Desde que se declaró la pandemia, ¿qué lecciones ha aprendido Carlos Sanroma en materia de seguridad? ¿Qué acciones se han impulsado en BBVA México para garantizar la continuidad de las operaciones?
La primera lectura sería que en BBVA México, al igual que en otras empresas, la pandemia aceleró y modificó abruptamente la forma de trabajar. En poco tiempo nos vimos abocados a practicar teletrabajo en formato home office, lo que conllevó un enorme reto organizativo y tecnológico de las áreas de Ingeniería y Sistemas para cubrir la demanda de conectividad y la disponibilidad de equipos de cómputo para todo el personal, sin olvidar los filtros y controles para asegurar la seguridad lógica de las conexiones.
Al mismo tiempo, como actividad esencial, tuvimos que desarrollar e implementar protocolos para nuestras sucursales donde atender a nuestros clientes en operaciones que tenían que realizar presencialmente. Destacar el incremento transaccional, superior al 40%, que tuvimos en nuestra app y la banca por Internet, lo que conllevó reforzar nuestra plataforma tecnológica para poder gestionar la alta demanda de los canales digitales.
En materia de seguridad descubrimos que algunas actividades de supervisión y control se podían realizar de forma remota, especialmente en las operaciones de soporte que realizamos para nuestra red de sucursales.
En los puntos de paso con control de accesos de las sedes corporativas, donde la identificación se realizaba con lector biométrico de huella, tuvimos que cancelar el lector biométrico y regresar al uso de la credencial física. Esto ha conllevado un potente impulso para desarrollar los proyectos y casos de uso que traemos con aplicación de biometría facial y que próximamente empezaremos a operar para fortalecer la seguridad de nuestros clientes y empleados.
Otro punto relevante fue el cambio en el formato de las capacitaciones a nuestros empleados, en materia de seguridad bancaria, prevención de fraudes y protección civil, ante la imposibilidad del formato presencial. Innovamos la formación live on line mediante webinars e impulsamos nuevos contenidos en nuestra plataforma Campus BBVA, donde actualizamos y adecuamos los contenidos para asegurar una mayor capilaridad.
Antes de la pandemia, ¿los riesgos biológicos estaban contemplados en la agenda de riesgos de BBVA México? ¿Se han visto obligados a modificar su plan de continuidad de negocio?
Nuestros planes de continuidad contemplan todos los riesgos potenciales a los que se puede enfrentar una institución financiera. En México, después de la gripe aviar de 2009 y con una larga experiencia en la atención y gestión de contingencias como huracanes, inundaciones, terremotos, etc.., hemos desarrollado una metodología y organización de trabajo en escenarios adversos, mediante la elaboración de planes de continuidad de la actividad, con la conformación de distintos comités y grupos de trabajos especializados en diferentes disciplinas que nos permiten atender, con la prontitud necesaria, las contingencias que históricamente enfrentamos.
No obstante, lo que pudimos identificar en la pandemia por COVID-19 es que la duración en el tiempo y el alcance en personas no estaba dimensionada en forma adecuada. En ocasiones anteriores, el impacto en centros de trabajo, operaciones y empleados estaba acotado a días o semanas, número de centros de trabajo y empleados afectados. Ejemplo: en el terremoto de septiembre de 2017, la afectación fue en una región concreta, con un número de sucursales y centros de trabajo concreto y no más de 100 empleados de forma directa.
En el caso de la COVID-19, la afectación fue nacional e impactó en el conjunto de la plantilla. Aunado que los servicios financieros fueron clasificados como críticos, esto nos llevó a desarrollar una estrategia rápida para definir las medidas de prevención y protocolos de protección de la salud para empleados y clientes en las sucursales donde operamos en forma presencial.
Finalmente, en la gestión de amenazas y riesgo de seguridad siempre tengo una premisa: unos se protegen, otros se aseguran y otros se asumen. La seguridad absoluta sabemos que no existe.
“Hemos desarrollado una metodología y organización de trabajo en escenarios adversos mediante planes de continuidad de la actividad”
Desde que la Organización Mundial de la Salud (OMS) declaró la pandemia, ¿cuáles han sido los principales incidentes de seguridad a los que ha debido hacer frente su departamento? ¿Podría afirmarse que han disminuido los incidentes de seguridad física y que se han incrementado los ciberincidentes?
