Riesgo cibernético: las personas somos el eslabón más débil

Hace poco leí un artículo de Esteve Culp y Chris Thomson, director general del departamento de Riesgo Cibernético de Accenture y Forbes.com, donde nos reafirman que la mayor dificultad a la que se enfrentan las empresas no son los virus, el spam, el malware, ni los posibles agujeros de seguridad que presentan los sistemas informáticos, sino los propios usuarios o clientes y empleados de las empresas, los cuales, mediante acciones inconscientes o deliberadas, acarrean a las empresas los mayores riesgos de seguridad. La figura del «Risk Management» es cada día más importante en la organización de las grandes corporaciones.

Riesgo Cibernético: Nosotros somos el eslabón más débil de la cadena de seguridad

El riesgo cibernético de la ciberdelincuencia ha dado lugar a un notable aumento del interés respecto a la ciberseguridad, de modo que algunas organizaciones, destinan miles de millones de euros a su protección frente al conjunto de amenazas actuales y potenciales futuras en constante evolución. Muchas realizan considerables inversiones en supervisión, vigilancia y software, sin embargo, con frecuencia descuidan el riesgo de exposición generado por sus propios empleados y, en esta era digital, por sus clientes.

Al igual que los ladrones de bancos en el pasado, los ciberdelincuentes tienen como objetivo «los lugares en los que se encuentra el dinero» y eso significa, a menudo, bancos e instituciones financieras. Tras muchas décadas de experiencia para protegerse frente a la delincuencia, los bancos y aseguradoras suelen contar con defensas de seguridad físicas y técnicas razonablemente sólidas. No obstante, el concepto de divisa ha cambiado, y ahora en lugar de intentar llevarse billetes y monedas, los ciberdelincuentes quieren robar información valiosa.

Los ciberdelincuentes están dispuestos a tomar medidas desesperadas para obtener información de las empresas. Por ejemplo, se han infiltrado en bancos a través de empleados en las entidades financieras, fundamentalmente mediante agentes encubiertos, que pueden robar datos sensibles y realizar operaciones fraudulentas. En muchos casos, incluso empleados de confianza durante muchos años pueden conllevar riesgos.

El riesgo cibernético se encuentra dentro y fuera de las empresas.

Los proveedores son otro punto de potencial vulnerabilidad. La mayoría de empresas multinacionales, pueden disponer de defensas cibernéticas sólidas, pero también dependen de terceros, con frecuencia a los que confían datos confidenciales relativos a compras y operaciones, pero pueden no contar con los mismos niveles de seguridad que las entidades cliente para las que prestan el servicio.

Los ciberdelincuentes se centran en los puntos más débiles de las defensas de las empresas y eso suele significar, ir a por los clientes. Las cuentas bancarias suelen convertirse en parte de la “huella tecnológica” de los clientes, cuya información se almacena en los ordenadores domésticos y dispositivos móviles.

Los clientes y empleados son a menudo el foco de los ataques de ciberdelincuentes.

Los ciberataques intentan romper la seguridad de los datos de muy distintas formas, entre otras mediante la instalación de programas informáticos malintencionados, correos electrónicos en los que se suplanta la identidad, o para comprometer la seguridad de los datos de los clientes utilizar instalaciones Wi-Fi no seguras en restaurantes, aeropuertos, transporte público. Se sabe que los ladrones, incluso han creado cuentas falsas para dirigir el tráfico donde quieran.

Uno de los grandes problemas para el negocio empresarial, es que hay muchas personas y departamentos responsables de la gestión de los distintos riesgos relacionados con la ciberseguridad. En una era en la que los ciberdelincuentes pueden producir enormes daños, existen razones de peso para alinear o integrar distintas funciones, tales como prevención de fraudes, seguridad de las TI y cumplimiento en un grupo más coherente, posiblemente con un director corporativo de riesgos cibernéticos que supervise todas las medidas de seguridad digital.

En años de experiencia TIC, hemos identificado varios factores clave que deben abordarse con el departamento de seguridad de las TIC al enfrentarse a la amenaza de la ciberdelincuencia:

Formación y cultura del riesgo:

Las empresas varían enormemente en lo que respecta a su cultura de riesgo cibernético. Algunas han crecido a través de fusiones y adquisiciones y se han convertido en organizaciones fragmentadas con culturas dispares. Otras son mucho más homogéneas. Otras, gestionan a sus empleados con dureza pero prometen recompensas extraordinarias. Cada organización tiene que identificar sus propios estilos de aprendizaje y poner en práctica las iniciativas adecuadas, entre otras, métodos de aprendizaje avanzados a través de juegos o simulaciones, por ejemplo para implantar conductas cibernéticas correctas.

El control es la clave de la Seguridad y la Privacidad:

Cada escenario de riesgo cibernético debe descomponerse en pasos o acciones que los delincuentes deben ejecutar si quieren tener éxito. Desde la suplantación de la identidad pasando por la instalación de programas maliciosos, a obtener acceso, controlar una cuenta, ejecutar operaciones fraudulentas, etc., cada uno de estos pasos son riesgos o problemas que exigen varios controles sólidos. No existe sustituto para esta evaluación de riesgos y deben implantar un marco de control de gestión con un asesoramiento y prueba robustos.

Evaluar con un propósito:

Las organizaciones deben contar con métodos para identificar y hacer un seguimiento de la conducta de sus empleados que pueda indicar que se está produciendo un ciberdelito, bien por parte de un empleado o como consecuencia de que se adueñen de una cuenta a través de un programa informático malicioso o un troyano.

Los análisis pueden servir para detectar actividades, tales como que los empleados están trabajando fuera de la jornada laboral, empleados con bajo rendimiento que tengan acceso a datos de clientes o la descarga de archivos excepcionalmente grandes, que están estrechamente relacionados con la mala conducta o delincuencia.

Establecer un modelo operativo de seguridad y privacidad:

La ciberseguridad debe funcionar bien en todas la organizaciones. El modelo operativo correcto, conecta los departamentos de TI, negocio, fraude y riesgos. Esto puede contribuir a definir la responsabilidad, imponer la correcta toma de decisiones y medición de la efectividad. Las organizaciones pueden elegir entre varios modelos operativos, como la creación de un puesto de «Rey cibernético» que establezca la política y actividades de influencia o la creación de un responsable de riesgos cibernéticos en toda la empresa que identifique, evalúe y responda a las amenazas.

Aprender de los ataques cibernéticos y otras amenazas:

A pesar de los mayores esfuerzos de las organizaciónes, las cosas pueden salir mal y saldrán mal en muchos casos. Un plan integral de resiliencia, que incluya elementos como respuesta a los eventos, comunicaciones, gestión de crisis, detección, identificación de amenazas y supervisión operativa. Así como la elaboración de análisis «post morten» para identificar la causa, definir la solución y las acciones requeridas para que el fallo de seguridad no vuelva a reproducirse, pueden contribuir a reducir al mínimo las pérdidas y a proteger la reputación de las empresas en caso de un ciberataque exitoso.

La revolución digital ha facilitado el trabajo conjunto de las empresas y sus clientes, pero el comercio digital ha creado muchos nuevos puntos de entrada para ciberdelincuentes potenciales. Un planteamiento integral y organizado de la formación y comunicación, con personas encargadas de la supervisión, puede ayudar a las empresas de servicios a limitar su exposición al fraude cometido tanto fuera como dentro de la misma.

Imágenes: Blue Coat Photos