La formación sobre concienciación en materia de seguridad es un método de prevención de ciberamenazas del que pueden beneficiarse las empresas de servicios financieros. He aquí una exploración de las principales razones para utilizar esta forma de formación si usted es una organización de servicios financieros.

El sector de los servicios financieros ha experimentado una enorme transformación digital en los últimos años. El sector está adoptando las nuevas tecnologías para garantizar mejores experiencias a los clientes y optimizar las operaciones.

Sin embargo, la transformación digital ha hecho que el sector también se haya convertido en un objetivo para los ciberdelincuentes: una encuesta sobre ciberseguridad realizada en 2020 a los CISO y CIO del sector de los servicios financieros, reveló que el 65% de las grandes organizaciones financieras habían sufrido un ciberataque en los 12 meses anteriores. Otro informe, esta vez de Boston Consulting, reveló que el sector financiero experimentó hasta 300 veces más ciberataques que otros sectores.

Formación sobre concienciación en materia de seguridad para los servicios financieros

El hacker ya no reside en el sótano de sus padres vestido con una sudadera con capucha. En su lugar, sofisticadas bandas de piratas informáticos con motivaciones financieras, a veces patrocinadas por el Estado, están haciendo que la ciberdelincuencia sea accesible para todos.

Los modelos de negocio que proporcionan herramientas de pirateo como servicio están disponibles de forma fácil y barata en la web oscura. Estas herramientas, unidas a las habilidades de ingeniería social cada vez más perfeccionadas de los ciberdelincuentes, han provocado un tsunami de ciberataques. Añada a esta mezcla el trabajo a distancia o desde casa y podrá ver que los planetas de las ciberamenazas están alineados.

El Covid-19 ha abierto los ojos a organizaciones de todo el mundo, ya que proliferaron las estafas que se aprovecharon del miedo que rodea a la pandemia. Las estafas que se centraban en los empleados, utilizaban trucos de phishing basados en temas del Covid-19 para robar credenciales de inicio de sesión o datos personales o para conseguir que un empleado instalara software malicioso (incluido ransomware). A medida que cambia el panorama laboral, las tácticas de phishing e ingeniería social siguen siendo una opción clave de los ciberdelincuentes que pretenden hacer daño.

Los resultados de la ingeniería social y el phishing son costosos. Un informe de 2021 de Sophos descubrió que las empresas medianas de servicios financieros gastan alrededor de 2 millones de dólares para recuperarse de un ataque de ransomware; esto es más que la media mundial de 1,85 millones de dólares. El informe también destaca que el 34% de las organizaciones de servicios financieros sufrieron un ataque de ransomware en 2020.

La formación para la concienciación sobre la seguridad es una respuesta eficaz a la ingeniería social utilizada por los piratas informáticos.

Beneficios de la formación en sensibilización sobre seguridad para los servicios financieros

Para evitar que los ciberdelincuentes se aprovechen de los empleados mediante técnicas de ingeniería social y suplantación de identidad, las empresas pueden recurrir a la formación sobre concienciación en materia de seguridad. En los servicios financieros hay cinco beneficios clave de participar en un programa de concienciación:

Cambiar el comportamiento de seguridad de negativo a positivo

Defraudadores, ciberdelincuentes, estafadores, cualquiera que sea el nombre utilizado para describir estas nefastas actividades, todos se centran en el comportamiento humano. La concienciación en materia de seguridad se utiliza para cambiar los malos comportamientos en materia de seguridad con el fin de crear un enfoque positivo de la seguridad de la empresa.

La creación de un comportamiento de seguridad positivo educa al personal sobre los peligros de la ingeniería social. La formación de concienciación también explora los errores que pueden conducir a la exposición de los datos: esto es importante si se tiene en cuenta que las conclusiones del EC-Council muestran que el 64% de los casos de pérdida de datos se atribuyen a personas internas que «tenían buenas intenciones».  

La formación para la concienciación sobre la seguridad enseña a los empleados de toda la organización la importancia de la seguridad. Un paquete de formación eficaz educará al personal utilizando contenidos interactivos y atractivos sobre trucos de seguridad y estafas, además de proporcionar ejercicios de simulación de phishing que enseñen a los empleados a detectar los mensajes de phishing. Una formación continua y eficaz sobre concienciación en materia de seguridad crea un bucle de retroalimentación positiva que anima al personal a hacer frente a los ataques contra la seguridad.

