EL ALTO COSTO DE LOS CIBERATAQUES AL SISTEMA FINANCIERO MEXICANO
19 de noviembre del 2019 | por Gerardo Flores
Por diversas razones, México es el tercer país a nivel mundial en ataques recibidos por la ciberdelincuencia, solo después de Estados Unidos y Reino Unido[1], lo que plantea un buen número de desafíos en el tema de ciberseguridad para el sector financiero. ¿Por qué México ostenta ese lugar en dicha lista? Aquí algunas razones:
- Por la vecindad con Estados Unidos
- Por el tamaño de su economía (según el Foro Económico Mundial, somos la economía 13 del mundo)
- Porque en nuestro territorio existen numerosos corporativos mundiales que almacenan gran cantidad de datos, y
- Porque muchas empresas todavía no están conscientes de que deben aumentar su seguridad cibernética, así que México es muy vulnerable ante este tipo de riesgos.
Hace poco la Organización de Estados Americanos (OEA) publicó el informe Estado de la ciberseguridad en el sistema financiero mexicano[2], realizado con apoyo de la Comisión Nacional Bancaria y de Valores (CNBV). Dicho documento analizó una base de datos con registros de 240 entidades e instituciones financieras, representativas de las 32 entidades federativas de México.
El informe muestra cuál es el estado actual de las entidades financieras a nivel de gestión de riesgos de seguridad digital y el impacto han tenido los incidentes de seguridad digital, además de realizar recomendaciones al sistema financiero.
Un ejemplo: el documento revela que, como tendencia, la Alta Dirección de las empresas no está entregando los recursos suficientes a las áreas de seguridad. En el país, el estudio afirma que para la mayoría de las entidades e instituciones financieras, es muy difícil lograr que la Alta Dirección de la organización tome decisiones de inversión en soluciones de seguridad digital, mientras que tan sólo un puñado de las organizaciones lo consideran altamente complicado.
Por otro lado, el outsourcing de servicios de seguridad se ha vuelto un estándar para darle agilidad a procesos clave ligados a la transformación digital, como por ejemplo, el despliegue de elementos en nubes múltiples, con el plus de que no hay que generar desarrollos internos. Los servicios más contratados por las organizaciones financieras son los siguientes:
- Pruebas de seguridad y análisis de vulnerabilidades.
- Monitoreo de la infraestructura de seguridad.
- Cumplimiento regulatorio y
- Seguridad en la nube, entre otros.
Con base en la OEA[3], el costo total de respuesta y de recuperación ante incidentes de seguridad digital para una entidad financiera grande promedio en México equivale a alrededor de $2.3 millones de dólares (mdd) al año; para una organización mediana promedio supone cerca de $634,689 dólares al año, y para una firma pequeña, el promedio equivale a $317,615 dólares al año.
Aunado a lo anterior, los ataques cibernéticos contra las organizaciones y las empresas, y en particular contra las Pymes, han aumentado en el último año. De hecho, según el portal de ciber educación Cybint Solutions 4 (www.cybintsolutions,com) hay un ataque de hackers cada 39 segundos. Este tipo de ataques, como se ha visto en las noticias de los últimos meses, se ha incrementado a lo largo de este 2019.
Cuando se descubre una brecha de ciberseguridad, muchas empresas recurren a los expertos, desde un abogado hasta un forense cibernético; desde especialistas en tecnología pura hasta en privacidad de datos, entre otros perfiles especializados. Todo lo anterior para confirmar si hubo un ataque exitoso y si se comprometieron los sistemas y/o datos.
Las instituciones financieras enfrentan requisitos estrictos para el cumplimiento de la seguridad de los datos, así como un intenso escrutinio de clientes, reguladores y accionistas. Todos los días, la reputación de las instituciones está en juego. Una auditoría fallida o una noticia sobre el robo de datos puede causar un daño irreparable.
Si las empresas quieren eliminar estos riesgos, deben considerar implementar soluciones de ciberseguridad centradas en el ser humano que les ayuden a identificar y responder a los riesgos en tiempo real para proteger sus activos más valiosos, donde sea que residan, ya sea en la nube, en las instalaciones o en los dispositivos. Esas herramientas brindan visibilidad en tiempo real y orientación práctica para que la empresa pueda innovar y crecer mientras se mantiene en línea, incluso frente a las regulaciones más estrictas.
Una buena plataforma de ciberseguridad para empresas financieras debe permitir:
- Administrar los riesgos internos. Brindar herramientas para comprender la intención de los usuarios de mantener el acceso a los datos abiertos pero seguros.
- Mejorar las operaciones de seguridad. Minimizar los falsos positivos, implementar y administrar la seguridad en redes remotas para mantener bajos los costos de TI y el uso de recursos, todo en un entorno altamente regulado.
- Comprender la intención humana. Identificar las necesidades de seguridad determinando si el comportamiento es intencional o solo accidental.
- Adoptar la tecnología. Ampliar las ofertas para la nube y dispositivos móviles e innovar más rápido mientras se protege contra el robo de datos.
- Adaptarse al riesgo. Las políticas de seguridad ya no pueden ser genéricas ni fijas hoy en día deben ser personalizadas y deben adaptarse al nivel de riesgo que generen las actividades de los usuarios.
De esta manera, la mayor parte de las empresas, no solo del sector financiero, deberán hacer conciencia de este tema y tomar acción desde ahora. En el próximo lustro México tendrá que avanzar de forma sustancial en el tema de ciberseguridad, sobre todo si no quiere seguir avanzando en la lista de las naciones más vulnerables a este tipo de ataques.
Datos duros de los ciberataques:
- Hay un ataque de hackers cada 39 segundos.
- El 95% de las infracciones de ciberseguridad se deben a errores humanos.
- Más del 77% de las organizaciones no tienen un plan de respuesta a incidentes de seguridad cibernética
- El costo total del cibercrimen comprometido a nivel mundial ha sumado más de $1,000 mdd en 2018
- El costo promedio de una violación de datos en 2020 superará los $150 mdd.
- Según la Condusef, en el primer trimestre de 2019 se registraron 332 quejas en promedio diario por posibles fraudes realizados a través de robo de identidad.
- Las principales quejas en el robo de identidad son apertura de cuenta no solicitada por el usuario y la emisión de tarjeta de crédito sin previa solicitud.
Fuentes: Condusef, Cybint Solutions y Cybersecurity Ventures, 2019.
Referencias:
[1] AIG Seguros México, 2019.
[2] Informe Estado de la ciberseguridad en el sistema financiero mexicano, publicado por la OEA: http://www.oas.org/es/sms/cicte/documents/informes/Estado-de-la-Ciberseguridad-en-el-Sistema-Financiero-Mexicano.pdf
[3] Ídem.
4 Portal Ciber educación Cybint Solutions: https://www.cybintsolutions.com/cyber-security-facts-stats/
Acerca del autor: Gerardo Flores, Country Manager de Forcepoint para México y Centroamérica.