.

Es por ello que, para contrapesar estas situa-ciones, los bancos deberán evaluar la realizaciónde las fusiones e integraciones de sus entidades,y además estimular la tercerización en compañíascompetitivas.

Esta dura batalla competitiva hace imprescindibleque las entidades financieras continúen adicionandovalor a sus productos financieros, y además, cuandosea necesario, realizar alianzas con otras compañíasde alta calidad para que desde su “web-site”, ymediante una simple conexión, puedan ofrecertodos los servicios que su cliente pueda necesitar, enforma precisa y eficiente.

Es un momento de cambios, a nivel global, enel negocio del “retail” bancario. El público tieneacceso a cuantiosa información con una velocidadnunca antes conocida.

Para muchos analistas, este nuevo mercado deservicios bancarios de “retail” tendrá característicasconfusas, ya que:

a) los bancos y compañías no bancariasofrecerán productos similares

b) los bancos y las compañías tecnológicasestablecerán alianzas para resolver ciertosproblemas, a la vez que los bancos permane-cerán preocupados por los objetivos demuchas compañías tecnológicas creativas ycompetirán con ellas.

Las estrategias competitivas quedesarrollarán los bancos

Las entidades financieras, además de invertir yconfiar en la nueva tecnología, deberán recortarcostos y facilitar los vínculos con los consumidores,evitando competir donde las compañías no banca-rias tengan importantes ventajas.

Por ejemplo, más allá de utilizar los canalestradicionales o sitios en Internet y esperar el interésde los consumidores, los bancos abren pequeñassucursales en cadenas de supermercados, dondeconfluyen muchas personas, incluidos clientes desus competidores.

En estos casos, los bancos ubican autoserviciosy accesos a aparatos electrónicos cuando puedanrealizarlos a bajo costo, y también algunas personasdisponibles para consultas y venta de productoscon base en el “persona-a-persona”.

Atento al importante volumen de información quelos bancos poseen de sus clientes en sus bases dedatos electrónicas, están comenzando a consolidaresta información en mega bases (warehouses), loque les permitirá segmentar y clasificar a los consu-midores para la comercialización de los productos.De esta forma será factible transmitirle a los clientesen forma electrónica, mensajes personalizados queaparecerán en las pantallas de sus computadoras,cuando estos realicen su rutina normal de negocios.



Para el interés de los bancos, es un tema irreversi-ble que los márgenes de ganancias del negocio delprocesamiento de pagos estén disminuyendo drástica-mente; no obstante, este tipo de producto tiene unautilidad adicional que es la conformación de bases dedatos como herramientas fundamentales en las políti-cas comerciales de las entidades.

Para muchos banqueros será muy importanteen el futuro:

(1) diseñar un sistema de contabilidad de costos,que les permita administrar por individuosobre todos los productos del banco (y no analizar productos individualmente sobretoda la base de clientes), y

(2) utilizar con eficiencia la tecnología de Internet,sin quedar sometido a ser una operación de“back office” de una compañía tecnológica.

La confianza de losconsumidores

Una parte importante del éxito del desarrollo delos productos y servicios bancarios electrónicosdependerá de la reacción que presenten losconsumidores ante las propuestas y ofertas que las entidades financieras realicen. Es innega-ble que dicha reacción está directamentevinculada con la confianza que los clientes vayanadquiriendo en este tipo de operaciones.

Para ello es gravitante que los consumidores,además de comprender los mensajes comercialessobre las bondades y eficiencias de estos instrumentos, vayan adquiriendo conocimientosobre la adecuada administración de los riesgospor parte de los bancos.

Universo de servicios por Internet

Productos en el universode la Banca Electrónica

En la actualidad, los principales productosque las entidades financieras están desarrollandoy comercializando son los siguientes:

Instrumentación de portales deInternet

Sitios donde los vendedores exhiben ofertasde productos, los cuales son visitados por unamplio número de posibles compradores.Pueden ofrecerse productos financieros, o éstoscombinados con otros no financieros.

Consultoría a pequeñas empresaspara el ingreso al e–Commerce

Asesoramiento a empresas en el estableci-miento de las estructuras necesarias para elingreso al e–Commerce.

Servicios de “business-to-business” en el “e-Business”

Diversas corporaciones bancarias internacio-nales ofrecen a grandes empresas laautomatización electrónica total asociada a laadquisición y distribución de mercaderías y servi-cios entre distintos segmentos industriales.

Para estas corporaciones, se trata de unaextensión natural de los servicios tradicionalesexistentes con el “cash management”.

Servicios de gestión de facturacióny pagos (“e-Billing”)

Se trata de una serie de servicios en desarrollopara completar el vigente “cash management”,destinados a grandes empresas con importantevolumen de facturación.

Los bancos combinan las capacidades del e-mail para enviar estas cuentas por Internet, y laposibilidad de procesar pagos electrónicosmediante las redes interbancarias de pago, similaral M.E.P. en el sistema financiero argentino.

Verificación de identidades

Diversas compañías ofrecen productos deprotección contra fraudes provenientes de falsarepresentación de identidades a los distintos parti-cipantes del e–Commerce.

Dinero y cheques electrónicos(“e-Money”)

La mayoría de las computadoras están siendoequipadas con lectores de tarjetas inteligentes,denominadas “smart cards”; para esto, lasentidades financieras prevén emitir dinero electró-nicamente que será almacenado en esas tarjetas yconsumido a través de Internet.

Aún se encuentra en etapa incipiente de imple-mentación la versión electrónica del cheque.

Integración entre las redes deInternet y los ATM´s

Es un proyecto de compleja implementación,pues la integración de estas dos redes implica laaparición de importantes riesgos de seguridad quedeben ser adecuadamente monitoreados, alpermitir el ingreso a áreas vulnerables en el entornodel “web-site” del banco.


Cadena de valor en la banca electrónica

Las entidades financieras, a medida que vanmadurando su presencia en los distintos canalesde exteriorización, pueden pasar desde ser sólo

usuarios de la tecnología a prestadores de diver-sos servicios a otras organizaciones oentidades financieras:


La rápida expansión del uso de Internet comoun canal de distribución de servicios bancariosplantea algunos desafíos extraordinarios para lasentidades financieras. Esto es especialmentecierto en el área de administración de riesgos,donde la veloz evolución de las telecomunicacio-nes y del hardware y software, combinada con el grado de dependencia de los bancos de la tecnología externa de vendedores y proveedo-res de servicios, continuamente modifican yalgunas veces magnifican los riesgos de labanca tradicional.

En la actualidad, se menciona un número decuestiones que podrían tener impacto en el perfilde los riesgos bancarios:

(i) Significativo incremento en la competenciaentre entidades financieras y no financierasdentro de la industria electrónica, con laaparición de nuevos productos y servicios.

(ii) La rápida mejora tecnológica en telecomuni-caciones, hardware y software, permitiráaumentar la velocidad del procesamiento delas transacciones.

(iii) La baja experiencia (“expertise”) en tecnolo-gía y gestión de riesgos en e–Banking, porparte de los niveles directivos y gerencialesde las entidades.

(iv) Mayor confianza en la tercerización y la proli-feración de nuevas alianzas con nuevascompañías no financieras.

(v) Potencial incremento del fraude debido a laausencia de sanas prácticas de negociopara la verificación y autenticación de clien-tes sobre redes abiertas como Internet.

(vi) Inexistencia y/o ambigüedad de normas yleyes con respecto a la aplicación y jurisdic-ción de actividades que involucrene–Banking.

(vii) Recolección y almacenamiento de volúme-nes significativos de datos de los clientes,que puedan impactar en las políticas deconfidencialidad de información manejadaspor las entidades.

(viii) Efectividad de la presentación de los avisoslegales de las páginas de las entidadesversus la eficiencia en la velocidad denavegación a través de las mismas.

Las cuestiones mencionadas son sólo algunosde los puntos que pueden afectar el perfil de losriesgos bancarios tradicionales.

Desde una perspectiva de control, se denominariesgo a la potencial ocurrencia de eventos, espera-dos o inesperados, que puedan tener un impactoadverso sobre el capital o las ganancias de unaentidad financiera.

Internacionalmente se han definido nuevecategorías de riesgo a los efectos de su análisis:riesgo operacional, estratégico, de reputación, decumplimiento o legal, crediticio, de liquidez, de tasade interés, de precio y cambiario. Todas estascategorías de riesgo se encuentran, en mayor omenor magnitud, relacionadas también cone–Banking. Sin embargo, las categorías de riesgosobre las que más impacta son: riesgo operacio-nal, estratégico, de reputación y legal.

Riesgo operacional

Es el riesgo sobre las ganancias o el capital,que surge por la posibilidad de sufrir fraudes, laocurrencia de errores, o por la incapacidad parabrindar servicios o productos.

