Las instituciones financieras se posicionan en el segundo lugar en relación a los costos que genera un security breach (violación de la seguridad de una organización que puede atentar contra la disponibilidad operativa de la empresa, la filtración de información de sus clientes o la integridad de la misma), tanto directos e indirectos, alcanzando un promedio de US$ 5,97 millones, según datos de la empresa IBM. Entonces, ¿qué deben hacer las instituciones financieras y sus clientes para prevenir ciberataques?
Este sector, que solo es superado por el de la salud con un promedio de costo de US$ 10,10 millones, es uno de los que más invierte en controles de seguridad ya que enfrentan nuevos desafíos impuestos por los nuevos procesos digitales, que requieren nuevas medidas contra el fraude, como también controles más estrictos para autenticar a los usuarios y proteger sus identidades y cuentas, entre otros.
En este sentido, dentro de las recomendaciones de seguridad de IBM para instituciones de servicios financieros está el uso de nubes especializadas que tengan en cuenta los requisitos específicos de privacidad y regulación para cada industria.
También señalan que se deben adoptar principios de privilegios mínimos para la gestión de acceso e identidad, es decir que el usuario pueda acceder solamente a aquella información o aquellos recursos que sean necesarios para su función.
Para proteger mejor las nubes, los datos que alojan y a los que acceden los clientes, esta gestión de acceso e identidad debe funcionar en ambientes de nube híbrida (combinación de una o más nubes públicas y privadas) y en las instalaciones propias.
Por ejemplo, los modelos utilizados para la ciberseguridad en las organizaciones han requerido algunas transformaciones.
Previamente se empleaban aquellos de “confianza implícita” (implicit trust): se “confía” en el usuario que entró dentro del sistema de la organización, pudiendo ser malicioso o no, permitiéndole acceder a información o aplicaciones libremente.
En tanto, el modelo de “cero confianza” (zero trust), es un marco que requiere que todos sus usuarios, dentro o fuera de los sistemas de la organización, deben estar autentificados, autorizados y continuamente validados por la configuración de seguridad antes de tener acceso a aplicaciones e información.
En esta línea, se recomienda limitar el acceso a activos y datos confidenciales, y asegurar el acceso con autenticación multifactor.
Otro de los puntos a tener en cuenta es el de proteger la información de la institución a través del cifrado de datos en “todas partes y en todo momento”, en caso de que un atacante logre acceder a ellos. A su vez, se aconseja asegurar la infraestructura de la organización priorizando los parches más impactantes en función de una evaluación de riesgos de sus propios entornos.
La creación de capacidades y planes de respuesta a incidentes y ponerlos a prueba pasa a ser relevante para la seguridad de la institución.
Aunque hay bancos que colaboran en simulacros de respuesta a incidentes, es necesario que se tengan equipos determinados y sistemas internos para resolver cualquier problema.
Clientes
En tanto, para los usuarios de servicios financieros, dentro las recomendaciones se encuentra la creación de un proceso de registro de cuenta “fácil y breve”, con controles “transparentes que permitan a los bancos confiar en las nuevas identidades de los clientes”.
“La investigación de IBM muestra que los clientes digitales abandonarán los procesos de registro largos o complicados”, señala la empresa.
Utilizar la autenticación multifactor, es decir que además de la contraseña cuente con otros factores como biometría (identificación facial, huella dactilar, entre otros), contraseñas de un solo uso, mensajes de voz, entre más posibilidades. Sino, “como mínimo”, la verificación de dos pasos para que los clientes puedan asegurar sus propias cuentas utilizando dispositivos con los que ya cuentan.
IBM destaca la necesidad de “comunicar con frecuencia y educar sobre el phishing, las estafas y los delitos cibernéticos para cultivar una base de clientes que contribuya a la seguridad general de los servicios”.
Ecosistema
Si bien es necesario desarrollar procesos que mejoren la seguridad dentro de la institución y en la interacción con sus clientes, también se requiere atender los “flancos” que se pueden abrir a raíz de las adquisiciones de otras empresas o con el trato de proveedores, por ejemplo.
En este sentido, una de las recomendaciones es que “para innovar mientras se mantiene seguro es clave que los estándares de seguridad se extiendan desde la propia empresa a las relaciones con los proveedores, se inscriban en los contratos de monitoreo y supervisión, así como en las auditorías”.
Según IBM es relevante asegurar la cadena de suministro. “Desde esta perspectiva requiere que los equipos de seguridad ejecuten procedimientos adecuados de gestión de riesgos de terceros (TPRM) con cada nuevo socio”, como también que se “ejecute un inventario de las interfaces de programación de aplicaciones (API, por su sigla en inglés) para mapear los riesgos potenciales, retirar las antiguas y fortalecer las inseguras”.