Después de los grandes cambios que estos años de confinamiento y pandemia han fomentado en la sociedad, y específicamente en cómo estábamos acostumbrados a recibir y proporcionar servicios, en 2022 se están retomando las rutinas pre-covid a nivel global, no sin dificultades.
En la vuelta a una cotidianidad donde la obligada aceleración en los procesos de digitalización ha cambiado la mayoría de los hábitos, tanto de los consumidores como de los empleados y proveedores de servicios, el tema que quizás ha adquirido más prominencia con respecto a los años anteriores es el de la ciberseguridad.
Desde el ámbito médico hasta el entorno bancario, diferentes industrias han experimentado una consolidación en lo que el Informe de PWC sobre el entorno empresarial denomina la “cultura de ciberseguridad” (ya en 2020 el promedio de este nivel de conocimiento en España era de 2,8 sobre un rango de valores de 1 a 5).
A pesar de los esfuerzos para concienciar a empleados y colaboradores, en 2022 parece todavía faltar una componente estratégica enfocada en la prevención efectiva. Y de hecho, como reporta el informe “Cost of data breach” de IBM, el 79% de las organizaciones que cuentan con infraestructuras críticas todavía no ha implementado o se encuentra en los primeros pasos de la implementación de arquitecturas Zero Trust, o sea, de confianza cero en accesos no autorizados.
Ciberseguridad de la banca
Frente a todo ello, los CISOs de los bancos se enfrentan a un desafío mayúsculo y deben adoptar una visión 360º que se fundamente en el conocimiento experto de las infraestructuras físicas y tecnológicas que dan soporte a sus procesos de negocio, así como de las amenazas, siempre cambiantes y desafiantes, a las que están expuestos.
Impulsar la estrategia de ciberseguridad de la banca: cultura empresarial y modelo Zero Trust
En cuanto a gestión de infraestructuras críticas, la banca y el sector financiero en general son, de hecho, uno de los más cibervulnerables: según el informe IBM X-Force 2021 solo en 2020 el número de ataques que recibieron se incrementó en un 238%.
En este contexto el cajero es uno de los eslabones más débiles y la mayor fuente de pérdidas de las entidades -alrededor de un tercio de los fraudes bancarios en todo el mundo se comete a través de uno de ellos- al estar expuesto físicamente a la manipulación no solo de los clientes finales y los equipos de mantenimiento técnico, sino también de potenciales usuarios malintencionados.
Zero Trust
Así, en la estrategia de ciberseguridad enfocada en dispositivos críticos como los cajeros automáticos, es primordial priorizar la disponibilidad, maximizando el tiempo de servicio, y para ello es fundamental contar con una política de confianza cero (“Zero Trust”) basada en el control completo de los accesos y los cambios, tanto a nivel hardware como software, así como la monitorización de las actividades de mantenimiento en sitio sobre los dispositivos, que suponen las ventanas de mayor exposición a los ciberriesgos.
Prevenir la ejecución de cualquier actividad no planificada sobre el terreno es tan importante como monitorizar las actividades autorizadas, y para ello se requiere adoptar una solución de seguridad holística capaz de proteger, monitorizar y controlar todos los puntos de contacto del banco.
El valor de la estrategia Zero Trust, en este caso, radica en su capacidad para permitir a las instituciones financieras asegurar el autoservicio bancario digital sin confiar en la supuesta seguridad del software suministrado por los proveedores, las herramientas internas de despliegue o acceso remoto o las empresas de terceros a cargo de las actividades de mantenimiento en sitio.
La situación es complicada, nos enfrentamos a organizaciones cibercriminales perfectamente estructuradas y con elevados niveles de financiación e innovación, por eso desde el sector debemos movernos aún más rápido, establecer una vigilancia férrea y poner coto a las amenazas antes incluso de que surjan.
