Ciberseguridad en la industria financiera


En los últimos dos años la ciberseguridad se ha vuelto mucho más compleja. El ecosistema en el que las instituciones financieras deben navegar se han vuelto entornos más agresivos y con amenazas mucho más sofisticadas. La información de clientes y entidades está más expuesta que nunca y la defensa de sus sistemas se ha convertido en un reto técnico y legal. Frente al riesgo sistémico de hackeos de toda índole, la industria financiera busca métodos para blindarse. ¿Qué deben tener en cuenta?

Lo que significa la ciberseguridad

Desde la irrupción del covid con periodos de confinamiento y la tendencia al teletrabajo, los ataques a bancos y entidades financieras se han multiplicado. El exceso de confianza de muchos usuarios ha favorecido la usurpación de identidades a través de la clonación de tarjetas móviles robando miles de pequeñas cantidades en todo el mundo. Entidades como JPMorgan, Equifax (y el robo de información de más de 200 millones de clientes) Bankia, Adeslas y otros tantos tuvieron que hacer frente a ataques que según el Departamento del Tesoro de Estados Unidos, han costado más de 590 millones de dólares en pagos de rescates informáticos solo en el primer trimestre de 2021.

Ofrecer sistemas financieros seguros no es un servicio más. Se trata de una obligación que el sector financiero debe poner en práctica y que además, debe contar con la implicación de elementos internos como externos. Algunos aspectos a destacar son la creación de una unidad específica y especializada en la gestión de riesgos SI y CS, establecer controles para mitigar riesgos, generar mecanismos de autenticación -a ser posible multifactoriales y biométricos – procesos de retención y destrucción de información – para evitar que cualquier tipo de documento entre en la deep web – y establecer una comunicación fluída y transparente con usuarios, autoridades y terceras partes que puedan verse involucradas.

¿Qué atacan los hackers?

El principal objetivo de los hackers es el acceso a sistemas, impidiendo que los usuarios puedan tomar el control de sus finanzas (ATO, Account Takeover, en inglés) y provocando graves pérdidas económicas para la institución, por no hablar del impacto reputacional, provocando a su vez desconfianza en los mercados y una caída de su valor.

Las empresas de ciberseguridad son más frecuentes y tienen como principales objetivos la monitorización de algunos aspectos que se pueden encontrar en la deep web, desde la detección de credenciales – alertando de datos confidenciales que pongan sobre la pista a los expertos- la localización de dominios fraudulentos que se emplean para realizar los ataques o sitios maliciosos y dispositivos que quieran suplantar la identidad de los usuarios, la identificación de documentos confidenciales o el descubrimiento de campañas orquestadas de hackeo.

Algunas obligaciones: cómo aplicar la ciberseguridad

Los expertos recomiendan algunas buenas prácticas que incluyen desde las más básicas, como realizar copias de seguridad, monitorizar la marca y vigilar cualquier actividad anómala, la protección de puntos finales (incluyendo cajeros automáticos por ejemplo) hasta la creación de un equipo específico de ciberseguridad con una división dedicada a ello, ya sea un equipo interno o externo. A este respecto, aplicar la GRC (o gobernanza, gestión de riesgos y cumplimiento) ayuda a automatizar modelos y tener un mayor control de lo que ocurre en la entidad. 

Profundizando en tareas más concretas, los equipos de ciberseguridad velan a través del análisis de vulnerabilidades, pen-testing (consiste en atacar diferentes entornos para encontrar y prevenir posibles fallos en el mismo), con modelos Zero Trust (sistemas exhaustivos de verificación), con la aplicación de modelos de SOC (monitorización en tiempo real de los sistemas) o con sistemas de snapshot (parecidos al backup pero con capacidad para clonar servidores y con un mejor tiempo de respuesta) entre otras opciones.

Estas estrategias requieren no solo de enfoques ágiles sino de una constante autoevaluación a través de exámenes del nivel de madurez de sus sistemas de seguridad. Este modelo de ciberseguridad implica el análisis de indicadores CISO (número de dispositivos no identificados dentro de la red, tiempo de resolución de incidentes, vulnerabilidades detectadas, costes) y contar con una buena estructura dedicada a la gestión de riesgos en terceros.

