Es crucial impartir una formación de concienciación sobre la seguridad a su equipo financiero para ayudarles a comprender los riesgos asociados a los datos y las transacciones financieras y prevenir posibles violaciones de la seguridad.

En diciembre de 2021, unpirata informático que se hizo pasar por el director generalde una empresa metalúrgica francesa llamó por teléfono al contable de la compañía y consiguió engañarle para que enviara una «transferencia urgente y confidencial» de 300.000 euros (264.000 libras esterlinas) a la cuenta bancaria de un estafador. La banda que estaba detrás de esta estafa Business Email Compromise (BEC) robó alrededor de 40 millones de dólares (33 millones de libras) antes de ser capturada por Europol. Este tipo de estafas preocupan cada vez más al departamento financiero de una organización y suponen un enorme riesgo para la seguridad de la información.

El equipo financiero de una organización siempre ha atraído a los ciberdelincuentes porque maneja los hilos de la empresa, y los ciberdelincuentes siguen el dinero. Como tal, cualquier persona del equipo financiero debe convertirse en un objetivo potencial para estafadores y defraudadores. Los ataques de ransomware, las estafas BEC/CEO y las ciberamenazas que cosechan credenciales de inicio de sesión forman parte de los mayores riesgos asociados a un departamento financiero y a los miembros de su equipo.

La formación en materia de concienciación sobre seguridad para los equipos financieros es esencial para hacer frente a las estafas centradas en el ser humano, como el fraude BEC. He aquí las mejores prácticas de MetaCompliance para garantizar que su equipo financiero es consciente de los riesgos de sus funciones.

Cinco mejores prácticas para impartir formación sobre concienciación en materia de seguridad a su equipo financiero

El equipo financiero es como un blanco fácil a menos que su concienciación en materia de seguridad se centre en los riesgos específicos a los que se enfrentan. He aquí nuestras cinco mejores prácticas para garantizar que su formación en materia de seguridad sea eficaz:

Centrarse en las amenazas de alto riesgo para el departamento financiero

El equipo financiero corre el riesgo de sufrir vulnerabilidades específicas, ya que puede transferir dinero o dispone de credenciales de acceso privilegiadas con acceso a información financiera. Este nivel de poder que ostenta el equipo financiero en una organización significa que es más probable que las amenazas específicas se dirijan a este departamento. Por lo tanto, el programa de formación sobre concienciación en materia de seguridad es más eficaz cuando se adapta a funciones específicas de una organización, y un miembro del equipo financiero es una de esas funciones.

La Formación para la concienciación sobre la seguridad basada en funciones aborda tipos específicos de amenazas que se ciernen sobre determinadas funciones de los empleados. Cree un programa de formación sobre concienciación en materia de seguridad basado en funciones que se apoye en la concienciación en materia de seguridad básica centrándose en los tipos de riesgos y amenazas que probablemente experimente un miembro del equipo o departamento financiero; entre ellos se incluyen los siguientes:

  • Compromiso del correo electrónico empresarial (BEC): eduque a los empleados sobre cómo se lleva a cabo este sofisticado ciberataque en varias fases. Asegúrese de que entienden cómo los ciberatacantes utilizan la ingeniería social para engañarles haciéndoles creer que son un ejecutivo de nivel C o un proveedor crítico.

  • Fraude de facturas: suele implicar el compromiso de un proveedor de la empresa, pero también es un subconjunto del fraude BEC. Los estafadores se hacen pasar por el proveedor y solicitan el pago de una factura.

  • Fraude del director ejecutivo (CEO): otra variante de estafa BEC, los estafadores se hacen pasar por un ejecutivo de nivel C para engañar al equipo financiero y conseguir que pague una factura falsa. A menudo, los estafadores piratean o suplantan una cuenta de correo electrónico de un ejecutivo de nivel C.

  • Fraude de desvío de salario: los defraudadores se hacen pasar por un empleado y solicitan que el departamento de nóminas cambie los datos de su cuenta para que su salario sea abonado a los defraudadores.