Si bien este riesgo es evidente en cadaproducto y servicio ofrecido: desarrollo de siste-mas, desarrollo e implementación de productos,procesamiento de transacciones, etc., la operato-ria de e–Banking puede generar un alto nivel deriesgo transaccional, particularmente en aquellaslíneas de negocios que no hayan sido adecuada-mente planeadas, implementadas y monitoreadas.

Los bancos que ofrezcan productos y serviciosfinancieros a través de Internet, deberán obligato-riamente descubrir cuál es la expectativa de susclientes. También deberán asegurarse de tener elproducto correcto y la capacidad para brindarlo enforma adecuada, oportuna y confiable, si es quedesean desarrollar un alto nivel de confianza en lorelativo a su marca y prestigio.


Riesgos en e–Banking

Los clientes que hacen negocios a través deInternet se caracterizan por su escasa tolerancia aerrores u omisiones de las entidades, que surjanpor controles internos inadecuados para adminis-trar su negocio de e–Banking. Adicionalmente, losclientes esperarán la disponibilidad continua delproducto, y una página en la Web que sea amiga-ble para su navegación.

Otro factor que representa un grave problemapara el acrecentamiento del riesgo transaccionales la ocurrencia de ataques o atentados a lossistemas de las redes y computadoras de las entidades.

Existen estudios que muestran que los siste-mas son más vulnerables a ataques internos que aataques externos. La razón que los justifica es quelos operadores y usuarios internos de los sistemastienen un gran conocimiento sobre sus caracterís-ticas y los accesos a los mismos.

Las entidades financieras deberán tener unfuerte programa de ejecución de controles deprevención y detección, a fin de proteger sus siste-mas relacionados con Internet, de manera queles permita mitigar tanto riesgos internos comoexternos.

Se hace necesaria la existencia de planesadecuados de contingencia y de continuidad denegocios, a fin de poder brindar, de forma normal,sus productos y servicios ante el evento de unacircunstancia adversa.

Los productos de e–Banking conectados a unared robusta pueden facilitar esta tarea, ya que lascapacidades de “backup” pueden ser distribuidasa través de una amplia zona geográfica.

Deben considerarse los objetivos de control críti-cos de seguridad cuando la entidad desarrolle losplanes de contingencia respectivos. La seguridad ylos controles internos en la locación de los “backups”deberán ser tan sofisticados como los existentes enel ambiente de procesamiento primario.

Hay que considerar que el cliente posee un altonivel de expectativa con relación a la disponibilidady respuesta de los sistemas, y es común elcomparar la calidad de los “web sites” de losbancos para decidir la elección del más efectivo.

Los bancos ofrecen cuentas y pagos electróni-cos, por lo que necesitan procedimientos yprocesos para efectuar transacciones B2B conotras entidades, sus clientes y otros terceros.

Las fallas o errores que impliquen riesgo detransacción también pueden afectar adversamentelos riesgos de reputación y de liquidez.


Mapa del riesgo operacional


Riesgo estratégico

Es el riesgo actual o potencial sobre las ganan-cias o el capital, causado por las adversasdecisiones de negocio, la inadecuada implementa-ción de las decisiones, o falta de respuesta a loscambios en la actividad.

Este riesgo es una función de la compatibilidadde los objetivos estratégicos de una organización,de las estrategias de negocio desarrolladas paracumplir con esos objetivos, de los recursos utiliza-dos en dicha tarea, y de la calidad de laimplementación.

Los recursos necesarios para llevar a cabo lasestrategias de negocios son tangibles e intangi-bles: incluyen los canales de comunicación, lossistemas operativos, las redes de distribución y lascapacidades y habilidades gerenciales.

El Directorio de una entidad financiera deberáentender los riesgos asociados con e–Banking,antes de tomar una decisión para desarrollar unnegocio en particular.

Son necesarios niveles suficientes de tecnolo-gía y adecuados sistemas de información gerencial(MIS) para soportar este tipo de proyecto.

Debido a que muchos bancos competirán coninstituciones financieras más allá de las actualesáreas en las que descansa su negocio, aquellosque se definan por la utilización del e–Banking,deben tener un fuerte vínculo entre las tecnologíasempleadas y el proceso de planeamiento de lasestrategias del banco.

Antes de introducir un producto de e–Banking,el management debe evaluar si el producto y la tecnología son consistentes con los objetivos de negocio incluidos en el plan estratégico de la entidad.

Además, la entidad debe considerar si cuentacon expertos y con los recursos adecuados paraidentificar, monitorear y controlar la magnitud delriesgo en el negocio.

El planeamiento y el proceso de toma dedecisiones deben centralizarse en cómo es satis-

fecha la necesidad de un negocio específico através de e–Banking, más que focalizarse en elproducto de banca electrónica como un objetivoindependiente del resto.

Los expertos de tecnología del banco, juntocon los ejecutivos operativos y de marketing,deben contribuir en la toma de decisiones y en elproceso de planeamiento.

Tienen que asegurase que el plan sea consis-tente con la generalidad de los objetivos denegocio del banco y que se encuentre dentro delnivel de riesgo tolerado por la entidad.

Las nuevas tecnologías, especialmenteInternet, podrán acarrear rápidos cambios en lasfuerzas competitivas. De acuerdo con esto, lavisión estratégica debe determinar la manera enque la línea de productos y servicios de e–Bankingdebe ser diseñada, implementada y monitoreada.

Una amenaza importante para las entidadesfinancieras podría ser que se vean envueltas poresos cambios, y no puedan anticiparse a lasnuevas metodologías de competencia, o querespondan a ésta de una manera inadecuada.

Puede citarse como ejemplo, la existencia enotros países de bancos que sólo operan “on–line”a través de Internet (bancos virtuales). Dichosbancos operan en Internet sin la carga financierade soportar los costos relacionados con una redde sucursales físicas; como consecuencia de ello,estos bancos virtuales pueden ofrecer atractivastasas de interés para préstamos y depósitos, yposiblemente puedan eliminar comisiones de labanca tradicional.

De la misma forma, surgen proveedores finan-cieros “on–line” que podrían expandir susproductos e incluso agregar los normalmenteofrecidos por las entidades financieras clásicas.

Debido a la incertidumbre sobre la potenciali-dad futura de esta banca virtual, los bancostradicionales corren el riesgo de subestimar osobreactuar en esta nueva categoría de competi-dores. Aquellas entidades que no actúen


rápidamente ante los reflejos del negocio, podríanperder clientes con la llegada de sus rivales“on–line”. Por el contrario, algunas entidadespodrían invertir grandes sumas para posicionarseen ese mercado y no conseguir la adhesión de losclientes virtuales.

La banca también deberá responder a unanueva presión competitiva creada por firmas nofinancieras que funcionan como centros adiciona-les de información en el mercado electrónico,aquellas que ofrecen un servicio de búsqueda,cotizando productos similares contra una grancantidad de empresas existentes, y dejandoevidencia “on–line” de sus logros.

Si los clientes desean realizar compulsascomparativas sobre tasas, hipotecas, cotizaciones,tarjetas y otros productos, podrán obtener dichainformación rápidamente de Internet.

Al derribar las barreras geográficas, ele–Banking permitirá descubrir los términos másbeneficiosos para adherirse a productos banca-rios, lo que relegará el poder de los bancos queoperan por estrategia regional. Como reacción, losbancos deberán considerar la retención de clientesadoptando una estrategia de construcción deproductos a la medida de las preferencias indivi-duales de los mismos.

Mientras aquellas empresas que brindan infor-mación comparativa transforman los productosbancarios en “commodities”, haciendo del precioun parámetro de consideración, los bancos debencultivar la relación comercial individual con susclientes e identificar claramente las necesidadesde los mismos para satisfacerlas minuciosa-mente y lograr su adhesión a los nuevos servicios,como el de gerenciar su planeamiento financiero y otros.

Esta identificación previa implica una dificultad,al ser necesario obtener datos relativos a la privaci-dad del cliente potencial, siendo éstegeneralmente renuente a divulgar dicha informa-ción a los bancos, por temor a que existan fallas enlos filtros de seguridad que permitan que esosdatos pasen a terceros desconocidos.

Otra área de exposición de los bancos es elllamado riesgo estratégico de ajuste, que segenera ante errores en la decisión estratégicasobre qué sucederá en el mercado con el posicio-namiento de la banca electrónica: esto significa sila misma será suplementaria de la banca de redesde sucursales físicas o definitivamente será ele–Banking el reemplazante de la banca tradicional.

En la actualidad, los participantes de la industriabancaria tienen diferentes posiciones en cuanto alcurso que tomará el mercado: los que se posicio-nan en el primer horizonte descreen del cambiototal del cliente, al desear siempre la mayor posibi-lidad de elecciones y servicios. Los que sustentanla teoría del reemplazo, creen que la convivenciade ambas bancas sería imposible por lo onerosode mantener los dos canales de captura y ofertade información y productos.

