El escenario de la ciberseguridad actual es una preocupación que afecta a todos los sectores: vemos amenazas que evolucionan a un ritmo superior que la capacidad de las organizaciones de hacerles frente. Particularmente en la banca, el intercambio de datos con terceros, así como el impulso de la Banca Abierta (Open Banking), deja a las compañías con más flancos de los cuales preocuparse. Además, las amenazas cibernéticas están volviéndose más sofisticadas, debido a la disponibilidad de herramientas de alta tecnología. Así, por ejemplo, el auge del Internet de las Cosas (IoT) significa flancos abiertos múltiples ante la proliferación de dispositivos inseguros, y nuestras oficinas y hogares pueden estar repletos de dispositivos que pueden ser usados como vectores de ataque para los criminales.
Todo esto está ocurriendo en un momento en que los riesgos cibernéticos se están expandiendo mucho más allá de los límites tradicionales de las empresas, incluyendo a alianzas, socios y proveedores, entre otros actores del ecosistema.
Un escenario que se dificulta aún más al tomar en cuenta la importante brecha de talento que existe hoy en las industrias en temas de ciberseguridad.
De acuerdo a un estudio, realizado por Accenture entre 4.600 ejecutivos de 15 países, para determinar la situación actual de ciberseguridad en las diferentes industrias, el 80% de los ejecutivos de la banca a nivel mundial dice estar “confiado” o “muy confiado” sobre la efectividad de sus tecnologías y capacidades de ciberseguridad.
Sin embargo, actualmente uno de cada 7 ataques es exitoso y 42% de estos ataques no es detectado en más de una semana en esa industria. Además, 62% de los encuestados dice que demora más de 30 días en reparar la violación de seguridad, mientras 9% tarda más de 30 días en detectar el ataque. Esta evidente brecha entre percepción y realidad impulsa a las empresas a seguir avanzando en el desarrollo de una estrategia de ciberseguridad robusta, ya que los atacantes se están volviendo cada vez más sofisticados y pueden afectar fuertemente a las empresas, además de exponer la información de sus consumidores. De esa forma, a pesar de que los ciberatacantes están usando las tecnologías emergentes para hacer más sofisticados sus ataques, la banca no está invirtiendo lo suficiente en tecnologías clave como Inteligencia Artificial y Machine Learning (43%), y Automatización (38%), en el contexto de ciberdefensa.
Las capacidades de automatización permiten a los equipos de seguridad responder casi en tiempo real a las amenazas, mientras los algoritmos de Machine Learning están reemplazando las revisiones manuales.
Además, de acuerdo con el estudio de Accenture, solo 22% de los bancos a nivel mundial ha realizado aumentos significativos en su inversión para ciberseguridad en los últimos tres años y solo el 34% planea hacerlo en los próximos tres años. Pero no se trata solo de aumentar las inversiones, sino que de enfocarlas de forma estratégica. De esa manera, es de gran relevancia estar atentos a los ataques internos, ya que, de acuerdo con los resultados del estudio de Accenture, de los ataques realizados en el último año en los bancos, 64% fue de origen interno, 56% de hackers, 46% por información publicada accidentalmente y 40% de un error de configuración que afectó la seguridad.
Cultura de seguridad
Otro tema clave es el entrenamiento. Las empresas deben preparar a sus empleados para posibles ataques a través de simulaciones y generar al interior de sus organizaciones una cultura de la seguridad. Una muestra de la relevancia que tiene este factor es el hecho de que, según los resultados del reporte de Accenture, dos tercios de las violaciones de seguridad fueron identificados por el equipo de ciberseguridad, mientras que de las brechas no detectadas, un 72% fue identificado por empleados de las compañías afectadas.
Como base de todo lo anterior, el elemento fundamental para alcanzar una estrategia de ciberseguridad exitosa es la evolución del rol del Chief Information Security Officer (CISO), quien debe estar cien por ciento integrado en el negocio. La ciberseguridad debe estar entre los primeros temas de la agenda de los directorios, porque genera valor y lealtad entre las personas.
Creando ecosistemas
La pregunta final con la que debemos cerrar y abrir la discusión en las diversas instituciones: ¿es posible hacer todo lo anterior de forma aislada? ¿Solo aumentando el presupuesto y teniendo una estrategia de silo? Lo descubierto en el último TechVision de Accenture es que no, no es posible: el 87% de los ejecutivos entrevistados está de acuerdo en que, para ser verdaderamente resilientes, las organizaciones deben repensar sus enfoques de seguridad de una manera que no solo les permitan defenderse a sí mismas, sino también a sus ecosistemas. Cuanto antes empiecen las empresas a crear asociaciones de seguridad que reflejen los ecosistemas en los que participan, antes comenzarán a construir un negocio más resistente. La seguridad es un mundo claramente marcado por los ecosistemas digitales, y ya no se trata de proteger a la organización, sino que de proteger a todos.
En este sentido, las entidades financieras y los reguladores pueden estar en un buen pie para compartir información de ciberseguridad, en actuar de forma colegiada como se ha hecho en otros temas. Solo basta recordar un evento relevante que vimos recientemente en el mercado local. Un ataque puntual a un empleado, por medio de una red social privada (LinkedIn) sin efectos directos a los usuarios, tenía todos los componentes para ser tratado entre cuatro paredes, sin publicidad.
No obstante, la decisión acertada de la empresa afectada fue hacerlo público, hablar del asunto y con eso tener a la banca y a otras industrias en alerta por nuevas formas de ataque. De esa forma, cooperando para lograr un ecosistema sano e informado, no solo se hacen más atractivos para sus socios de negocios (empresas de telecomunicaciones, gobierno o retail), sino también para sus consumidores finales, que están cada vez más exigentes y dispuestos a diferenciar a las marcas por su seguridad.