Detenga en seco a los estafadores BEC

Puede que el ransomware ocupe los titulares de las noticias, pero el Business Email Compromise (BEC) afecta a más empresas. El Centro de Denuncias de Delitos en Internet (IC3) del FBI de 2020 muestra que el BEC afecta a 4 veces más empresas que el ransomware. Las empresas de servicios financieros corren el mismo riesgo de sufrir un fraude BEC que cualquier otra organización.

Una revelación de BankInfoSecurity de 2020, detallaba varios fraudes BEC, entre ellos uno que afectaba a un banco con sede en Estados Unidos. En este banco, un empleado recibió un correo electrónico de unos estafadores que se hacían pasar por el director general del banco. El correo electrónico pedía al empleado que enviara urgentemente una transferencia previamente programada de un millón de dólares. El mensaje incluía un cambio en los datos de la cuenta especificando que se debía «al brote de coronavirus y a los procesos y precauciones de cuarentena».

Las estafas BEC suelen implicar una compleja vigilancia de los empleados. Los estafadores llegan incluso a entablar relaciones con los operadores de los servicios de asistencia y otras personas de los departamentos pertinentes, para averiguar información sobre los procesos de la empresa. La formación para la concienciación sobre la seguridad enseña a los empleados los signos de las estafas BEC y los tipos de trucos de ingeniería social que utilizan los estafadores.

Ayuda a garantizar el cumplimiento de la normativa

Los empleados son una parte integral del mantenimiento de la protección de datos y la privacidad. Sus acciones pueden llevar fácilmente a una organización de servicios financieros al ámbito del incumplimiento. Algo tan sencillo como un envío erróneo de un correo electrónico puede acarrear una multa. Una encuesta reciente reveló que el 58% de los empleados admitió haber enviado un correo electrónico a la persona equivocada.

La formación sobre concienciación en materia de seguridad ayuda a evitar que los empleados cometan errores. Disponer de un programa eficaz que ofrezca métricas y automatización de la formación también demuestra el compromiso de una empresa con la seguridad. Disponer de una formación de concienciación sobre la seguridad es obligatorio o muy recomendado por una serie de normas y reglamentos, como ISO27001 y PCI-DSS, que contiene lo siguiente en el requisito 12:

«Implemente un programa formal de concienciación sobre la seguridad para que todo el personal conozca la política y los procedimientos de seguridad de los datos de los titulares de tarjetas».

Construya un cortafuegos humano

Medidas de seguridad como un sólido control de acceso, cortafuegos, protección de puntos finales y encriptación son importantes, pero la ingeniería social está diseñada para pasar por encima de las soluciones de seguridad tradicionales. Los empleados con conocimientos y confianza en la seguridad son una parte vital de las medidas de ciberseguridad de una empresa de servicios financieros.

Utilizando la formación para la concienciación sobre la seguridad, una empresa puede construir un «cortafuegos humano». Cada miembro de un equipo de la organización actúa entonces para reforzar a otros miembros de ese equipo. Al llevar a cabo una formación de seguridad periódica, el cortafuegos humano se hace más fuerte y más eficaz a la hora de detectar trucos de ingeniería social.

Reforzar la moral de los empleados

Un informe de Carbonite muestra el impacto de un ciberataque en las personas, ya que el 24% de los empleados experimentan una bajada de moral tras un ataque. La confianza refuerza la moral del personal. La formación para la concienciación sobre la seguridad es un enfoque centrado en las personas para asegurar los activos de una organización. Al dar a los empleados las herramientas para ayudar a combatir la ciberdelincuencia, una organización está capacitando a su personal para prevenir un ciberataque. La formación para la concienciación sobre la seguridad no sólo ayuda a mantener a salvo a la organización, sino que también contribuye a la moral del personal.

Las organizaciones de servicios financieros de todo el mundo son un objetivo prioritario para los ciberdelincuentes y estafadores. Contar con un personal formado forma parte de una visión más amplia de 360 grados para proteger a una empresa de los estragos de estos ataques maliciosos y siniestros.

Cortafuegos humano