viernes, 15 de abril de 2016

4 desafíos de ciberseguridad en el sector financiero

Solo el 26% de los encuestados en América Latina confía plenamente en su institución bancaria en cuanto a la protección de su información, lo cual plantea desafíos de ciberseguridad en el sector financiero


Las pérdidas por crímenes cibernéticos a nivel mundial son de300 mil millones a 1 trillón de dólares. En América Latina solo el26% confía plenamente en su institución bancaria en cuanto a la protección de su información.

Las nuevas tecnologías se integran cada vez más en nuestra vida diaria, y el manejo de las finanzas no es una excepción. Como usuarios finales, tenemos expectativas de un nivel de servicio rápido y de calidad.

Eso se logra con la adopción de nuevas aplicaciones que, aunque traen grandes beneficios, también generan desafíos interesantes para los encargados de la tecnología y ciberseguridadde las instituciones financieras.

Un ejecutivo de TI en el sector financiero tiene que responder rápidamente a los requerimientos del negocio con nuevos recursos y soluciones tecnológicas, sin sacrificar la ciberseguridad. Por esta razón, estos profesionales son habilitadores de negocio y son clave para que sus empresas continúen creciendo.

Tendencias de TI aplicadas al sector financiero

Ofertas de servicios en dispositivos móviles. Cada vez más instituciones buscan acercar la bancarización al usuario final, sobre todo a nichos que antes no usaban servicios financieros. Acercar la banca al usuario final exige habilitar la apertura de productos de captación y colocación, llevando la fuerza comercial de la sucursal bancaria al usuario final, para lo cual es imprescindible habilitar el uso de aplicaciones y dispositivos móviles.

Acceso a WiFi en las sucursales. Varias instituciones financieras están incursionando en ofrecer acceso a Internet a través de una red WiFi para que los usuarios que visitan sus sucursales aprendan cómo acceder a soluciones para que no tengan que trasladarse hasta el banco, pudiendo realizar estas transacciones desde el dispositivo móvil o desde el portal de la entidad financiera.

Habilitación de dispositivos móviles como medio de pago. Diversos bancos han trabajado con negocios y compañías de tarjetas de crédito para ofrecer a sus usuarios nuevas herramientas que le faciliten su vida diaria, incluyendo el presentar su teléfono inteligente como un medio de pago, en vez de pasar una tarjeta física.

Estas tendencias de nuevos servicios han sido posibles gracias a la adopción de nuevas tecnologías y la visión de empresas y sus equipos de TI y de ciberseguridad, para buscar mejores maneras de servir a su publico. Sin embargo, esto conlleva desafíos interesantes, por ejemplo:
  • Soluciones integradas: Los equipos de TI han encontrado que, para ofrecer estos nuevos servicios, se necesitan cada vez más controles de seguridad. Proveedores tradicionales que ofrecen soluciones específicas por separado no son la vía mas eficiente ni viable económicamente. Nuevos jugadores han llamado la atención de estas instituciones financieras al ofrecer soluciones integradas que ofrecen mayor visibilidad y control de las herramientas de seguridad y monitoreo de las acciones en el área de ciberseguridad.
  • Visibilidad: Recientes estudios del Information Security Forum (ISF) indican que las empresas buscan que la función de seguridad de TI tenga visibilidad y análisis para grandes cantidades de datos como un elemento fundamental de la gestión estratégica de la seguridad. Las tecnologías y controles deberían proveer la capacidad de presentar una postura de seguridad, al igual que visibilidad sobre la efectividad de la gestión.
  • Servicios en la nube: Las empresas del sector financiero están optando por utilizar servicios en la nube. Esto trae el reto de tener la capacidad de contar con tecnologías y esquemas de protección que faciliten la adopción de estos servicios de manera segura. Constituye un reto para los proveedores de tecnologías de seguridad en cuanto a la capacidad de integración.
  • Cumplimiento regulatorio: Es clave mantenerse al tanto de nuevas decisiones y otras medidas dentro del marco regulatorio para asegurar que las nuevas tendencias y ofertas de nuevos servicios y tecnologías sean viables.
Ciberataques más comunes

El entorno regulatorio alrededor de la ciberseguridad y el sector financiero definitivamente ha evolucionado y merece prácticamente ser tratado por separado. Sin embargo, es importante mencionar que estas instituciones no enfrentan los desafíos de ciberseguridad solas, ya que muchas asociaciones de profesionales a través de la región están colaborando para concientizar acerca de las regulaciones, los nuevos retos y los riesgos de estos avances. Esto demuestra como el tema se ha convertido en núcleo importante de las conversaciones estratégicas del sector

En términos de los ciberataques más comunes cabe destacar que el ultimo año ha marcado el regreso del Ransomware. Es un estilo de ciberataque que se conoce como secuestro de información, donde el cibercriminal utiliza un código malicioso para acceder al servidor de la institución y luego exige un pago para dar acceso nuevamente a los datos. Si no se emite el pago, los archivos son destruidos o quedan encriptados y no se pueden acceder. Esto implica un gran impacto monetario y operacional para cualquier organización.

De hecho, en términos de impacto económico, las pérdidas por crímenes cibernéticos a nivel mundial son de 300 mil millones a 1 trillón de dólares.

Otros ataques cada vez más comunes son aquellos dirigidos a los sistemas operativos de los dispositivos móviles, con aplicaciones que se ven muy similares a las oficiales, pero que están configuradas con un código malicioso que abre puertas a credenciales y otros datos. Si los bancos invitan a sus usuarios a usar sus dispositivos móviles para hacer transacciones y estos están infectados, eventualmente podrían poner en riesgo los datos de los clientes.

A estos ataques se suman las APT (amenazas persistentes avanzadas) que se pueden mantener al interior de las redes informáticas de las empresas, accediendo y extrayendo información sin que los controles tradicionales, como los antivirus o los IPS (sistemas de prevención de intrusos) puedan detectarlos y eliminarlos, obligando a las organizaciones de ciberseguridad y de TI a implementar tecnologías anti-APT para hacerles frente.

A pesar del trabajo que el sector ha realizado para manejar los más altos estándares de ciberseguridad, un estudio de Fortinet en 2015, reveló que solo el 26% de los encuestados en América Latina confía plenamente en su institución bancaria en cuanto a la protección de su información.

El 64% indicó que no haría negocios con compañías que han sufrido fugas de datos o hackeos. Esto demuestra que las expectativas son altas y que esperan que las organizaciones puedan ofrecer servicios con adecuados niveles de seguridad. Pero los consumidores también deben adoptar medidas adecuadas para proteger sus dispositivos y datos personales, como, por ejemplo:
  • Medidas clásicas ya conocidas. Hay usuarios que todavía no las ponen en práctica, comoutilizar una contraseña robusta, no acceder a enlaces sospechosos, no instalar aplicaciones que no sean reconocidas y no compartir datos personales con desconocidos.
  • Invertir en la protección de sus datos. Los usuarios también deben estar conscientes de la importancia de implementar controles en sus dispositivos y estar dispuestos a invertir por soluciones más robustas y seguras en vez de tratar de ahorrar usando aplicaciones gratis que a veces son usadas como herramientas cibercriminales.
Aunque existen nuevos retos, definitivamente la tecnología ha permitido a las instituciones financieras agilizar sus servicios y ofrecer soluciones que facilitan la vida de sus usuarios. Este nuevo paradigma provee una gran oportunidad a los profesionales de TI para ofrecer más valor a su empresa al suministrar información oportuna y relevante que ayude a tener una visión general y un análisis integral de riesgos.