La formación para la concienciación sobre la seguridad es un método de prevención de ciberamenazas del que pueden beneficiarse las empresas de servicios financieros. A continuación se analizan las principales razones para utilizar esta forma de formación si se trata de una organización de servicios financieros.
El sector de los servicios financieros ha experimentado una enorme transformación digital en los últimos años. El sector está adoptando las nuevas tecnologías para garantizar una mejor experiencia del cliente y optimizar las operaciones.
Sin embargo, la transformación digital ha hecho que el sector se convierta también en un objetivo para los ciberdelincuentes: una encuesta sobre ciberseguridad realizada en 2020 a los CISO y CIO del sector de los servicios financieros, reveló que el 65% de las grandes organizaciones financieras habían sufrido un ciberataque en los 12 meses anteriores. Otro informe, esta vez de Boston Consulting, reveló que el sector financiero experimentó hasta 300 veces más ciberataques que otros sectores.
Formación en materia de seguridad para los servicios financieros
El hacker ya no reside en el sótano de sus padres vestido con una sudadera. En su lugar, bandas de hackers sofisticadas, con motivación financiera y a veces patrocinadas por el Estado, están haciendo que la ciberdelincuencia sea accesible para todos.
Los modelos de negocio que proporcionan herramientas de hacking como servicio están disponibles de forma fácil y barata en la web oscura. Estas herramientas, junto con las habilidades de ingeniería social cada vez más perfeccionadas de los ciberdelincuentes, han provocado un tsunami de ciberataques. Si añadimos a esta mezcla el trabajo a distancia o en casa, podemos ver que los planetas de las ciberamenazas están alineados.
Covid-19 ha sido una revelación para las organizaciones de todo el mundo, ya que han proliferado las estafas que se han aprovechado del miedo que rodea a la pandemia. Las estafas que se centraban en los empleados, utilizaban trucos de phishing basados en los temas de Covid-19 para robar credenciales de inicio de sesión o datos personales o para conseguir que un empleado instalara un software malicioso (incluido el ransomware). A medida que cambia el panorama laboral, las tácticas de phishing y la ingeniería social siguen siendo una opción clave de los ciberdelincuentes que pretenden hacer daño.
Los resultados de la ingeniería social y el phishing son costosos. Un informe de 2021 de Sophos descubrió que las empresas medianas de servicios financieros gastan alrededor de 2 millones de dólares para recuperarse de un ataque de ransomware; esto es más que la media mundial de 1,85 millones de dólares. El informe también destaca que el 34% de las organizaciones de servicios financieros sufrieron un ataque de ransomware en 2020.
La formación para la concienciación sobre la seguridad es una respuesta eficaz a la ingeniería social utilizada por los hackers.
Beneficios de la formación en materia de seguridad para los servicios financieros
Para evitar que los ciberdelincuentes se aprovechen de los empleados mediante técnicas de ingeniería social y suplantación de identidad, las empresas pueden recurrir a la formación para la concienciación en materia de seguridad. En los servicios financieros hay cinco beneficios clave de participar en un programa de concienciación:
Cambiar el comportamiento de seguridad de negativo a positivo
Los estafadores, los ciberdelincuentes, los timadores, sea cual sea el nombre utilizado para describir estas nefastas actividades, todos se centran en el comportamiento humano. La concienciación en materia de seguridad se utiliza para cambiar los malos comportamientos en materia de seguridad para crear un enfoque positivo de la seguridad de la empresa.
La creación de un comportamiento de seguridad positivo educa al personal sobre los peligros de la ingeniería social. La formación de concienciación también explora los errores que pueden llevar a la exposición de los datos: esto es importante si se tiene en cuenta que los resultados del EC-Council muestran que el 64% de los eventos de pérdida de datos se atribuyen a personas con "buenas intenciones".
La formación en materia de seguridad enseña a los empleados de toda la organización la importancia de la seguridad. Un paquete de formación eficaz educará al personal mediante contenidos interactivos y atractivos sobre trucos y estafas de seguridad, además de proporcionar ejercicios de simulación de phishing que enseñen a los empleados a detectar los mensajes de phishing. Una formación de concienciación sobre la seguridad continua y eficaz crea un bucle de retroalimentación positiva que anima al personal a enfrentarse a los ataques a la seguridad.