Finalmente, las preferencias del cliente y lacompetencia determinarán cuál será la realidadestratégica que domine las decisiones futuras.

Durante este período, los bancos deberán reali-zar un ajuste a la variación y al crecimiento delmercado electrónico, de donde surge el riesgoestratégico mencionado.

Podrán elegir una reducción en escala delnúmero de sucursales físicas, implementar sucur-sales más pequeñas, con menor personal, y unaoferta variada de servicios entre los que incluyan laoperación virtual.

Deberán decidir si es más convenienteexpandirse geográficamente a través de fusio-nes, una estrategia que genera un aumentonotorio de ambos tipos de sucursales y clientes,o expandir su base de clientes a través deInternet, con acceso a productos virtuales ycomercio electrónico.

Si el ajuste de sucursales mencionado seefectúa apresuradamente, el riesgo será un posiblealineamiento de los segmentos de la base de clien-tes para el cual éstos no estén preparados, con laconsiguiente pérdida de los que aún no deseenoperar por e–Banking.


Riesgo de reputación

Es el riesgo actual o potencial sobre las ganan-cias o el capital, causado por una opinión públicanegativa. Esto afectaría la habilidad de la instituciónde establecer nuevas relaciones o servicios, omantener las relaciones de servicio actuales.

Este riesgo puede exponer a la institución alitigios, pérdidas financieras o una disminución ensu base de clientes.

La exposición al riesgo de reputación estápresente en toda área de la organización, e incluyela responsabilidad de tener especial precaución enel trato con los clientes y la comunidad.

La reputación de un banco se puede verafectada, por ejemplo, si los servicios que proveeno son correctos y oportunos. Esto puede incluir lainadecuada provisión de productos a través desistemas no confiables o ineficientes, la inoportunarespuesta a las consultas de los clientes, o lasviolaciones a la privacidad de los mismos.

La reputación del banco puede verse dañada silos servicios de Internet Banking son ejecutados de manera inadecuada o están alejados de los intere-ses de los clientes y del público.

Un marketing bien diseñado es una de lasmaneras para educar a los potenciales clientes yayudar a limitar el riesgo de reputación. Los clien-tes deben entender qué es lo que, en términosrazonables, pueden esperar de su producto oservicio, qué riesgos especiales tienen, y québeneficios pueden obtener usando el sistema.

Las entidades no deberían promover susistema de Internet Banking basándose en figurasy atributos que el sistema no posea.

Los bancos deben considerar cuidadosamentecómo son presentadas las conexiones con losterceros en sus sitios Web.

Los vínculos de hipertexto usualmente utiliza-dos para permitir a un cliente que se conecte conun tercero, pueden reflejar la apreciación erróneasobre la posibilidad de tener los productos o servi-cios de la tercera parte.

Debe quedar claro al consumidor, mediantealguna indicación especial, que está saliendo delsitio Web del banco, para que no haya confusiónsobre quién es el proveedor de productos y servi-cios ofrecidos, así como la seguridad y losestándares de privacidad que son aplicables.

De manera similar, deben establecerse mensa-jes adecuados para que los clientes puedandistinguir entre los productos que cuentan conseguridad de los que no la posean.

Los bancos necesitan asegurarse que losplanes de continuidad del negocio incluyan laoperatoria de e–Banking.

Las pruebas regulares del plan de continuidaddel negocio incluyen las estrategias de comunica-ción con la prensa y el público. Estas pruebasayudarán al banco a asegurar que pueda respon-der efectiva y rápidamente a adversidadesprovenientes de reacciones del cliente y losmedios.


Riesgo de cumplimiento o legal

Es el riesgo sobre las ganancias y el capital quesurge por violaciones o incumplimiento de leyes,normativas, regulaciones, prácticas establecidas oestándares éticos. También suele surgir este riesgoen situaciones donde las leyes, normas o procedi-mientos escritos que posee el banco para brindarsus servicios, productos o actividades de sucartera de clientes, sean ambiguas o no hayansido adecuadamente relevadas y probadas.

El riesgo de cumplimiento expone a la entidad apenalidades monetarias y puede, además, derivaren daños a la reputación, reducción del valor desus franquicias y marcas, limitación en la oportuni-dad de nuevos negocios, reducción deexpansiones potenciales y juicios por incumpli-mientos contractuales.

Los bancos con gran volumen de operacionesnecesitarán realizar acciones efectivas que permi-tan canalizar los reclamos y mensajes de susclientes que usen e–mail o ingresen al web site, enforma sincronizada con los restantes canales deservicios de la entidad: esto es importante a fin deasegurar una sola comunicación, oportuna yconsistente con todos ellos, independientementedel canal que los clientes prefieran.

A medida que se desarrolle el comercio electró-nico y la actividad bancaria a través de e–Banking,nuevas normas y leyes regirán las operaciones y eltrato con los clientes. Las entidades deberán anali-zar y evaluar oportuna y adecuadamente todaimplicancia y efectos que pueda tener la provisiónde servicios y productos a través de estos nuevoscanales, y considerar cuidadosamente el impactode las regulaciones que puedan surgir.

El impacto de la introducción de e–Bankingtambién tiene implicaciones sobre otros riesgosbancarios tradicionales, aunque no necesaria-mente resulta en un incremento o reducción del

perfil de riesgo de las entidades, sino en una trans-formación del mismo.

Adicionalmente, el suministro de servicios“cross–border” (banca transfronteriza) de e–Banking,no tan extendidos a la fecha, incrementa la necesi-dad de reevaluar los riesgos que se presentan enlos bancos.

Las actividades de e–Banking están basadasen tecnología, por lo que naturalmente estándiseñadas para expandir el “virtual” alcancegeográfico de los bancos, sin necesariamenterequerir una expansión “física” o geográfica similar.

Esta expansión de los mercados puede exten-derse más allá de las fronteras, lo que incrementasignificativamente los riesgos y los desafíos decooperación entre países debido entre otrasrazones a:

1. La potencial facilidad y velocidad con quelos bancos localizados en cualquier lugardel mundo pueden dirigir las actividadescon sus clientes a través de redes electróni-cas interconectadas entre países en los queel banco no está autorizado o supervisado.

2. Las dificultades prácticas que enfrentan lasautoridades para monitorear o controlar elacceso al país de sitios de e–Banking origi-nados en otras jurisdicciones, sin lacooperación de las autoridades del paísanfitrión.


Es fundamental que el Directorio de la entidadcomprenda los riesgos derivados del ofrecimientode productos y servicios vía Internet.

Las entidades financieras deben contar conun proceso para la administración del riesgo queles permita identificar, medir, monitorear y contro-lar su exposición al riesgo y en particular, en loreferente al entorno de e–Banking, considerar laexposición manifiesta de los riesgos clásicosrelacionados con el ambiente de tecnología infor-mática y comunicaciones.

Uno de los objetivos que se plantea el B.C.R.A.es difundir sanas prácticas para que las entidadesfinancieras puedan comprender si están operandosu entorno de productos y servicios de e–Bankingde una manera segura y confiable.

Las entidades deberían contar con personalidóneo encargado de determinar si el nivel deriesgo asumido es consistente con el grado detolerancia al riesgo de la entidad, y medir su habili-dad para manejarlo y controlarlo.

La administración del riesgo de las nuevastecnologías tiene tres elementos esenciales:

• El proceso de planeamiento para el uso dela tecnología.

• La implementación de la tecnología.

• Los mecanismos para medir y monitorear el riesgo.

Planificación del riesgo

El proceso de planificación del riesgo esresponsabilidad del Directorio y de la Alta Gerencia.

El Directorio y la Alta Gerencia necesitan contarcon las habilidades y conocimientos suficientespara evaluar y administrar el uso de la tecnologíade e–Banking y los riesgos asociados.

El Directorio debe revisar, aprobar y monitorearlos proyectos referidos a Internet Banking, quepuedan tener un impacto significativo en el perfil deriesgo de la entidad.

La Dirección y la Alta Gerencia son los respon-sables de desarrollar la estrategia de negocio delas instituciones bancarias. Una decisión estraté-gica debería ser claramente explicitada si laDirección desea proveer servicios de e–Banking,como paso previo al ofrecimiento de dichos servi-cios.

Específicamente, el Directorio debería asegurarque los planes de e–Banking están claramenteintegrados dentro de los objetivos estratégicos dela institución, que se ha efectuado un análisis deriesgo de dichas actividades, que se han estable-cido procesos apropiados de mitigación ymonitoreo de riesgos para aquellos identificados, yque se conducen revisiones continuas para evaluarlos resultados de las actividades de e–Banking enrelación con los planes de negocio y objetivos dela institución.

