Para nadie es un secreto que así como existen personas tratando de proteger a las entidades financieras y a sus clientes, también hay individuos que pueden convertirse en delincuentes tratando de ingresar a los sistemas y a los correos empresariales y personales para obtener un beneficio propio o de terceros.

Muchas empresas han tenido incidentes por fallas en sus modelos de seguridad, impactando sus objetivos estratégicos y, consecuentemente afectando su prestigio y su valor, por lo que sus directivos buscan continuamente estrategias efectivas para proteger la información. 

El sector financiero basa su modelo de negocio en la confianza, que está directamente relacionada con la seguridad. Los clientes, basándose en la confianza, entregan su patrimonio para que sea protegido y les genere ingresos.

Hace algunos años, la seguridad era física, protegiendo el papel moneda y los documentos.

En la actualidad, el patrimonio se desmaterializa y se convierte en un registro, un dato, en los sistemas de información del sector, lo que hace que la ciberseguridad se vuelva muy importante. 

La confianza se basa en modelos adecuados que velan por la generación de valor para todos los interesados y la revisión por parte de entes independientes, controladores o entidades gubernamentales del gobierno que avalen esa confianza.

La seguridad se basa (y descansa) en modelos y arquitecturas  de seguridad. 

El sector financiero enfrenta tres desafíos claros en los temas de ciberseguridad: 

• Cumplimiento: la implementación de controles que estén alineados con las definiciones normativas y regulatorias. 
• Gestión de riesgos: orientado a hacer uso adecuado de los recursos a los temas más críticos que pueden impactar la seguridad de la información. 
• Eficiencia: cómo generar más valor en la operación del modelo de seguridad, con menos recursos. 

Los modelos y las arquitecturas de seguridad evolucionan con la tecnología y con las nuevas amenazas.

El sector financiero ha invertido grandes sumas de dinero en estrategias que ayudan a enfrentar los nuevos desafíos, pero se olvidan de que los modelos de seguridad y las arquitecturas deben comunicarse y sumar para gestionar los riesgos de forma efectiva.

Aunque las decisiones en términos de seguridad se han vuelto estratégicas, el modelo de seguridad no tiene una madurez en las organizaciones ya que los tomadores de decisiones no cuentan con las habilidades para comprender los temas de ciberseguridad y los responsables no tienen las habilidades para explicarles y poner en términos de negocio los desafíos sobre el tema.

El sector financiero es muy atractivo para los ciberdelincuentes porque ellos  pueden obtener valor por sus actividades delictivas.

La cadena del cibercrimen inicia con el robo de información (datos de autenticación, información personal, información confidencial de las organizaciones) a través de amenazas como el phishing, hacking, malware.

Posteriormente, alguien puede comprar dicha información, lo que puede representar un pago para el hacker. La información puede ser utilizada para llevar a cabo ataques más sofisticados como movimientos fraudulentos a cuentas mulas, espionaje industrial, amenazas avanzadas persistentes (APT, por su sigla en inglés).

En términos de impacto económico, las pérdidas por crimen cibernético a nivel mundial son de más de 300 mil millones de dólares.

Sólo en fraudes bancarios, clonación y robo de credenciales, se estima que por cada 10 mil pesos que se muevan en una cuenta, 20 pesos se pierden por fraudes.  

Los cibercriminales están logrando fácilmente sus objetivos a partir de abusar de la confianza y naturaleza del ser humano.

Un señuelo que utiliza algo de interés para la víctima del fraude puede ser la puerta para que abra un documento, acceda a un sitio y descargue un malware que le provee el acceso al atacante. 

Los eventos publicados en medios últimamente como los que involucraron a BBVA, JP Morgan, El robo del siglo o Sony, ponen en duda la efectividad de los modelos de gobierno y arquitecturas de seguridad.

La complejidad de las arquitecturas encubre la debilidad de los modelos de seguridad.

El sector debe orientar sus esfuerzos a comprender que la ciberseguridad es un tema de riesgo empresarial y proveer de herramientas a los miembros del directorio para que entiendan las implicaciones legales de los riesgos cibernéticos y que tengan acceso a experticia en ciberseguridad.

Por último, debemos lograr medir el daño de los eventos de ciberseguridad lo que nos dará el conocimiento para que nuestras decisiones de seguridad futuras sean más efectivas.