Construya simulaciones de phishing que reflejen los riesgos para los equipos financieros

La ICObritánicamultó recientemente a Interserve Group Limitedcon 4,4 millones de libras por no haber utilizado las medidas de seguridad adecuadas para prevenir un ciberataque; el ataque comenzó con un correo electrónico de phishing enviado a un empleado del departamento de contabilidad. Una serie de acontecimientos, como la descarga del archivo adjunto malicioso del correo electrónico y el incumplimiento de los protocolos de seguridad de la empresa, provocaron la pérdida de datos personales confidenciales de 113.000 empleados. Incluso con pasarelas antiphishing, los mensajes de phishing se cuelan a medida que los ciberdelincuentes innovan para eludir la detección.

Los ejercicios de simulación de phishing adaptados al tipo de riesgos que corre el equipo de finanzas son una práctica recomendada imprescindible en una formación eficaz sobre concienciación en materia de seguridad. Algunas plataformas avanzadas de simulación de phishing le proporcionarán una variedad de plantillas de phishing que podrá utilizar para adaptar sus ejercicios de formación sobre phishing a las necesidades del equipo de su departamento financiero.

Crear escenarios de juegos de rol

Los equipos financieros corren el riesgo de verse comprometidos por el correo electrónico comercial y otros tipos de fraude multifacético relacionados que utilizan la ingeniería social. Para garantizar la eficacia de la formación sobre concienciación en materia de seguridad, cree escenarios en los que se representen con el equipo financiero las fases típicas de una estafa financiera, de modo que puedan empezar a reconocer los trucos que utilizan los estafadores. Los escenarios basados en roles deben utilizarse junto con la formación tradicional de concienciación sobre la seguridad y los ejercicios de phishing simulado para hacer hincapié en las complejas manipulaciones que utilizan los estafadores.

No olvide la higiene de la seguridad

El departamento financiero no sólo se ocupa del dinero, sino también de datos financieros y personales sensibles. ElInforme de Verizon 2022 sobre investigaciones de filtraciones de datos(DBIR, por sus siglas en inglés) descubrió que diversos problemas relacionados con errores humanos causaron ciberataques y provocaron la exposición de datos.

Los errores humanos causaron el 82% de las violaciones de datos, según el informe. Los errores incluyeron el envío erróneo de correos electrónicos, por ejemplo, el envío de datos en un correo electrónico a la persona equivocada. Así que, cuando forme a los equipos financieros sobre su papel en la seguridad, recuerde los detalles, como asegurarse de que se comprueban las listas de destinatarios de los correos electrónicos antes de enviar información importante.

Extienda la concienciación sobre seguridad a los trabajadores remotos del equipo de finanzas

LaOficina de Estadísticas Nacionalesdel Reino Unido (ONS) descubrió que el 38% de los empleados afirmaron haber trabajado desde casa en algún momento de los siete días anteriores. Es probable que los empleados de los departamentos financierosdeseen trabajar desde casa, ya que los estudios demuestran que este factor es esencial para retener a los empleados. También es probable que la aparición de la semana de cuatro días haga que el trabajo a distancia e híbrido siga siendo un elemento popular para atraer talentos.

Cuando cree una campaña de formación sobre concienciación en materia de seguridad dirigida a los miembros del equipo financiero, asegúrese de formar a los empleados sobre los riesgos de seguridad del trabajo a distancia. Entreteja elementos como el papel del empleado en el mantenimiento del cumplimiento de la normativa y cuestiones de higiene de la seguridad como el uso de pasarelas seguras y VPN.

Mediante el uso de estas mejores prácticas de concienciación sobre seguridad y centrándose en los retos únicos de trabajar en un equipo financiero, su empresa puede reducir los riesgos de delitos insidiosos y costosos como el fraude BEC.

Concienciación sobre ciberseguridad para dummies