5 razones por las que (no solo) las empresas financieras luchan con la ciberseguridad


¿Por qué muchas organizaciones tienen dificultades para mantenerse al día con el panorama de amenazas en evolución y gestionar eficazmente sus riesgos cibernéticos?

Las empresas de servicios financieros han sido un objetivo well known para los ciberdelincuentes durante mucho tiempo. No sin una buena razón, ya que más allá de trabajar con dinero, las compañías financieras manejan una gran cantidad de datos confidenciales de clientes que los delincuentes utilizan en varios esquemas de fraude o venden en bazares de la net oscura. De acuerdo a Informe de investigaciones de filtración de datos de Verizon 2020, solo en el último año, la industria financiera ha sufrido más de 1.500 incidentes, con 448 revelaciones de datos confirmadas.

Además de las amenazas de larga data, la mayoría de las empresas han tenido que lidiar con la rápida transición al trabajo remoto. El cambio se produjo con muy poca antelación, lo que dejó a las empresas con poco tiempo para implementar medidas de ciberseguridad adecuadas o para preparar a los empleados para las amenazas cibernéticas que se avecinaban. Y aunque la pandemia eventualmente disminuirá, el trabajo remoto llegó para quedarse, lo que se suma a la lista de desafíos que las empresas deben enfrentar cuando preparan sus planes y políticas de ciberseguridad. Esto es algo con lo que a menudo luchan ya debido a varios factores hemos reunido cinco de ellos:

Brecha de talento

Si bien muchas empresas pueden estar a la caza de profesionales de ciberseguridad experimentados o prometedores para unirse a sus filas y ayudarlos a establecer un perímetro defensivo contra diversas amenazas, simplemente no hay suficientes para todos. De hecho, aunque el la brecha de la fuerza laboral en ciberseguridad se ha reducido por primera vez en años, todavía hay una escasez world de 3,12 millones de trabajadores. En realidad, para compensar la escasez de talento worldwide, los niveles de empleo tendrían que crecer un 41% en los Estados Unidos y un 89% en todo el mundo. Por lo tanto, para atraer a las mentes mejores y más brillantes de la seguridad cibernética, las empresas tendrán que ofrecer salarios competitivos y oportunidades laborales satisfactorias.

Presupuestos insuficientes

Un área clave que impide que las empresas aborden las amenazas cibernéticas de manera frontal es que no tienen suficientes presupuestos asignados a la ciberseguridad. De acuerdo a un encuesta realizada por la consultora Ernst and Youthful, el 87% de las organizaciones encuestadas dijeron que no tenían un presupuesto suficiente para alcanzar los niveles de ciberseguridad y resiliencia que buscaban. La falta de recursos significa que las empresas no pueden contratar suficientes talentos en ciberseguridad o instituir las medidas técnicas que necesitan para ser resilientes cuando se enfrentan a diversas amenazas cibernéticas.

Sobrestimando su propia ciberseguridad

Un mistake común que cometen las empresas es que sobreestiman lo buenas que son sus medidas de ciberseguridad. Si bien pueden creer que están al tanto de las cosas, es posible que las empresas no cuenten con las mejores políticas de administración de parches de vulnerabilidad. Un buen ejemplo, pero al mismo tiempo desafortunado, es la vulnerabilidad BlueKeep presente en Windows. El parche fue emitido en mayo de 2019, con Microsoft instando a todos a parchear de inmediato un mes después, el La Agencia de Seguridad Nacional emitió su propia advertencia, sin embargo, en julio todavía quedaban más de 805.000 máquinas susceptibles a la falla de seguridad y culminó con la primeros ataques BlueKeep en noviembre. No hace falta decir que reparar una vulnerabilidad tan grave no debería llevar seis meses bajo ninguna circunstancia.

Falta de formación en sensibilización

Otra ocurrencia común que socava la ciberseguridad de una empresa es que los empleados no reciben suficiente capacitación en concientización sobre ciberseguridad. Podría decirse que los riesgos de que los empleados sean engañados para que descarguen malware o abandonen las credenciales de su empresa se han visto amplificados debido al cambio impulsado por COVID-19 al trabajo remoto. De acuerdo a un estudio realizado por el Ponemon Institute, aunque las empresas han registrado un aumento en los ataques cibernéticos durante la pandemia (incluidos los ataques de phishing y de ingeniería social), el 24% de los encuestados consideró que sus organizaciones no habían proporcionado suficiente capacitación sobre los riesgos asociados con el trabajo remoto. Es preocupante que el estudio también descubrió que más de la mitad de las empresas no tenían ninguna política de seguridad que cubriera los requisitos de los empleados remotos.

Subestimar el valor de la ciberseguridad

Algunas organizaciones subestiman el valor de la ciberseguridad para su negocio y en su lugar optan por invertir en otros aspectos que consideran más valiosos, como financiar expansiones o desarrollar nuevos productos. Podrían argumentar que los costos superan los beneficios, como el costo de las medidas de ciberseguridad que superan las pérdidas potenciales de una violación de datos. Sin embargo, si bien las multas y pérdidas potenciales pueden ser menores a corto plazo, el daño a la reputación podría conducir a mayores consecuencias, incluida la pérdida de la confianza del cliente, lo que afectaría las fuentes de ingresos. Alternativamente, si tienen éxito, los ciberdelincuentes podrían obtener acceso a la propiedad intelectual que podrían vender junto con los datos del cliente en la web oscura. Por lo tanto, la ciberseguridad no debería ser una ocurrencia tardía, ya que sirve para proteger tanto a la empresa como a sus clientes.

Conclusión

Cualquier combinación de los factores antes mencionados podría significar una tormenta perfecta para la mayoría de las organizaciones cuando se enfrentan a un ciberataque. En el lado positivo, las empresas de servicios financieros han comenzado a tomar en serio las preocupaciones de ciberseguridad al más alto nivel. Firma de consultoría de gestión worldwide McKinsey encontró que el 95% de los comités de la junta que encuestaron dicen que discuten los riesgos cibernéticos y los riesgos tecnológicos al menos cuatro veces al año. Sin embargo, vale la pena señalar que la creación de conciencia en la alta dirección tiene que ir de la mano con la inversión de sumas adecuadas en soluciones de ciberseguridad y la formación del private con los mejores estándares posibles.





Enlace a la noticia original