La realización de evaluaciones periódicas eindependientes sobre la tecnología de e–Banking ysus productos por parte de auditores o consulto-res externos puede ayudar al Directorio y a laGerencia a cumplir con sus responsabilidades.

El Directorio y la Alta Gerencia deberían asegu-rarse que las dimensiones de los riesgosoperacional y de seguridad de las estrategias denegocio de e–Banking están apropiadamenteconsideradas y dirigidas.

La provisión de servicios financieros a través deInternet puede modificar significativamente y/o aúnincrementar los tradicionales riesgos bancarios.Deberían tomarse los recaudos que permitanasegurar que los procesos existentes de adminis-tración del riesgo, procesos de control deseguridad y procesos de revisión de las relacionesde outsourcing están apropiadamente evaluados, yen su caso, modificados para adecuarlos a losproductos y servicios de e–Banking.


Administración del riesgo

Implementación de la tecnología

La implementación de la tecnología es respon-sabilidad directa del nivel gerencial.

El management debe contar con las habilida-des y los conocimientos necesarios para evaluarefectivamente la tecnología y los productos dee–Banking, seleccionar la combinación adecuadapara la entidad y verificar que se encuentren insta-lados de forma apropiada.

Si la entidad no cuenta con expertos para satis-facer internamente esta responsabilidad, debeconsiderar contactarse con empresas debida-mente especializadas en el negocio, o evaluar larealización de alianzas o convenios con proveedo-res de tecnología complementaria.

En esta etapa, es crítico para las entidadesasegurar el conocimiento y experiencia de susrecursos humanos, dada la constante innovación yla rapidez con que se producen los cambiosrelacionados con e–Banking.

Monitoreo y cuantificacióndel riesgo

El monitoreo y cuantificación del riesgo esresponsabilidad directa del nivel gerencial.

El management debe contar con las habilida-des y conocimientos necesarios para identificar,medir, monitorear y controlar los riesgos asociados.

El Directorio debe recibir reportes regularessobre la tecnología utilizada, los riesgos asumidos,y cómo esos riesgos son administrados.

El monitoreo del rendimiento del sistema es unfactor clave del éxito.

Como parte del proceso de diseño, los bancosdeberían incluir un efectivo control de calidad yprocesos de auditoría en sus sistemas dee–Banking.

Por otra parte, las entidades deberían realizarrevisiones periódicas sobre los sistemas para

determinar el grado de acercamiento a los están-dares de rendimiento pautados.

En suma, es incumbencia del Directorio y laGerencia de las entidades financieras seguir lasacciones necesarias para asegurarse que susinstituciones han revisado, y modificado cuandofuere necesario, las políticas y procesos deadministración de riesgo existentes para cubrir lasactividades de e–Banking.

El enfoque de administración de riesgo consi-derado debería integrar todas las actividadesdesarrolladas por la entidad, y si bien en lo funda-mental, las políticas y procedimientos deadministración del riesgo no deberían ser diferen-tes de aquellas aplicadas a las actividadesbancarias desarrolladas a través de otros canales,deberían contemplar las adaptaciones al “nuevo”canal de distribución que representa e–Banking.

Las entidades financieras tendrán que desarro-llar adecuados procedimientos de administraciónde riesgo para sus particulares perfil de riesgo,estructura operacional y cultura organizacional, quese encuentren en conformidad con los requeri-mientos específ icos de administración delriesgo y la normativa aplicable.

El perfil de riesgo de cada banco es diferente yrequiere un apropiado enfoque de administración,que esté acorde a la escala de operaciones dee–Banking de la entidad, la materialidad de losriesgos presentes, y la disposición y habilidad de lainstitución para administrar estos riesgos.

Administración de riesgosde seguridad informática

Dentro de la actividad de e–Banking, loscontroles internos sobre la tecnología informática ylos sistemas de información cumplen una funciónprotagónica.


El Directorio tiene la última responsabilidadsobre el nivel de riesgo de seguridad informáticatomado por su institución. De esta manera, debeaprobar las estrategias globales sobre el negocio ylas tecnologías y el alcance de las políticas deseguridad informática de sus organizaciones.

La activa vigilancia demostrada por losDirectorios se verá reflejada en:

• El entendimiento de los tipos de riesgosinherentes de seguridad informática enlas actividades de negocios de sus insti-tuciones, y en mantenerse informadosobre el estado de los mismos, al tiempoque los productos y servicios sondesarrollados, mejorados y son introdu-cidas nuevas tecnologías y canales deentrega.

• La revisión y aprobación de políticas deseguridad informática para direccionarriesgos inherentes con relación a loscréditos, inversiones, fondos, títulos yotras aplicaciones y actividades deprocesamiento significativas de una insti-tución.

• El afianzamiento de la importancia estra-tégica de la seguridad informática através de la organización, participandoen la implantación de una direccióncorporativa de seguridad.

• La revisión y aprobación de nivelesaceptables de exposición al riesgo de seguridad informática, relacionadoscon los cambios en las estrategiastecnológicas y de negocio, nuevosproductos y servicios, o cambiossubstancia les en las p lataformastecnológicas, conversiones importantesy a r r e g l o s s i g n i f i c a t i v o s p a r atercerización.

• La revisión y aprobación de programasde auditoría interna de la institución,con apropiado alcance y frecuencia,conforme a las políticas de seguridadinformática.

La Gerencia necesita tomar la administración desus riesgos de seguridad y ejercer vigilancia gerencialsobre las actividades de seguridad informática, auncuando este tipo de actividades puedan ser delegadasoperativamente a otros.

Para ello la Gerencia deberá:

• Proveer dirección y niveles consistentes deseguridad de la información sobre la organiza-ción, estableciendo una función de seguridadinformática corporativa y/o designar un oficiallocal de seguridad informática.

• Poner énfasis en la seguridad informáticacomo un tema relacionado con la estrategiade negocio, más que como un temameramente técnico.

• Establecer funciones de seguridad con perso-nal competente que tenga el conocimientoapropiado y la experiencia necesaria para dirigirlos riesgos asociados con las actividades técni-cas y de negocios de la institución.

• Unir la seguridad de la información al rendi-miento. El código de conducta de lainstitución y el proceso de selección depersonal debe incluir los requerimientos deseguridad de la información de la institución.De manera similar, los juicios sobre el rendi-miento de las unidades de negocio debenconsiderar los resultados de las auditoríasde seguridad informática y demás revisio-nes.

• Asegurar respuestas oportunas a los cambiosen los riesgos de seguridad de la información,que pueden provenir de cambios en la tecno-logía o innovaciones técnicas. Asegurar que lainfraestructura y los controles internos necesa-rios para administrar los riesgos asociados deseguridad de la información, están funcio-nando correctamente.

• Asegurar que sean formulados y probadosplanes de contingencia ante crisis, paraaquellos incidentes relacionados con laseguridad de la información.


Los controles internos en los sistemas deinformación y tecnología informática ( TI / SI ) quedan soporte a e–Banking, deberían estar vincula-dos con el nivel de riesgo que presentan lastransacciones y los productos que por estemedio se ofrecen.

Como ocurre en las diversas actividades queconllevan el negocio financiero, la Dirección tiene laresponsabilidad primaria del desarrollo, la imple-mentación y el seguimiento de un adecuadosistema de controles internos sobre los productos,los sistemas de información y la tecnología infor-mática de la entidad.

El seguimiento del estado y nivel de desarrollode los controles internos de los sistemas de infor-mación y tecnología informática, se obtendrá conla realización de auditorías informáticas en formaperiódica, que permitan asegurar que los controlesson los apropiados y funcionan correctamente.

Para ello, la Dirección es responsable de la implementación de un adecuado modelo para elseguimiento, el control y la auditoría de todas lasfunciones y recursos que estén involucrados en lasoperaciones de e–Banking.

En la actualidad, existen dos clases de modelosde control disponibles, aquellos configurados parael “control de los objetivos del negocio”, y los del tipo “modelo enfocado a tecnología informática”.

El concepto fundamental es que la Direcciónadopte un modelo que se enfoque al control detecnología informática y sistemas de informaciónpara el entorno de negocio en e–Banking.

Este modelo debería ser capaz de brindar la información necesaria para dar soporte a los procesos de negocio y relacionar la tecnología ylos sistemas con las actividades, los recursos y losobjetivos de control de e–Banking.


Controles internos de tecnología en e–Banking

Criterios requeridos

Los objetivos de control interno para los sistemasde información y tecnología informática de e–Bankingdeben satisfacer los requerimientos de:

Efectividad

Se refiere a que la información relevante seapertinente para el proceso del negocio, así como a que su entrega sea oportuna, correcta y consistente.