¿Qué más se puede hacer? La defensa como ataque

Uno de los puntos en los que muchas entidades financieras están poniendo el foco es en la llamada Threat Intelligence, o inteligencia de las amenazas. Las entidades pueden crear escenarios ficticios en los que poner en práctica sus mecanismos de defensa imitando los TPP de los ataques y entrenando a sus equipos ante posibles amenazas. Esta experiencia genera conocimiento, previsión y nuevas tácticas para hacer frente a casos reales. Algunos ejemplos del sector financiero que ya lo han incorporado son el CBEST del Banco de Inglaterra, el TIBER-EU del Banco Central Europeo y el TIBER-NL en Países Bajos.

Otro punto fuerte en materia de ciberseguridad es la gestión de identidades con roles de accesos, autorizaciones y administradores, sumando a la existencia de sistemas de IAM del que deriven otras capas de seguridad como el Single SignOn o inicio de sesión único o autenticación vía tokens.

Los empleados: otra columna de la ciberseguridad

Pese a que los ciberataques han aumentado considerablemente en los últimos dos años, muchas – cerca del 80% – de las grietas en seguridad que se producen en las empresas son originadas por fallos o errores humanos. ¿Cómo trabajar en este campo? Ante todo, la formación. Los empleados deben estar al tanto de las técnicas y amenazas a las que están expuestos, desde links fraudulentos que llegan vía SMS a su teléfono de empresa, emails con ransomware, evitar el uso de pen drives o discos duros externos hasta los cambios habituales de contraseñas, factores de autenticación o aprender cómo bloquear un dispositivo en caso de ataque.

Coberturas de ciber riesgo

Ante este entorno hostil, son muchas las empresas especializadas en las coberturas de ciberseguridad que incluyen garantías ante la pérdida de red, por interrupciones totales o parciales, gastos legales frente a terceros en caso de ataques, contagio de virus o violaciones de privacidad o cobertura para los altos ejecutivos entre otras muchas posibilidades.

Articulos Relacionados

El 73% de los niños y niñas en Europa ya controla la mensajería instantánea desde su móvil o tablet

Conocer de cerca la manera en que la Generación Alfa se relaciona con las personas y con los dispositivos que utiliza junto...

Visibilidad, automatización y control, demandas ‘digitales’ de los financieros españoles

Por Kevin Sipin, General Manager en Agicap España Los dos últimos años han cambiado el mundo de la empresa...

Liquidaciones concursales ¿Qué hacer con los documentos de una empresa que cierra?

Por Marcos Yebra Galán, Marketing y Desarrollo de Negocio en NORMADAT Hace poco se produjo la reforma de la...

Dejar comentario

Please enter your comment!
Please enter your name here

¿CONECTAMOS?

Ultimos Articulos

El 73% de los niños y niñas en Europa ya controla la mensajería instantánea desde su móvil o tablet

Conocer de cerca la manera en que la Generación Alfa se relaciona con las personas y con los dispositivos que utiliza junto...

Visibilidad, automatización y control, demandas ‘digitales’ de los financieros españoles

Por Kevin Sipin, General Manager en Agicap España Los dos últimos años han cambiado el mundo de la empresa...

Liquidaciones concursales ¿Qué hacer con los documentos de una empresa que cierra?

Por Marcos Yebra Galán, Marketing y Desarrollo de Negocio en NORMADAT Hace poco se produjo la reforma de la...

Vuelve el mayor evento para expertos y amantes de las APIs: APIAddictsDays22

El congreso de referencia en el mundo de las APIs vuelve por todo lo alto para celebrar su 5ª edición en un...

eIDAS 2: wallet digital o la recuperación de la identidad digital por parte de los usuarios

Autor: Héctor Benítez, Head of Business & Solutions Compliance de CAMERFIRMA El 1 de julio de 2016 entró en...