Riesgo y ciberseguridad en la industria financiera

En Kriptos, nuestra labor se enfoca en optimizar la estrategia de ciberseguridad, riesgo y cumplimiento de nuestros clientes a través de tecnología con Inteligencia Artificial para descubrir y entender su información crítica.

En los últimos años, hemos clasificado más de 180 millones de documentos de empresas de diferentes sectores, trabajo que nos ha permitido conocer y ahondar sobre las necesidades y la realidad a la que se enfrentan las empresas a la hora de identificar y proteger su data, prevenir fugas y administrar el riesgo.

El siguiente reporte es creado con el fin de documentar hallazgos y observar tendencias que faciliten a nuestros clientes y lectores el encontrar formas de trabajar en sus estrategias de ciberseguridad de una manera óptima.

Las empresas analizadas para fines de este ejercicio están ubicadas en Ecuador, Perú, Chile, México y Argentina; toda la información aquí contenida está vinculada al sector financiero y contempla un volumen de información analizada de más de 100 millones de documentos.

Signifyd llega a México para cuidarte de los fraudes

El FINANCIERO

10 Startups You Never Knew Came From Ecuador

LATAM LIST

Kriptos se corona en Comet Competition de Ingram Micro

INFO CANNEL

Tendencias en ciberseguridad para el 2023

4

min de lectura

Big Data: ¿Qué es y por qué debería importarte?

4

min de lectura

Ventajas de la clasificación de información con Kriptos para la optimización de otras herramientas

4

min de lectura

Sectores donde es clave la protección de datos

3

min de lectura

Guía para la recolección y clasificación de datos

3

min de lectura

Conoce estos tipos de ciberataque

3

min de lectura

Cuidado con las amenazas de ciberseguridad

3

min de lectura

Charla: Esquema actual de protección de información empresarial

4

min de lectura

Toda la información de tu empresa es sensible: te contamos por qué

4

min de lectura

Clasificación de los activos informáticos: Inteligencia Artificial Vs. Factor humano

4

min de lectura

Más allá de la clasificación

14

min de lectura

¿Cómo clasificar la información de tu empresa con Kriptos?

20

min de lectura

¿Cómo proteger la información de tu correo electrónico?

18

min de lectura

La ley CCPA desde la perspectiva del CISO

13

min de lectura

¿Por qué la cultura importa en una empresa?

15

min de lectura

La importancia del cumplimiento de regulaciones en la seguridad de información

13

min de lectura

Kriptos: Nuestro criterio sobre la fuga masiva de información en Ecuador

10

min de lectura

Tendencias y realidad de la ciberseguridad en Latinoamérica

15

min de lectura

¿Qué es la clasificación de datos?

12

min de lectura

Cómo la clasificación de datos ayudar a blindar tu ciberseguridad

13

min de lectura

TECNOLOGÍAS OPEN SOURCE: PROTEGE TUS SERVIDORES EFICIENTEMENTE ENTREVISTA A MARÍA FERNANDA SUÁREZ

13

min de lectura

Sanas prácticas para una programación confiable y sólida

12

min de lectura

¿Cómo crear nuestros propios ''sistemas de cifrado''?

11

min de lectura

Inteligencia Artificial: El mejor aliado contra el ''error humano''

11

min de lectura

La brecha de TI: Tres razones para reconsiderar tu seguridad

8

min de lectura

Detecte la información confidencial de tu empresa

6

min de lectura

La ola de datos: ¿Cómo debes prepararte?

8

min de lectura

COLABORADORES ¿SON SEGUROS?

7

min de lectura

Payment Card Industry Data Security Standard

12

min de lectura

The National Institute of Standards and Technology (NIST)

13

min de lectura

Ley de responsabilidad y portabilidad del seguro de salud (HIPAA)

11

min de lectura

ISO/IEC 27001 | Kriptos

7

min de lectura

Todo lo que debes saber sobre la ISO 31000

7

min de lectura

Todo lo que debes saber sobre la ISO 22301

11

min de lectura

General Data Protection Regulation (GDPR)

12

min de lectura

Federal Financial Institutions Examination Council (FFIEC)

14

min de lectura

Ley de privacidad del consumidor de california | Kriptos

13

min de lectura

Hallazgos destacados

Para dar un poco de contexto, debemos tener en cuenta que, durante los últimos dos años, los cambios en la forma como se desarrolla el trabajo han creado nuevas lecturas que son importantes de considerar al momento de evaluar el contexto de la situación de ciberseguridad.

El COVID nos deja como aprendizaje el trabajo remoto, descentralizado, basado en la confianza, la flexibilidad y la libertad. Un gran reto para los departamentos dedicados a mantener el control de la información, ya que estos pierden visibilidad y deben ingeniarse nuevas formas para mantenerse al tanto de cómo proteger la data dentro de la compañía.

Las soluciones y herramientas Cloud empiezan a surgir como una necesidad primaria y como la respuesta a la preparación de equipos remotos y la colaboración permanente. De esta manera, un usuario promedio manipula y tiene acceso a un promedio de 4000 a 7000 archivos anuales. Estos pueden estar alojados en la nube, en servidores o en las computadoras de los colaboradores. El reto de identificar la localización de la información, mantener actualizada la ruta y tener el rastreo de cada usuario es una labor abrumadora. 

Y es que, según el Estado de la Ciberseguridad en el Sector Bancario en América Latina y el Caribe de la OEA; más del 60% del total de las entidades bancarias en la región demuestran este hecho: 1) exigiendo la adopción de buenas prácticas de seguridad (65%); 2) fomentando la capacitación y sensibilización en seguridad digital (63%); y 3) impulsando planes de seguridad digital (60%). Esto es un paso importante considerando que, de acuerdo a la información compartida por más de 10 bancos latinoamericanos, más del 68% de la información almacenada en sus compañías es considerada SENSIBLE. Esto explica por qué la banca es la industria con mayores inversiones en ciberseguridad.

