A cibersegurança e a experiência do utilizador

No contexto dos ataques cibernéticos permanentes que vivemos há vários anos, os setores bancário e financeiro são um exemplo. O cibercrime representa um grande risco financeiro e a crise atual tem gerado não só um crescimento dos ataques e fraudes, como a necessidade de mais investimento em segurança. É necessário implementar os meios para reduzir tais riscos.

O setor financeiro é um exemplo de redes de confiança. Isso não significa que esteja livre de todas as censuras e de todas as falhas, ainda que, muitas vezes, elas não apareçam nos media. Esses setores são, no entanto, os que estão melhor equipados para lidar com os vários riscos de segurança, para proteger não só as ferramentas, mas também os processos e para antecipar os diferentes tipos de ataques. Mas em que bases se baseia essa segurança? Quais são os segredos que outros setores podem aprender?

 

A rede de confiança: o papel das profissões na segurança cibernética

Em qualquer ecossistema de negócios, assim como em qualquer tipo de troca, a confiança é um pilar fundamental. Um dos pontos fortes do ecossistema financeiro residem em construir uma rede de confiança. Todos estão cientes da importância de segurar as ferramentas, os processos, as pessoas  e os fluxos financeiros, porque as apostas são altas. Uma única falha pode enfraquecer toda a rede.

Na verdade, as ferramentas não bastam, é preciso também pensar nos processos e sensibilizar os colaboradores. É aqui que entra a vertente comercial da segurança cibernética. Porque não vamos esquecer que os erros humanos são as primeiras brechas que permitem a entrada dos hackers na rede. Além da conformidade das ferramentas de software e as respetivas auditorias regulares, a implementação de mecanismos de controle desempenha um papel importante na segurança e proteção das organizações. Para o setor financeiro, isso envolve a criação de “listas brancas” de terceiros autorizados ou “listas negras” para identificar e travar os fluxos financeiros de, ou para, organizações ilícitas, atribuindo diferentes níveis de validação de pagamento e circuitos de assinatura eletrónica, ou para configurar processos para verificar a identidade dos pagadores / compradores.

Esyá na natureza do hacker tentar entrar no sistema e cometer uma fraude. A chave é detetar as anomalias o mais cedo possível. Monitorar as fraudes e os ataques cibernéticos, também faz parte da vertente comercial da segurança, e a partilha de informações dentro do ecossistema contribui para a construção de uma rede de confiança.

 

Segurança e experiência do utilizador: o ponto crítico

O ambiente regulatório é muito importante, principalmente para a rastreabilidade das operações, porque a desmaterialização assim o exige. Embora as plataformas SaaS sejam estanques entre Clientes do mesmo fornecedor, a sua operação é colaborativa  dentro de um ecossistema que inclui subsidiárias ou onde existe uma holding e parceiros financeiros. A gestão e controle de pagamentos associado ao serviço de recolha e distribuição de informações bancárias leva em consideração os diversos protocolos standard (SwiftNet, EBICS, sFTP, etc.) ou as normas nacionais ou internacionais (SWIFT, SEPA, ISO XML, CFONB, AEB, … ) já para não mencionar a implementação de KYC (autenticação forte do Cliente) para cumprir o DSP2. O uso e a evolução de novos standards de conformidade neste mundo de SaaS e serviços conectados dão às empresas novas perspectivas globais, associadas à conquista de novos mercados e à implementação rápida e abrangente de serviços online. Um dos maiores desafios é organizar os processos comerciais e de serviços (BPO) dentro de uma estrutura legal e organizacional interna / externa, segura e confiável.

Adicionar camadas adicionais de validação, implementar protocolos standards e autenticação de identidade não oferece, até ao momento, uma experiência ideal para o utilizador. No entanto, qualquer perda de confiança teria consequências significativas para a capacidade de responder ao desafio da digitalização das indústrias. O setor financeiro tem sido o mais cauteloso com as tecnologias SaaS, mas gradualmente tem vindo a abrir-se a elas. A comunicação interna e externa é a chave para o sucesso da luta contra os ataques cibernéticos. Por exemplo, alguns sites de comércio eletrónico preferem melhorar a experiência do utilizador reduzindo os pontos de frição no momento do pagamento, mas isso por vezes é feito em detrimento da proteção do Cliente. Portanto, a comunicação com o consumidor final também é um ponto crucial, sobretudo enquanto ainda não conseguimos encontrar o ponto de equilíbrio perfeito entre as preocupações com a experiência do utilizador e com a segurança.

Hoje, existem vários métodos em conformidade com a Diretiva Eidas que ajudam a garantir a identidade digital e a reforçar a autenticação. Por exemplo, o governo francês criou o sistema France Connect para que o cidadão se autentifique, em simultâneo, junto de várias entidades do serviço público. Pode-se imaginar que um trabalho semelhante para o setor privado garantiria não só a autenticidade da identidade, mas também a segurança, sem prejudicar a experiência do utilizador.

 

Artigo publicado originalmente em Jornal du Net

 

José Teixeira
Senior Market & Product Manager Sage