Detiene a los estafadores de BEC en su camino
El ransomware puede ser noticia, pero el Business Email Compromise (BEC) afecta a más empresas. El Centro de Denuncias de Delitos en Internet (IC3) del FBI de 2020 muestra que el BEC afecta a 4 veces más empresas que el ransomware. Las empresas de servicios financieros corren el mismo riesgo de fraude que cualquier otra organización.
Un informe de 2020 de BankInfoSecurity, detalló varias cuentas de fraude BEC, incluyendo una que involucraba a un banco con sede en Estados Unidos. En este banco, un empleado recibió un correo electrónico de los estafadores haciéndose pasar por el director general del banco. El correo electrónico pedía al empleado que enviara urgentemente una transferencia previamente programada de un millón de dólares. El mensaje incluía un cambio en los detalles de la cuenta especificando que esto era "debido al brote de coronavirus y a los procesos y precauciones de cuarentena."
Las estafas BEC suelen implicar una compleja vigilancia de los empleados. Los estafadores llegan incluso a entablar relaciones con los operadores del servicio de asistencia y otros departamentos relevantes, para averiguar información sobre los procesos de la empresa. La formación en materia de seguridad enseña a los empleados los signos de las estafas BEC y los tipos de trucos de ingeniería social utilizados por los estafadores.
Ayuda a garantizar el cumplimiento de la normativa
Los empleados son una parte integral del mantenimiento de la protección de datos y la privacidad. Sus acciones pueden llevar fácilmente a una organización de servicios financieros al ámbito del incumplimiento. Algo tan sencillo como un envío erróneo de un correo electrónico puede dar lugar a una multa. Una encuesta reciente reveló que el 58% de los empleados admitió haber enviado un correo electrónico a la persona equivocada.
La formación en materia de seguridad ayuda a evitar que los empleados cometan errores. Contar con un programa eficaz que ofrezca métricas y automatización de la formación también demuestra el compromiso de la empresa con la seguridad. Disponer de una formación de concienciación en materia de seguridad es obligatorio o se recomienda encarecidamente en una serie de normas y reglamentos, como la ISO27001 y la PCI-DSS, que contiene lo siguiente en el requisito 12:
"Implantar un programa formal de concienciación sobre la seguridad para que todo el personal conozca la política y los procedimientos de seguridad de los datos de los titulares de las tarjetas".
Construir un cortafuegos humano
Las medidas de seguridad como el control de acceso robusto, los cortafuegos, la protección de los puntos finales y el cifrado son importantes, pero la ingeniería social está diseñada para pasar las soluciones de seguridad tradicionales. Los empleados con conocimientos y confianza en la seguridad son una parte vital de las medidas de ciberseguridad de una empresa de servicios financieros.
Con la formación en materia de seguridad, una empresa puede construir un "cortafuegos humano". Cada miembro de un equipo de la organización actúa entonces para reforzar a otros miembros de ese equipo. Al llevar a cabo una formación periódica en materia de seguridad, el cortafuegos humano se hace más fuerte y más eficaz a la hora de detectar trucos de ingeniería social.
Reforzar la moral de los empleados
Un informe de Carbonite muestra el impacto de un ciberataque en los individuos, con un 24% de empleados que experimentan una caída de la moral después de un ataque. La confianza aumenta la moral del personal. La formación para la concienciación sobre la seguridad es un enfoque centrado en las personas para proteger los activos de una organización. Al dar a los empleados las herramientas para ayudar a combatir la ciberdelincuencia, una organización está capacitando a su personal para prevenir un ciberataque. La formación para la concienciación en materia de seguridad no sólo ayuda a mantener la seguridad de la organización, sino que también contribuye a la moral del personal.
Las organizaciones de servicios financieros de todo el mundo son un objetivo prioritario para los ciberdelincuentes y estafadores. Contar con un personal formado forma parte de una visión más amplia de 360 grados para proteger a una empresa de los estragos de estos ataques maliciosos y siniestros.