Eficiencia

Se refiere a la provisión de información a través dela utilización óptima, más productiva y económica derecursos.

Confidencialidad

Se refiere a la protección de información sensi-ble contra divulgación no autorizada.

Integridad

Se refiere a la precisión y suficiencia de la infor-mación, así como a su validez de acuerdo con losvalores y expectativas del negocio.

Disponibilidad

Se refiere a la disponibilidad de la informacióncuando esta es requerida por el proceso denegocio ahora y en el futuro. También se refiere ala salvaguarda de los recursos necesarios ycapacidades asociadas.

Cumplimiento

Se refiere al cumplimiento de aquellas leyes,regulaciones y acuerdos contractuales a los que elproceso de negocios está sujeto, por ejemplo,criterios de negocios impuestos externamente.

Confiabilidad

Se refiere a la provisión de informaciónapropiada para la administración con el fin deoperar la entidad y para ejercer sus responsabilida-des de reportes financieros y de cumplimiento.

Recursos Intervinientes

La totalidad de los criterios precedentementemencionados debe ser aplicada a cada uno de losrecursos intervinientes en los procesos de tecnolo-gía informática. Estos son:

Datos

Los elementos de datos en su más amplio sentido,(por ejemplo, externos e internos) estructurados y noestructurados, gráficos, sonido, etc.

Sistemas de aplicación

Abarcan la suma de procedimientos manualesy programados.

Tecnología

Que comprende el hardware, software, siste-mas operativos, sistemas de administración debases de datos, redes, multimedia, etc.

Instalaciones

Recursos para alojar y dar soporte a los siste-mas de información.

Personal

Habilidades del personal, conocimiento,conciencia y productividad para planear, organizar,adquirir, entregar, soportar y monitorear servicios ysistemas de información.


Manejo del Riesgo

La Dirección es la responsable de poseer unconocimiento integral de la operatoria, aefectos de poder evaluar la adecuada combi-nación y suficiencia de controles internos parael manejo del riesgo.

Control Interno: Componentes y Categorías

De acuerdo con la “Information System Auditand Contro l Associat ion” ( ISACA), loscomponentes de control interno básicoscomprenden:

Controles internos contables

Usados para salvaguardar los activos y laconfiabilidad de los registros financieros.

Controles operacionales

Utilizados para asegurar que los objetivos denegocio son tenidos en cuenta. Estos controlesincluirían planes y presupuestos operativos,comparados contra la ejecución de lo planificado.

Controles administrativos

Empleados para asegurar la eficiencia opera-cional y la adhesión a las políticas y procedimientosde la entidad. Estos controles incluirían la realiza-ción de auditorías externas e internas en formaperiódica.


Adicionalmente, ISACA separa los controles internos en tres categorías generales.

Estas categorías pueden ser localizadas en loscontroles internos básicos señalados anteriormente:

Controles preventivos

Son aquellos que previenen la ocurrencia de algún riesgo (por fraude o error). Un ejemplo deeste tipo de control es la aplicación de un softwarede control de accesos lógicos que autorice elingreso a la red sólo al personal autorizado.

Controles de detección

Identifican la ocurrencia de una acción. Ejemplode ello sería un software de detección de intrusosque dispare un alerta o una alarma.

Controles correctivos

Corrigen una situación una vez que ha sidodetectada. Un ejemplo sería un software de“backup” que pudiera ser usado para recobrar unarchivo corrupto, o una base de datos.


Como part ic ipantes signif icat ivas en elmercado, las entidades financieras están siendocada vez más agresivas en la adopción de lascapacidades de los servicios de e–Banking, queincluyen sistemas de banca remota y programasde valor agregado.

Este proceso es altamente dinámico a medidaque las tecnologías emergentes producen unavariedad de alternativas de entrega de productos yservicios de innovación.

Las oportunidades de negocio por medio del e–Banking, pueden poseer riesgos significativos parauna entidad financiera, como los que ya se hanenunciado precedentemente; no obstante, estosriesgos pueden ser mitigados mediante la adopción deun programa de administración y gerenciamiento delriesgo y la aplicación de sanas prácticas.

Los componentes básicos de sanas prácticasque ayuden a mantener un alto grado de confianzapública dentro de un entorno de red abierta, como es Internet, incluyen como mínimo:

Provisión de políticas yprocedimientos generalespara los productos yservicios de e–Banking

Es importante que se definan e implementenpolíticas y procedimientos en relación a la incorpo-ración de clientes por medio de Internet, sobre losmedios o mecanismos de autenticar la identidadde los clientes, los criterios de privacidad de losdatos pertenecientes a los clientes y recolectadospor las entidades financieras, contemplando losaspectos legales que sean de aplicación.

Otros aspectos relevantes de la presencia enInternet y que deben estar pautados en las políti-cas y procedimientos, es la utilización de enlaces(links), donde es importante que quede claramenteresaltado la desvinculación de la entidad en laresponsabilidad de lo operado en el sitio web quese ingresa, si es que no pertenece a la entidad.

Dentro de los servicios presentes en Internet,los financieros y bancarios son los que másdinamismo presentan, por el lo mantener un adecuado control de los cambios que serealizan tanto en su diseño como en los progra-mas que realizan las funciones del negocio, es de vital importancia para minimizar los riesgosde fallas operativas en las modificacionesefectuadas.

Contar con procedimientos, que detallen losdiferentes pasos y controles a efectuar duranteestas modificaciones y/o actualizaciones, setransforma en una faceta muy relevante para el control.

Selección de la arquitecturatecnológica y su configuración

Deben existir mecanismos de seguridad y deprocedimientos, los cuales tomados conjunta-mente, constituyan una arquitectura de seguridadpara el e–Banking.

Deben existir medidas para asegurar laadecuada elección de los protocolos de comuni-cación correctos para el ambiente y la aplicación,así como el adecuado uso y explotación de sus características y compensación de sus limitaciones.

Una arquitectura de seguridad de informaciónes una descripción de todas las medidas de seguridad implementadas entre el conjunto de los usuarios y los recursos que gestionan lainformación. Más específicamente, la arquitecturaes un diseño conceptual que trata sobre la función, la ubicación, los recursos, y los procedimientos para realizar la implementación de las medidas de seguridad que se hayandefinido.

Para completar la arquitectura se deben tratartanto los requerimientos técnicos como los denegocios. A su turno, las demandas técnicas deseguridad dependen fuertemente de la infra-estructura de tecnología.


Sanas Prácticas

Deben existir mecanismos corta fuegos(Firewalls) para mediar entre la red pública,Internet, y la red privada de la organización, quegaranticen la no–intromisión y reconozcan lasvulnerabilidades de seguridad cuando estas seevidencien, como ser la detección de intrusos(Intrusion Detection).

Debe existir un mecanismo para proteger de lapresencia, en el ambiente de e–Banking y susredes privadas de soporte, de virus de computa-dora y prevenir su propagación a otros clientes.

La Web ciertamente es el aspecto más accesi-ble y utilizado de la Internet. Todo el mundo esdireccionado desde un explorador Web (browser).Los exploradores Web se comunican con los servi-dores Web utilizando el protocolo HTTP. Este protocolo rápidamente llegó a fijarse en la memoria de cualquier usuario de Internetmediante el uso de la sigla por Protocolo deTransferencia de Hipertexto (Hypertext TransferProtocol) en la dirección de cualquier servicio Webde Internet.

Entender los temas de seguridad de la Web esesencial para minimizar los riesgos comunes, queincluyen:

Riesgo de intercepción

El HTTP comunica la información desde elcliente al servidor y lo hace en un texto claro o deforma no encriptada. Consecuentemente, esposible que la información sea vista y posiblementemodificada, en cualquier punto entre el cliente y elservidor.

Redirección

Las páginas de un servidor Web están formate-adas en HTML – lenguaje de hipertexto realzado

(Hyper Text Markup Language). Este lenguajeofrece muchas opciones para unir las páginas,tanto dentro de un sitio, como de múltiples sitios.Este también soporta la redirección entre losdiferentes sitios de una manera enteramente trans-parente para la mayoría de los usuarios.Consecuentemente, es relativamente fácil paraalguien personificar un servicio Web o representarun sitio u organización falsamente. Esto a menudose refiere como “spoofing” (burla).

Temas de identificación

Una página Web transaccional vincula a uncliente y a un negocio o posiblemente a dos o másnegocios. Existe solamente limitado control sobrela verdadera identificación de cualquiera de laspartes; esta es relativamente una medida trivialpara asumir cualquier identidad que uno quieraescoger sobre Internet. Esto significa que en laconducción de transacciones por Internet, unotiene que ejercer un extremo cuidado para verificarla identidad de sus clientes.