Adicional, el informe reporta que “el 49% de las entidades bancarias aún no están implementando herramientas, controles o procesos usando Tecnologías Digitales Emergentes, tales como Big Data, Machine Learning o Inteligencia Artificial, las cuales resultan muy importantes a la hora de prevenir ciberataques o determinar patrones sospechosos asociados a fraude, entre otras capacidades de detección”. Esto reafirma que las instituciones financieras aún están en un proceso de descubrimiento y que falta un camino importante por recorrer en Latinoamérica.

Reconocimiento y clasificación de la información: un bien necesario

Como parte del ejercicio que hemos realizado con Bancos en toda la región de Latinoamérica, podemos decir que el 19,87% de la información alojada al interior de los repositorios de estas empresas es obsoleta. 

La información obsoleta es entendida como toda aquella data que lleva más de 10 años en la organización sin ninguna modificación. Esta información puede estar generando sobre costos en almacenamiento y, más delicado aún, puede contener información sensible que está exponiendo a la organización de manera innecesaria pues no está vigente o puede estar sin monitoreo por su antigüedad. 

El reconocimiento de la información es un ejercicio vital que todas las empresas, sin importar el sector, deben iniciar como piedra angular de su proceso de protección, y para ello hay que tener claro que no es posible proteger lo que no se identifica. Por esto, es importante que se contemple no solo la data estructurada al interior de la organización, sino también todo documento que pueda estar contenido en una carpeta o en una estación que pueda generarle riesgo a la compañía de ser mal utilizado.

Cifras esclarecedoras

Una de las cifras más representativas encontradas en el reporte de la OEA; es que el 65% de los bancos grandes de Latinoamérica fueron víctimas de ataques exitosos, una cifra que nos enciende todas las alarmas para empezar a dimensionar la situación que tenemos en la región latinoamericana y que dejan ver en evidencia la creciente necesidad de aplicar prácticas de ciberseguridad efectivas.

Para seguir en la misma conversación, el 21% de la data que Kriptos encontró dentro de las empresas analizadas contiene Datos Personales; si nos dirigimos a regulaciones internacionales como el GDPR, e incluso certificaciones internacionales como las ISO, el manejo de la data de los clientes y usuarios de los productos son hoy un asset con un valor altísimo para las empresas y debe de ser tratado como tal.

Adicionalmente, cada vez más los países de la región latinoamericana se involucran con mayor proactividad en las normativas de protección de la privacidad de sus ciudadanos. Si bien todas estas regulaciones velan por el buen manejo de esta información, también cada una de ellas llega con sus propias peculiaridades que hay que respetar y que, con la globalización y la migración constante, es hoy una exigencia para las empresas abarcar todas las minucias que conversan estas leyes para proteger a todos sus usuarios, incluso si están fuera del país donde está constituida la organización.

La ciberseguridad, una sabia inversión

Para efectos de entender la importancia en el ambiente competitivo de lo que ofrece la seguridad informática, en promedio, el retorno sobre la inversión en seguridad digital equivale aproximadamente a un 23,78%, lo que la mayoría considera que es un retorno de media rentabilidad. Para empresas latinoamericanas, el estar en entornos que les permita asegurar la información de sus usuarios no es un costo que se diluya en el tiempo, es una inversión que trae un retorno en el momento que la empresa ahorre en costos de rescate y, adicional, pueda mostrarse más capacitada para mantener relaciones de alta confidencialidad con sus clientes más importantes.

Cabe recalcar que a partir de la información hallada y basándonos en el reporte que emite IBM acerca de la brecha de seguridad informática, se estima que un documento en el mercado negro puede estar costando entre 100 y 120 dólares; esta cifra se vuelve representativa si tomamos el dato inicial que compartimos: cuando multiplicamos un promedio de 4000 documentos por usuario por 120 y, adicional, lo multiplicamos por el número de empleados en la organización, nos damos cuenta que estamos exponiendo el patrimonio de la compañía; sin contar con los actos de reparación en los que una empresa se ve involucrada cuando aparecen eventos desafortunados como la fuga de data sensible.

Mantener la información vigilada, organizada, identificada y valorada es el primer paso para iniciar un viaje confiable por las estrategias de seguridad informática. Las herramientas tipo DLP o CASB son excelentes aliadas después de haber obtenido la clasificación por niveles de sensibilidad, ya que allí las políticas de uso, restricciones y accesos son mucho más efectivas y determinantes a la hora de mantener la casa en orden.

Obtener la visibilidad de la información que se tranza al interior de la compañía permite a sus administradores poder hacer ejercicios de cultura y entrenamiento en los equipos con un manejo crítico de la data y una evaluación mucho más acertada frente a la información que realmente hay que proteger, convirtiéndolos en grandes aliados de la operación.

Como ves, son muchos los hallazgos que nos ha permitido obtener nuestra experiencia apoyando a diferentes empresas en sus estrategias de ciberseguridad a través de la identificación y clasificación de su información sensible con nuestra herramienta deInteligencia Artificial. Al igual que esta herramienta, nuestro aprendizaje como empresa de este ejercicio y el impacto que genera en los diferentes sectores en donde es aplicado se optimiza con la práctica que adquirimos, por lo que esperamos seguir apoyando a más organizaciones y compartirte nuevos reportes como este que puedan ser de ayuda para que todos entendamos mejor temas importantes como la ciberseguridad. 

Comparte este artículo en redes sociales