Es crucial impartir formación sobre concienciación en materia de seguridad a su equipo financiero para ayudarles a comprender los riesgos asociados a los datos y las transacciones financieras y prevenir posibles brechas de seguridad.
En diciembre de 2021, unhacker que se hizo pasar por el director generalde una empresa metalúrgica francesa llamó por teléfono al contable de la compañía y consiguió engañarle para que enviara una "transferencia urgente y confidencial" de 300.000 euros (264.000 libras) a la cuenta bancaria de un estafador. La banda que estaba detrás de esta estafa de Business Email Compromise (BEC) robó unos 40 millones de dólares (33 millones de libras) antes de ser descubierta por Europol. Este tipo de estafas preocupan cada vez más al departamento financiero de una organización y suponen un enorme riesgo para la seguridad de la información.
El equipo financiero de una organización siempre ha atraído a los ciberdelincuentes porque maneja los hilos de la empresa, y los ciberdelincuentes siguen el dinero. Como tal, cualquier persona del equipo financiero debe convertirse en un objetivo potencial para estafadores y defraudadores. Los ataques de ransomware, las estafas BEC/CEO y las ciberamenazas que recopilan credenciales de inicio de sesión forman parte de los mayores riesgos asociados a un departamento financiero y a los miembros de su equipo.
La formación en materia de seguridad para los equipos financieros es esencial para hacer frente a estafas centradas en el ser humano, como el fraude BEC. Estas son las mejores prácticas de MetaCompliance para garantizar que su equipo financiero es consciente de los riesgos de sus funciones.
Cinco mejores prácticas para impartir formación de concienciación sobre seguridad a su equipo financiero
El equipo financiero es como un blanco fácil a menos que la concienciación sobre seguridad se centre en los riesgos específicos a los que se enfrentan. Estas son nuestras cinco mejores prácticas para garantizar que su formación en seguridad sea eficaz:
Centrarse en las amenazas de alto riesgo para el Departamento Financiero
El equipo financiero corre el riesgo de sufrir vulnerabilidades específicas, ya que puede transferir dinero o disponer de credenciales de acceso privilegiadas con acceso a información financiera. Este nivel de poder que ostenta el equipo financiero en una organización significa que es más probable que las amenazas específicas se dirijan a este departamento. Por lo tanto, el programa de formación sobre concienciación en materia de seguridad es más eficaz cuando se adapta a funciones específicas de una organización, y un miembro del equipo financiero es una de esas funciones.
La formación sobre concienciación en materia de seguridad basada en funciones aborda tipos específicos de amenazas contra determinadas funciones de los empleados. Cree un programa de formación de concienciación sobre seguridad basado en funciones que se base en la concienciación sobre seguridad básica centrándose en los tipos de riesgos y amenazas que es probable que experimente un miembro del equipo o departamento de finanzas, entre los que se incluyen los siguientes:
- Business Email Compromise (BEC): eduque a los empleados sobre cómo se lleva a cabo este sofisticado ciberataque en varias fases. Asegúrese de que entienden cómo los ciberatacantes utilizan la ingeniería social para hacerles creer que son un ejecutivo de nivel C o un proveedor crítico.
- Fraude de facturas: suele consistir en comprometer al proveedor de una empresa, pero también es un subconjunto del fraude BEC. Los estafadores se hacen pasar por el proveedor y solicitan el pago de una factura.
- Fraude del Consejero Delegado (CEO): otra variante de la estafa BEC, los estafadores se hacen pasar por un ejecutivo de alto nivel para engañar al equipo financiero para que pague una factura falsa. A menudo, los estafadores piratean o suplantan una cuenta de correo electrónico de un directivo.
- Fraude de desvío de salario: los estafadores se hacen pasar por un empleado y solicitan que el departamento de nóminas cambie los datos de su cuenta para que su salario se abone a los defraudadores.
Crear simulaciones de phishing que reflejen los riesgos para los equipos financieros
LaICObritánicamultó recientemente a Interserve Group Limitedcon 4,4 millones de libras por no utilizar las medidas de seguridad adecuadas para prevenir un ciberataque; el ataque comenzó con un correo electrónico de phishing enviado a un empleado del departamento de contabilidad. Una serie de acontecimientos, como la descarga del archivo adjunto malicioso del correo electrónico y el incumplimiento de los protocolos de seguridad de la empresa, provocaron la pérdida de datos personales sensibles de 113.000 empleados. Incluso con pasarelas antiphishing, los mensajes de phishing se cuelan porque los ciberdelincuentes innovan para eludir la detección.
Los ejercicios de simulación de phishing adaptados al tipo de riesgos a los que se enfrenta el equipo financiero son una práctica recomendada imprescindible en una formación eficaz sobre concienciación en materia de seguridad. Algunas plataformas avanzadas de simulación de phishing proporcionan una variedad de plantillas de phishing que se pueden utilizar para adaptar los ejercicios de formación sobre phishing a las necesidades del equipo del departamento financiero.
Crear escenarios de juego de rol
Los equipos financieros corren el riesgo de verse comprometidos por el correo electrónico comercial y otros tipos de fraude multifacético relacionados que utilizan la ingeniería social. Para garantizar que la formación sobre concienciación en materia de seguridad sea eficaz, cree escenarios en los que se representen las fases típicas de una estafa financiera con el equipo financiero, de modo que puedan empezar a reconocer los trucos que utilizan los estafadores. Los escenarios basados en roles deben utilizarse junto con la formación tradicional de concienciación sobre seguridad y los ejercicios de phishing simulado para hacer hincapié en las complejas manipulaciones que utilizan los estafadores.
No olvide la higiene de la seguridad
El departamento financiero no sólo se ocupa del dinero; también tiene datos financieros y personales sensibles. ElInforme de Verizon 2022 sobre investigaciones de filtraciones de datos(DBIR) descubrió que diversos problemas relacionados con errores humanos causaron ciberataques y provocaron la exposición de datos.
Según el informe, los errores humanos causaron el 82% de las violaciones de datos. Entre los errores se incluía el envío erróneo de correos electrónicos, por ejemplo, el envío de datos en un correo electrónico a la persona equivocada. Así que, cuando forme a los equipos financieros sobre su papel en la seguridad, recuerde los detalles, como asegurarse de que se comprueban las listas de destinatarios de correo electrónico antes de enviar información importante.
Extender la concienciación sobre la seguridad a los trabajadores remotos del equipo financiero
LaOficina de Estadísticas Nacionalesdel Reino Unido (ONS) descubrió que el 38% de los empleados afirmaron haber trabajado desde casa en algún momento de los siete días anteriores. Es probable que los empleados de los departamentos financierosquieran trabajar desde casa, ya que los estudios demuestran que este factor es esencial para retener a los empleados. La aparición de la semana de cuatro días también es probable que haga que el trabajo a distancia e híbrido siga siendo un elemento popular para atraer talento.
Al crear una campaña de formación sobre concienciación en materia de seguridad dirigida a los miembros del equipo financiero, asegúrese de formar a los empleados sobre los riesgos de seguridad del trabajo a distancia. Incluya elementos como el papel del empleado en el cumplimiento de la normativa y cuestiones de higiene de la seguridad, como el uso de pasarelas seguras y VPN.
Mediante el uso de estas mejores prácticas de concienciación sobre seguridad y centrándose en los retos únicos de trabajar en un equipo financiero, su empresa puede reducir los riesgos de delitos insidiosos y costosos como el fraude BEC.