Débil seguridad del cliente

Mientras que las organizaciones que ofrecentransacciones a través de un servidor de Internetpueden estar en capacidad de manejar el riesgodentro de su propio ambiente, usualmente nosucede lo mismo desde el lado del cliente.

Algunos de estos temas de seguridad de Webse deben a las debilidades en el diseño de losprotocolos HTTP y HTML. Para ayudar a tratarestos temas, han emergido otros protocolos querealizan una mejora sustancial, como ser SSL(Secure Sockets Layer) y una versión de SSL en símisma ha sido creada como TLS (Transport LayerSecurity); también el IPSec, en modo túnel o trans-porte, siendo éstas solo algunas de las opcionesmás seguras.


Implementación de mecanismos de controlque alerten las fallas y minimicen las vulnerabilidades que la arquitectura puedepresentar frente a la exposición a Internet

Otras de las medidas es la instalación de“Firewall”, que es un dispositivo de red con dos omás interfases. Más específicamente, es unacombinación de hardware y software que se levantaentre Internet y una organización interna, incluyendosus redes de área local y computadores.

Su función más elemental es prevenir el tráfico de mensajes desde las partes fuera de laorganización, y los accesos no autorizados a lared privada. Además, este traslada el protocolointerno de Internet (IP) emitido de forma tal queun potencial intruso no conozca la dirección interna ni el acceso a ella.

Para el mundo exterior, viniendo a través deInternet, la única dirección percibible es aquella del“Firewall”, y si está adecuadamente configurado,no permitirá que personas desconocidas ingresena través de la red interna.

Provisión de procedimientosy controles que brinden unaadecuada seguridad en lasaplicaciones de e–Banking

Debe existir una adecuada separación y controles de seguridad entre las aplicaciones quebrinden servicio e–Banking y las que se utilizan enla red interna (Intranet).

Deben existir adecuados controles de los cambios o modificaciones que se realicen en lasaplicaciones que brinden servicios de e–Banking.

Debe existir un programa regular de auditoría yevaluación de la seguridad de los ambientes de e–Banking y sus aplicaciones, a fin de proporcio-nar seguridad sobre la presencia de los controles ysu efectividad.

Cualquier cambio, pero particularmentelos cambios de complejidad en la tecnologíainterdependiente podría causar resultadosinesperados y amenazar la disponibilidad.

La estrategia de separación de ambientes deprueba para minimizar los riesgos de cambios esprácticamente de alta criticidad. Además, la posibi-lidad de efectuar cambios es un resultadodeseable para muchas de las personas quehabitualmente atacan a los sitios de Internet y aotras redes públicas. En consecuencia, la seguri-dad de procesos de cambios en sí misma es devital importancia.

Por lo tanto, la revisión independiente y laauditoría de sistemas se hacen más esencialespara asegurar que el nivel deseado de protecciónhaya sido logrado.


Provisión de mecanismos quepermitan la contabilización yauditoría de las transacciones de e–Banking

Las aplicaciones de e–Banking deben mante-ner un registro (log) de su uso, el cual debe sercontrolado por personal responsable.

En las aplicaciones de e–Banking deben existirmecanismos que permitan reconstruir la actividadprocesada por una aplicación.

Debe mantenerse una asociación entre unatransacción de e–Banking y la persona que laingresó.

La existencia de “logs” y pistas de auditoría quepuedan ser usados para identificar el origen de losproblemas es esencial en cualquier aplicación. Esta necesidad se incrementa porque los proble-mas pueden no ser detectados hasta algún tiempodespués de la ocurrencia del incidente.

El registro efectivo (logs) de los sistemas de e–Banking puede ser difícil de lograr principalmentedebido al gran número de servicios de red, a loscomponentes envueltos en una solución de e–Banking, y a la carencia de integración de suscapacidades de registro; por lo cual, es convenienteque cada uno de los componentes involucrados seaadministrado y auditado a fin de asegurar sus condi-ciones y los períodos de retención adecuados.

Para posteriores revisiones, es importantemantener una asociación entre una transacción dee–Banking y la persona que la ingresó. Esto selogra mediante los servicios de “no – repudio”, queproveen evidencia irrefutable de una acciónespecífica ocurrida.

El “no–repudio” de origen protege contracualquier intento que haga el iniciador de unmensaje de rechazar el envío del mismo.

El “no–repudio” no es un concepto nuevo. Las firmas digitales son usadas frecuentementepara proveerlo.

Consideración sobre la infraestructura deTelecomunicaciones

Debe considerarse si la arquitectura de la redadoptada es apropiada para la naturaleza y magni-tud necesarias para el funcionamiento bancario.

Los protocolos de la red usados deben serapropiados para el uso específico (por ejemplo, sise realizan pagos o transferencias, deben usarselos protocolos seguros).

El banco debe tener un proceso eficaz paraevaluar la suficiencia de controles físicos en el lugarpara restringir el acceso a los servidores y compo-nentes (Firewalls, routers, switches, etc).

Se deben implementar adecuados mecanis-mos de descubrimiento de intrusión, sistemas yprocedimientos para el control de virus.

Se deben realizar adecuadas pruebas depenetración en las redes internas y/o externas.

Se deben tomar las precauciones de enlacesmediante una red privada virtual (VPN) y técnicasde encriptación relacionadas para los casos endonde se consideren necesarios


Administración y control de procesos parcial ototalmente tercerizados

Un acuerdo para la provisión de servicios de T.I.por terceros, será adecuado, en la medida queconsidere:

Un nivel adecuado de inclusión, participación,compromiso y disponibilidad acordados y formali-zados de todos los recursos técnicos y humanosnecesarios para la ejecución positiva, oportuna yeficaz de cada objetivo, procedimiento y tarea quecomponen el servicio.

Que el acuerdo permita la medición cuantitativay cualitativa de la ejecución de los procesos,minimice la exposición a daño o perjuicio de laentidad en la continuidad del negocio y la integri-dad de la información, y subordine el control yauditoría de los procesos a las prácticas de laentidad y las que establezcan los organismos decontrol.

La implementación de mecanismos y procedi-mientos que otorguen confidencialidad e integridadde los datos estáticos y en tránsito, y unaadecuada autenticidad y autenticación de los parti-cipantes intervinientes en las transacciones dee–Banking que posibiliten el no–repudio de lasmismas.

Debe existir un medio que asegure la confiden-cialidad e integridad de los datos residentes en lasbases de datos, y de los datos comunicados entrela entidad y los clientes, y en el caso de aplicarse,entre los clientes.

Debe existir un proceso por el cual los partici-pantes en una transacción de e–Banking puedanser única y positivamente identificados.

Debe existir un mecanismo por el cual el inicia-dor de una transacción de e–Banking pueda serúnicamente asociado con esta.

Debe existir una infraestructura para manejar ycontrolar los pares de claves públicas, privadas

y certificados.Los procesos definidos en lastransacciones de e–Banking, deben proporcionarla autenticación necesaria entre partes; garantizarla confidencialidad de la información sensible(número de tarjeta o cuenta, fecha de caducidad,etc.), y preservar la integridad de la informaciónque contienen las transacciones.

Aunque estos aspectos son importantesen cualquier red de transmisión de datos, suvulnerabi l idad causa una preocupaciónmucho mayor cuando se relacionan conInternet u otra red pública de datos, por suubicuidad y desconocimiento de todas laspartes actuantes.

Cómo se logra la implementación en los proce-sos de autenticación, confidencialidad e integridadenunciados anteriormente:

La autenticación de las partes se consiguemediante la emisión de certificados y la generaciónde firmas digitales.

La confidencialidad (no vulnerabilidad de la información) se alcanza mediante la encripción delos mensajes.

La integridad de los datos se consiguemediante el uso de firmas digitales.

Los algoritmos criptográficos empleados paralos procesos de encripción, emisión de certifica-dos y generación de firmas digitales son de doblenaturaleza. Por un lado, se define un algoritmo declave privada, de probada fortaleza y excelenterendimiento: DES (Data Encryption Standard), enuso desde 1977.

Por otro lado, se hace imprescindible contarcon un algoritmo que permita el intercambio declaves en una red pública, con total seguridad,entre múltiples participantes sin ninguna relaciónprevia. Un algoritmo como el descripto se define


de clave pública, y generalmente se emplea eldiseñado por Rivest, Shamir y Adleman, cuyasiniciales componen su nombre: RSA.

Esencialmente, cada algoritmo criptográficopermite la implementación de una función determi-nada. DES se emplea para garantizar laconfidencialidad de los mensajes transmitidos;RSA se utiliza para garantizar la integridad de losdatos y la autenticidad de los participantes. RSAdesempeña todavía una función adicional, que esposible gracias a su definición como algoritmo declave pública (también se conoce como algoritmoasimétrico, por emplear dos claves diferentes, unapara la encripción y otra para la desencripción):permite la distribución y utilización de una clavesecreta entre participantes sin ninguna relaciónprevia y, lo que es más importante, sobre canales(vínculos de comunicación) no asegurados.


