Según un informe de Check Point, una tecnológica multinacional proveedora de seguridad informática, invertir en la formación de los empleados en las empresas es esencial para evitar pérdidas financieras graves, daños en la reputación de la organización y la pérdida de la confianza de los clientes.
“Muchas organizaciones han sufrido ciberataques porque no han capacitado al personal sobre los riesgos que existen y sobre cómo actuar en caso de un posible incidente. Una estrategia de ciberseguridad debe contemplar personas, procesos y tecnología”, explica Alejandro Botter, gerente de Ingeniería de Check Point para el sur de Latinoamérica.
La empresa tecnológica puntualiza ocho recomendaciones para construir una ciberdefensa más sólida:
- promover la formación de los trabajadores;
- prevenir los ataques de phishing internos de cada compañía;
- gestionar las credenciales de acceso;
- adecuar los sistemas de gestión de cambios que impliquen distintos niveles de aprobación;
- alentar la responsabilidad en el tema;
- gestionar el riesgo con los proveedores;
- revisar el marco legal de protección datos;
- establecer un plan de respuesta ante los incidentes.
Las entidades financieras ya están interiorizadas de la magnitud del desafío y desde hace tiempo implementan un conjunto de estrategias en la misma dirección. Entre ellos BBVA, que lleva adelante un plan anual de concientización y capacitación en seguridad de la información. Está dirigido a empleados, clientes, sociedad en general y terceros, con el objetivo de que conozcan las amenazas actuales y los recaudos que deberían tomar para estar prevenidos. A lo largo del año, se implementan distintas acciones de concientización y formación para que los empleados adopten comportamientos más seguros en su día a día, y para cuidar los activos y la información de BBVA, así como al personal, señalaron desde la entidad.
Es de vital importancia para el banco que aquellos empleados que mantienen contacto directo con los clientes estén debidamente actualizados acerca de las últimas novedades en materia de fraudes y ciberataques.
Por su lado, en el Banco Provincia indicaron que llevan a cabo comunicaciones internas y capacitaciones obligatorias dirigidas a todo el personal. “Esta iniciativa se enmarca en la cultura de fomentar la comunicación y el intercambio de información entre colegas, familiares y amigos, así como durante la interacción con los clientes en el ámbito laboral”, indicaron voceros de la organización. “Es de vital importancia para el banco que aquellos empleados que mantienen contacto directo con los clientes estén debidamente actualizados acerca de las últimas novedades en materia de fraudes y ciberataques”, agregaron.
Además de la capacitación permanente, en el HSBC atienden al factor humano con políticas para combatir a estas amenazas a través de “estrategias de simulación de casos y programas de entrenamiento diferenciados, se incluye a todos los equipos en los distintos niveles de la organización, para que puedan identificar cualquier ataque recibido”.
Phishing y uso de las contraseñas
Como es sabido por los expertos, la mayoría de los incidentes de seguridad no son el resultado de ciberataques sofisticados, sino que a menudo se ven favorecidos por caer en correos electrónicos de phishing, que es un tipo de estafa que consiste en enviar correos electrónicos fraudulentos que se hacen pasar por una entidad legítima con el objetivo de obtener información personal o financiera de los usuarios. También se apunta a desalentar las contraseñas débiles o filtrar datos de manera accidental.
Es clave que los líderes empresariales integren la ciberseguridad a sus objetivos y estrategias de negocio.
Mientras que el BBVA realiza periódicamente “ejercicios de phishing simulado para entrenar a todos empleados en la detección de comunicaciones sospechosas y en la cultura del reporte al área de Ciberseguridad”, en el HSBC, en cuanto al uso de contraseñas, manifiestan tener sólidas políticas seguras que van desde la complejidad, períodos de cambios, utilización de múltiples factores de autenticación y bloqueo de contraseñas ante múltiples intentos fallidos.
El Banco Provincia es enfático en estar alerta frente al phishing. “Siempre se hace hincapié en prestar atención a la casilla desde la cual se reciben los emails. Cuando recibimos un correo electrónico, es común que venga acompañado del nombre del remitente, el cual es proporcionado por la persona al completar su información en la configuración de su cuenta de correo. Esto crea una oportunidad para estafadores que pueden hacerse pasar por entidades legítimas como, por ejemplo, utilizar Banco Provincia como remitente, asignando Banco como nombre y Provincia como apellido”, advirtieron desde la banca pública.
Junto a la capacitación y la concientización, las innovaciones tecnológicas también son aliadas en el combate del cibercrimen. “Sabemos que el uso de tecnologías avanzadas de detección y prevención de amenazas, como el análisis de comportamiento del usuario e implementación de la inteligencia artificial, son grandes herramientas para identificar y prevenir actividades sospechosas. Además, el uso de programas y soluciones digitales pueden ayudar a automatizar tareas y proporcionar controles de seguridad adicionales con mayor alcance y precisión como, por ejemplo, la ejecución de soluciones de detección de phishing, las cuales posibilitan identificar y bloquear los correos electrónicos de phishing antes de que lleguen a los colaboradores”, dijo Federico Tandeter, director de Ciberseguridad en Accenture HSA.
El estudio de la consultora, titulado State of Cybersecurity Resilience 2023, detectó que es clave que los líderes empresariales integren la ciberseguridad a sus objetivos y estrategias de negocio. “Esto no sólo contribuirá a aumentar las posibilidades de crecimiento en el mercado, sino también, a tener un 26% extra de probabilidades de reducir el costo de los incidentes de ciberseguridad”, señaló Tandeter.