En materia de seguridad bancaria, lo que entendemos por asaltos en sucursales, robos con fuerza de cajeros automáticos (ATM), intrusiones en sucursal mediante butrón, el robo a cuentahabiente, etc., claramente, con los datos en la mano, identificamos una reducción exponencial en la manifestación de este tipo de ilícitos bancarios durante 2020.
Seguramente, entre otros, factores como el confinamiento de las personas, la reducción de aperturas de sucursales y una menor actividad empresarial influyeron directamente en esta disminución de eventos en el sector bancario. Sin embargo, hubo otros sectores que sí tuvieron un repunte y mayor impacto como el robo al transporte.
En cuanto a incidentes de ciberseguridad, se registró un mayor número de ataques por phishing, malware y ransomware. Incluso detectamos un incremento de estafas solicitando donativos para material sanitario, fraude por ingeniería social, secuestros virtuales, fraude en compras de equipos médicos, etc.
BBVA México está regresando a los horarios previos a la pandemia. ¿Qué medidas han implementado para que sus corporativos y sucursales sean seguros para empleados y clientes?
En BBVA México, una vez estabilizada la crisis inicial, dentro del war room que se creó para la atención, gestión y seguimiento de la contingencia sanitaria se conformó un grupo de trabajo para definir la estrategia a seguir que se plasmó en un Plan de Regreso.
En este último, de forma transversal, todas las áreas asignadas iniciamos un conjunto de iniciativas que iban desde preparar medidas de prevención y protocolos de protección de la salud hasta el desarrollo de apps propias como Tracing para geolocalizar empleados que hayan tenido contactos de riesgos y puntos de contagios en los centros de trabajo, pasando por el uso de cámaras termográficas en los puntos de paso de los controles de accesos en sedes corporativas.
Con los equipos de Data se siguen desarrollando soluciones y propuestas encaminadas a la detección temprana de focos de contagio y organización de trabajos, control, gestión y distribución de efectivo en sucursales, mapas de riesgo, etc.
Por último, mencionar que el retorno de los empleados a las sedes corporativas y otros centros de trabajo, con alta ocupación se realizará de forma progresiva. Previamente, se realizan pruebas piloto que nos permiten testear accesos, espacios de trabajo, puntos de reunión, comedores, medios de videoconferencia, etc. Este regreso será por fases, no superando el 50% de ocupación y alternando el trabajo presencial con el modelo home office.
Sin duda, muchos ciudadanos, alentados por la vacunación, consideran que pronto volverán a hacer una vida normal y podrán desprenderse de la mascarilla. En el caso de la seguridad bancaria, ¿Carlos Sanroma es tan optimista? ¿O considera que las medidas anti-COVID han llegado para quedarse?
Considero que este punto es responsabilidad de las autoridades sanitarias. Personalmente, creo que el riesgo no ha terminado, que las vacunas tienen incidencia directa en la reducción de los índices de letalidad de la enfermedad y, por ende, en el número de hospitalizaciones, lo que permitirá descomprimir la presión de hospitales y personal sanitario. Mi reconocimiento y gratitud a todos ellos. Pero el riesgo de contagio sigue presente y por ello debemos seguir cuidándonos, al mismo tiempo que tenemos que ir retomando con precaución nuestras actividades personales y profesionales.
¿Cuáles serán, a juicio de Carlos Sanroma, las principales amenazas para la seguridad del sector bancario durante los próximos meses?
Las principales amenazas y riesgos potenciales para las entidades financieras serán las mismas que enfrentamos hoy en día, si bien, como ocurre históricamente, con una evolución permanente del delito. Cuando cierras una puerta, los delincuentes abren otra y así estamos en la espiral de acción, reacción, acción.
Entendemos que el ciberdelito seguirá creciendo y mutando a nuevos modus operandi. El asalto a sucursal será residual en lo material, pero con un alto impacto emocional en las personas que son el sujeto pasivo del delito. Y el fraude y la estafa serán más sofisticados, con especial atención en los que utilizan la ingeniería social como medio de engaño de personas, como los adultos mayores, más vulnerables en la utilización de la tecnología.
En resumen, todos los clientes de servicios financieros, es decir, toda la población, debe trabajar en la información y formación del uso de la tecnología y garantizar el resguardo y custodia de sus datos e información confidencial (usuarios, contraseñas…).