Clave privada vs. Clave pública

DES, como algoritmo de clave privada (este tipo de algoritmos también recibe la denominaciónde algoritmos simétricos – Figura 1) requiere que laspartes intervinientes en un proceso deencripción/desencripción compartan la misma clave.

Esto plantea, como cabe suponer, problemasde distribución de claves en entornos no seguros,como es el caso de Internet.

A nadie se le ocurriría distribuir una clave DESmediante un mensaje de correo electrónico, opor teléfono. Sólo la entrega en mano garantizaque una clave no sea divulgada durante la distri-bución.

Los algoritmos de clave pública, como RSA(también denominados algoritmos asimétricos – Figura 2), están sustentados en una basematemática tal, que cada una de las partes intervi-nientes dispone de un par de claves: una sedenomina clave pública, y está destinada a serdistribuida libremente.


En este caso, cuanto más ampliamente sehaya distribuido esta clave, más garantías existenque no sea posible la “suplantación de identi-dad”. La otra clave, la clave privada, seráconocida solamente por su legítimo propietario, ydebe ser custodiada con el mismo cuidado conel que se haría para una clave DES. La basematemática aludida anteriormente permite que,mientras que un mensaje puede ser encriptadocon la clave pública, sea necesaria la claveprivada para su desencripción.

El mensaje original es encriptado con la clavepública del destinatario; éste podrá obtener elmensaje original después de aplicar su claveprivada al mensaje cifrado.

Se resuelve así el problema de la distribuciónde claves sobre canales no seguros, pero siempreaparecen nuevos problemas, uno de ellos es elrelativo a la “suplantación de identidad”.

Veamos en que consiste: Sujeto “A” y Sujeto“B” son usuarios de un sistema de criptografíabasado en RSA, Sujeto “A” obtiene la clave públicade Sujeto “B” de una página Web generada por éstaúltima; sin embargo Sujeto “C” ha sustituido laclave pública original de Sujeto “B” por la suya

propia. Cuando Sujeto “A” envía un mensaje aSujeto “B”, cifrado con su clave pública, en reali-dad está utilizando la de Sujeto “C”, que puede asíintervenir estos mensajes. Para no levantar sospe-chas, Sujeto “C” reenvía el mensaje or ig inala Sujeto “B”, esta vez con la clave pública originalde ésta ultima.

Para resolver este problema potencial, en elcontexto de los sistemas criptográficos de clavepública se ha diseñado la figura de la AutoridadCertificadora (Certifying Authority, CA), que se tratade entidades independientes que garantizan,mediante la emisión de certificados electrónicos, laautenticidad de las claves públicas de los usuarios(particulares y empresas), y custodian la integridadde las mismas.

Confidencialidad de los mensajes

La confidencialidad de los mensajes está soportada primariamente por la utilización de clavessimétricas para cifrar el contenido de los mismos.Estas claves, generadas de forma aleatoria, soncifradas a su vez con el componente público del parde claves asimétricas del destinatario.



La unión de la clave simétrica cifrada, juntoo conlos datos del mensaje cifrados con esta, se

conoce como sobre electrónico (digital envelope), (Figura 3.)

A su recepción, el destinatario utiliza el compo-nente privado de su par de claves asimétricas paradescifrar la clave simétrica, que a su vez permitirádescifrar los datos del mensaje, Figura 4. Lageneración de las claves simétricas aleatorias es

un proceso de gran importancia. La programacióny métodos empleados para ello deben garantizarque tales claves no sean inferidas del contenidodel mensaje, ni del entorno en el que se hanproducido.

Firmas electrónicas. Integridad y autenticidadde los mensajes

La integridad, como garantía de que el contenidode los mensajes no ha sido alterado de formafraudulenta, y la autenticidad, que garantiza que laspartes intervinientes en el proceso representan aquienes realmente dicen ser, se basan en la genera-ción de firmas electrónicas (digital signatures).

La firma electrónica resulta de las relacionesmatemáticas entre las claves pública y privada del algoritmo asimétrico utilizado. Así, un mensajecifrado con una de las claves sólo puede ser descifrado con la otra. El remitente de un mensajecifra su contenido con su propia clave privada; el destinatario puede descifrarlo con la correspon-diente clave pública y determinar así la autenticidaddel origen del mensaje.

Para garantizar la integridad del contenido delmensaje, y al mismo tiempo acelerar el tratamientodel mismo, se incorpora un proceso adicionalconsistente en generar un valor único y represen-tativo de los datos. Este proceso, denominadovalor numérico resumen del mensaje (messagedigest) consiste en hacer pasar los datos a travésde una función irreversible (one–way hashfunction), que produce un valor Hash (valornumérico resumen del mensaje) del original que esúnico para un contenido dado.

Es imposible a nivel computacional producir elmismo Hash a partir de dos mensajes diferentes. El Hash del mensaje se cifra con la clave privadadel remitente, y el resultado se añade al mensajeoriginal que se envía, constituyendo la firmaelectrónica del mismo, Figura 5.


El destinatario del mensaje descifra el Hash conla clave pública del remitente, aplica la misma función al mensaje original y compara ambos resul-tados. Si son iguales, la integridad y autenticidaddel mensaje son correctas. Si el proceso de desci-

frado no es satisfactorio, el remitente no puede serautenticado; si el Hash generado no es coincidentecon el extraído de la firma electrónica, se ha produ-cido una modificación en el contenido del mensaje,figura 6.


Certificados de AutenticidadLa firma electrónica garantiza la autenticidad del

remitente y la integridad de los datos contenidos en elmensaje. No obstante, aún es posible que se hayaproducido una suplantación de identidad del remitente,si su clave pública ha sido alterada de forma fraudu-lenta por una tercera persona. Una posible soluciónpara el problema de la suplantación de identidad, es elintercambio de claves públicas mediante canalesseguros. Sin embargo esto no es viable en la mayoríade los casos, y especialmente cuando los participan-tes no guardan una relación anterior, como se da en elcomercio electrónico.

Una alternativa al intercambio seguro de claveses la utilización de certificados de autenticidademitidos por entidades de confianza para todas laspartes intervinientes. Tales entidades se denominanAutoridades Certificadoras (Certificate Authorities,CA). Un certificado de autenticidad contiene laclave pública de la persona o entidad para la que seemite, junto con información propia, y todo ellofirmado electrónicamente por la CA. Como la clavepública de la CA está ampliamente distribuida, noexiste riesgo de suplantación de identidad.

Debe existir un plan y procedimientos paracontinuar las actividades de e–Banking en caso deuna interrupción prolongada de los medios reque-ridos para el procesamiento normal.

Deben existir procedimientos que garanticen lacustodia y recuperación de los datos de las opera-ciones y transacciones de e–Banking.

Como la arquitectura y la tecnología del e–Banking consisten de dispositivos electrónicospara la gestión de mensajes y datos trabajando todos juntos (ruteadores de mensajes por mediode la red, dispositivos de entrada y computadoras),si el diseño de éstas redes no contempla la necesi-dad de la alta disponibilidad para los fines del negocio, entonces la falla de un componente técnico se equipara a cerrar el negocio.

Lo que se necesita es la duplicación de ciertoscomponentes críticos y la estructura que podrá estar en rápida capacidad de sobreponerse a lafalta o el mal funcionamiento de los dispositivoscuando uno de ellos falle.

Algunos componentes son más críticos queotros para el e–Banking:

• La Internet en sí misma – es el “sine qua non”del e–Banking.

• Proveedores de servicios de Internet – dadoque algunas veces los ISPs están fuera deservicio o no se encuentran disponibles, esimportante para una compañía tener por lomenos dos, para que uno provea accesoen una emergencia. La otra propuesta utili-zada por algunas organizaciones, es la demantener su propia presencia en Internetcon un ISP como respaldo.

• Los servidores Web – es esencial que hayamás que un servidor Web disponible, prefe-rentemente en diferentes ubicaciones.

• Bases de datos – es importante tener dupli-cación de bases de datos para soportar lafalla, cuando se produzca, de forma trans-parente para el negocio.

La sola duplicación no es suficiente; debe haberuna infraestructura de software que redireccione eltráfico del e–Banking fuera de los componentesdañados hacia aquellos aún activos, y mantengauna sincronización de las operaciones en todo momento.

Además, se deberán prever las funciones degerenciamiento necesarias para estos casos de emergencias.


Existencia de controles preventivos y correctivosdefinidos para asegurar la disponibilidadpermanente de actividades sujetas a serviciosde e–Banking y el acceso a los datos

El impacto que protagoniza el desarrollo de e–Banking se verifica tanto en las entidades finan-cieras como en la sociedad en general.

