Las empresas de servicios financieros han sido durante mucho tiempo un objetivo recurrente para los ciberdelincuentes. No sin una buena razón, ya que más allá de trabajar con dinero, las compañías financieras manejan una gran cantidad de datos confidenciales de clientes que los delincuentes utilizan en varios esquemas de fraude o venden en mercados de la dark web. Según el informe Data Breach Report 2020 elaborado por Verizon, solo en el último año la industria financiera sufrió más de 1,500 incidentes de seguridad, con 448 casos confirmadas de divulgaciones de datos.
Además de las amenazas de larga data, la mayoría de las empresas han tenido que lidiar recientemente con la rápida transición al trabajo remoto. El cambio se produjo de un momento a otro, lo que dejó a las empresas con poco tiempo para implementar las medidas de seguridad adecuadas o para preparar a los empleados para las amenazas cibernéticas que vendrían. Y aunque la pandemia finalmente desaparecerá, el trabajo remoto llegó para quedarse, sumándose a la lista de desafíos que las empresas deben enfrentar cuando preparan sus planes y políticas de seguridad.
Los siguientes son algunos de los desafíos más comunes con los que a menudo luchan las organizaciones debido a diversos factores:
Falta de profesionales
Si bien muchas empresas pueden estar buscando profesionales experimentados en ciberseguridad (o con potencial) para unirse a sus filas y que puedan ayudarlos a establecer un perímetro defensivo contra diversas amenazas, simplemente no hay suficientes profesionales para todos. De hecho, aunque la brecha de la fuerza laboral en el campo de la ciberseguridad se ha reducido por primera vez en años, todavía hay una escasez global de 3,12 millones de trabajadores. En realidad, para compensar la escasez de talento global, los niveles de empleabilidad tendrían que crecer un 89% en todo el mundo. Por lo tanto, para atraer a las mentes más brillantes en esta industria, las empresas tendrán que ofrecer salarios competitivos y oportunidades laborales atractivas.
Presupuestos insuficientes
Un factor clave que impide a las empresas enfrentar a las amenazas cibernéticas adecuadamente es que no cuentan con presupuestos suficientes asignados para el área de ciberseguridad. Según una encuesta realizada por la consultora Ernst and Young, el 87% de las organizaciones que participaron dijeron que no contaban con presupuesto suficiente para alcanzar los niveles de ciberseguridad y resiliencia que buscaban. La falta de recursos significa que las empresas no pueden contratar suficientes talentos en ciberseguridad o que no pueden implementar las medidas técnicas que necesitan para contrarrestar los ataques.
Sobrestimar las medidas de seguridad propias
Un error común en el que caen muchas empresas es que sobreestiman lo buenas que son sus medidas de ciberseguridad. Si bien pueden creer que están al tanto de las cosas, es posible que las empresas no cuenten con las mejores políticas de actualizaciones de seguridad. Un buen ejemplo, pero al mismo tiempo desafortunado, es la vulnerabilidad BlueKeep en Windows. El parche se emitió en mayo de 2019, y Microsoft instó a todos a parchear de inmediato. Un mes después, la Agencia de Seguridad Nacional de los Estados Unidos emitió su propia advertencia. Pese a esto, en julio aún quedaban más de 805.000 máquinas susceptibles a BlueKeep. La historia continuó con los primeros ataques que explotaban BlueKeep en noviembre. No hace falta decir que reparar una vulnerabilidad tan grave no debería llevar seis meses en ninguna circunstancia.
Falta de capacitación y concientización en temas de seguridad
Otro hecho que suele socavar la ciberseguridad de una empresa es que los empleados no reciben suficiente capacitación en temas de concientización sobre ciberseguridad. Podría decirse que los riesgos de que los empleados sean engañados y acaben descargando malware o compartan sus credenciales se han visto amplificados por el cambio hacia el trabajo remoto que impulsó el COVID-19. Según un estudio realizado por el Instituto Ponemon, aunque las empresas han registrado un aumento de los intentos de ataque durante la pandemia (incluidos los ataques de phishing y de ingeniería social), el 24% de los encuestados considera que sus organizaciones no han proporcionado suficiente formación sobre los riesgos asociados con el trabajo remoto. En América Latina, una encuesta realizada a usuarios a mediados de 2020 por ESET reflejaba que más del 40% de los encuestados consideraba que la empresa en la que trabajaban no estaba preparada en cuanto a equipamiento y conocimiento de seguridad para adaptarse al teletrabajo. Resulta preocupante también que el estudio de Ponemon descubrió que más de la mitad de las empresas no tenían ninguna política de seguridad que cubriera los requisitos de los empleados remotos.
Subestimar el valor de la ciberseguridad
Algunas organizaciones subestiman el valor que tiene la seguridad informática para su negocio y por eso optan por invertir en otros aspectos que consideran más valiosos. Algunos podrán argumentar que los costos superan los beneficios o que el costo de las medidas de ciberseguridad supera las potenciales pérdidas económicas de una brecha de datos. Sin embargo, si bien las posibles multas y pérdidas pueden ser menores a corto plazo, el daño a la reputación podría generar mayores consecuencias, incluida la pérdida de la confianza del cliente, lo que podría repercutir en los ingresos. Alternativamente, si tienen éxito, los ciberdelincuentes podrían obtener acceso a la propiedad intelectual y podrían vender esta información junto con los datos de clientes en la dark web. Por lo tanto, la ciberseguridad no debe ser una ocurrencia tardía, ya que sirve para proteger tanto a la empresa como a sus clientes.
Conclusión
Cualquier combinación de los puntos antes mencionados podría significar una tormenta perfecta para la mayoría de las organizaciones en caso de tener que enfrentarse a un ciberataque. Un aspecto positivo es que en los niveles más altos de las empresas de servicios financieros han comenzado a tomar en serio las preocupaciones entorno a la ciberseguridad. La consultora global de alta dirección McKinsey descubrió que el 95% de los comités de junta que encuestaron dicen que discuten los riesgos cibernéticos y los riesgos tecnológicos al menos cuatro veces al año. Sin embargo, vale la pena señalar que la concientización en la alta dirección tiene que ir de la mano con una adecuada inversión en soluciones de ciberseguridad y en la formación del personal con los mejores estándares posibles.