Para aquellas entidades que exploten comple-tamente su potencial, esta nueva forma decomunicación ofrece la posibilidad de grandescambios que modifiquen radicalmente las expecta-tivas de los clientes y redefinan el mercado, ocreen mercados completamente nuevos.

Todas las organizaciones, incluidas aquellas queignoran las nuevas tecnologías, sienten el impacto deestos cambios en el mercado y en las expectativasde los clientes. A su vez, los miembros de la socie-dad se enfrentan con formas totalmente nuevas deadquirir bienes y servicios, acceder a la información einteractuar entre partes.

La seguridad de la información y las sanasprácticas de controles internos son temas con unatendencia creciente de criticidad debido al incre-mento de la tecnificación, la diversidad de las redes de computación, la explotación de los serviciosmás variados por Internet, el acelerado adveni-miento del negocio financiero por distintos canaleselectrónicos (e–Banking, Internet Banking, m–Banking, etc.), y el mayor número de negociosque dependen de la información para sus opera-ciones diarias.

Una adecuada política de seguridad y de control será un requerimiento infaltable para la salud de cualquier entidad financiera.


Conclusiones finales

“La sana administración de los riesgos,

asociada con la prestación íntegra de los servicios electrónicos

y el empleo de una seguridad efectiva,

será la clave para el mantenimiento de la confianza del público.”

Terminologías y conceptos aplicados a e–Banking

Amenaza. Llámase a la combinación del riesgo, su consecuencia, y la posibilidad de que elevento negativo vaya a suceder.

Autenticación. Verificación de la identidad de una persona o de un proceso para acceder a un recurso o poder realizar determinada actividad.También se aplica a la verificación de identidad de origen de un mensaje.

Certificado. Pareja de clave privada y clave pública.Físicamente son dos archivos que unidos, permiten definir un conjunto de claves deencriptación y una identidad certificada.La clave privada nunca abandona el servidor, por lo que nadie obtiene esta informa-ción, y nadie podrá suplantar la identidad del servidor certificado.

Clave privada. Es la clave que tan sólo es conocida por el receptor y que se utiliza para desencriptar elmensaje que el emisor envía encriptado con la clave pública del receptor del mismo. Este sistema de clave pública y clave privada se conoce como sistema asimétrico.

Clave pública. Es la clave que estará al alcance de todo el mundo para que un mensaje encriptadonos pueda ser remitido. También con ella puede desencriptarse lo que es encriptadocon nuestra clave privada.

Confidencialidad. Los mensajes sólo podrán ser leídos por el emisor y el receptor. En algunos países ya se han dado casos de denuncias contra la intimidad por intrusión en los lectores de correo electrónico y violación de correspondencia.

Cracker. Persona que intenta acceder a un sistema informático sin autorización. Se diferencian delos hackers por su clara identificación delictiva, y suele por lo general disponer de grancantidad de mecanismos y estrategias que le posibilitan la intrusión en un sistema.

Criptoanálisis. Rama del conocimiento que se encarga de descifrar los mensajes encriptados sinconocer sus llaves.Se dice que determinada clave ha sido “rota” cuando alguien logra descifrar unmensaje sin conocer la clave que le dio origen.

Criptografía. Ciencia que se ocupa de la escritura secreta, originada en el deseo humano pormantener ciertos temas bajo confidencialidad.

Denegación (DoS – Denial of Service): En Internet, un DoS o ataque de denegación de servicio es unde Servicio. incidente en el cual un usuario o una organización se ven privados de un recurso que

normalmente podrían usar. Habitualmente, la pérdida del servicio supone la indisponibilidad de determinadoservicio de red, como el correo electrónico, o la pérdida temporal de toda la conecti-vidad y todos los servicios de red.Aunque normalmente es realizado de forma intencionada y maliciosa, este tipo deataques suele ocurrir de forma accidental.

e–Business. (negocio electrónico) Cualquier tipo de actividad empresarial realizada a través de tecnologías de la Información y comunicaciones.


Glosario

Sanas Prácticas 60 e-Banking

Firewalls. Usados frecuentemente en los sistemas de e–Banking como una medida de seguri-dad para proteger redes internas. Deberían ser considerados en toda instalación conectada a alguna red externa.Los “firewalls” son sistemas que combinan la utilización de hardware y software, y seencuentran ubicados entre las redes que intercambian información teniendo en cuentala dirección del flujo de la misma, lo que provee una puerta que resguarda el acceso noautorizado a la red interna.

Hacker. Persona que tiene un conocimiento profundo acerca del funcionamiento de redes y que puede advertir los errores y fallas de seguridad del mismo. Al igual que un cracker busca acceder por diversas vías a los sistemas informáticos pero con finesde protagonismo.

Identidad No deben quedar dudas de quien es el destinatario del mensaje, un receptor anónimo odel receptor. que suplante a otro puede utilizar la información en su propio beneficio.

Identidad Conocer con certeza quién es el emisor de un mensaje, tal como las órdenes de cargo endel remitente. cuenta o de transferencias bancarias.

Integridad. Toda manipulación no autorizada en un mensaje debe ser detectada para rechazar elmismo.

Intrusion La detección de intrusos (IDS – Intrusion Detection Software) es otro ingrediente esencialDetection. en el ambiente de seguridad de Internet. Mientras el Firewall actúa como un cerco

protector alrededor de la red corporativa, el IDS actúa como un sistema de monitoreopor video y alarma contra ladrones.Aunque se considera un sistema relativamente nuevo y su tecnología y diseño aún conti-nua madurando, un servidor con un IDS estratégicamente colocado, se transforma en unfactor crítico que proporciona protección adecuada para el ambiente de la Internet.

Protocolo. Descripción formal de formatos de mensaje y de reglas que dos computadores deben seguir para intercambiar dichos mensajes.

Trojan Horse. (Caballo de Troya) programa informático que lleva en su interior la lógica necesariapara que el creador del programa pueda acceder al interior del sistema que loprocesa.

WWW, Web (World Wide Web). La Web es la parte de Internet a la que se accedes a través del protocoloo W3. HTTP mediante Browsers gráficos ó navegadores.

e–Banking

• “Mobilize Your Enterprise: Achieving Competitive Advantage through Wireless Technology”(Patrick Brans, Prentice Hall Professional, September 2002)

• “Get–Started Guide to M–Commerce and Mobile Technology”(Danielle Zillox, Amacom, June 2002)

• “M–Commerce: Technologies, Services, and BusinessModels”(Norman M. Sadeh, Wiley, John & Sons, Inc, March 2002)

• “Wireless Internet and Mobile Business”(Harvey M. Deitel, Paul J. Deitel, Tem Nieto, Kate

Steinbuhler, Prentice Hall Professional, December 2001)

• “Electronic Commerce 2002: A Managerial Perspective”(Efraim Turban, Chung, David King, Merrill Warkentin, Jae

Lee, Pearson Education, November 2001)

• “E–Finance: The Electronic Revolution in FinancialServices”(Erik Banks, Wiley, John & Sons, August 2001)

• “Electronic Banking: The Ultimate Guide to OnlineBanking”(SCN Education BV, Vieweg Verlag/Morgan Kaufmann

Publishers, April 2001)

• “Risk Management Principles for Electronic Banking”(Basel Committee on Banking Supervision – May 2001)

• “e–Commerce Security Enterprise Best Practices”(The Information Systems Audit and Control Association)

• “Digital Signature – Security and Controls”(The Information Systems Audit and Control Association)

• “The Internet and the National Bank Charter –Comptroller’s Corporate Manual”(Office of the Comptroller of the Currency - January 2001)

• “Risk assessment tools and practices for informationsystem security”(FFIEC Information Systems Examination Handbook – 2000)

• “Electronic Finance: Reshaping the FinancialLandscape around the World”Stijn Claessens, Thomas Glaessner and Daniela Klingebiel

(World Bank September 2000)

• “Internet Banking - Comptroller’s Handbook I-IB ”(Office Comptroller of the Currency Administrator of National

Banks 1999)

• “Treatment of material on overseas Internet WorldWide Web sites accessible in the UK but not intendedfor investors in the UK”(Financial Services Authority – 1998)

• “Electronic Banking Group’s Phase I Summary Report:Supervisory Issues and recommendations relating toelectronic banking developments”(Basel Committee on Banking Supervision – June 2000)

• “Electronic Commerce - The New BusinessPerspective” extraido del Control Journal de I.S.A.C.A. Noviembre de 2000.(Marcelo Héctor González, ASS, CISA)


Fuentes de documentación

Editado por Invercas S.A.

Documents

E-Banking - Sanas Prácticas - felaban.net · canal se conforma de un aplicativo desarrollado por la entidad, que le permite al cliente el acceso a su ... acceso y de bajos costos