Los asesores financieros son responsables de prepararse para enfrentar los peores escenarios; sin embargo, los expertos en ciberseguridad advierten que podrían enfrentar una crisis particular si no emprenden las medidas necesarias para proteger a sus empresas de los ataques cibernéticos.
Tanto James Harrison, fundador y director general de la empresa de consultoría en ciberseguridad Invisus, como John Sileo, experto en esta materia, exhortan a las grandes y pequeñas empresas a implementar un plan de seguridad que implique más allá de la administración ejecutada por el director de TI de la empresa o un amigo experto en tecnología.
De acuerdo con Harrison, desarrollar una estrategia de defensa y un plan de acción que se puedan implementar en caso de que ocurra una filtración de información es fundamental para proteger a tu compañía y fortalecer tus sistemas jurídicos de defensa. “Vivimos en un mundo en el que la información nos gobierna y vale oro. Vale más que muchos instrumentos financieros y, por lo tanto, el riesgo de un tercero es un área que debería ser parte de tu plan”, señaló.
El phishing, la piratería informática y otros tipos de ataques cibernéticos no son ninguna novedad en la industria de los servicios financieros; sin embargo, ante el aumento de empleados que trabajan desde casa, muchas empresas se enfrentan a un entorno de amenazas en constante cambio, por lo que, de acuerdo con ambos expertos, es más importante que nunca establecer medidas de protección digitales.
Por dónde empezar
Sileo afirma que una de las partes más importantes en la creación de un plan de ciberseguridad es seleccionar una empresa que pueda ejecutar evaluaciones de seguridad. “Si todavía no cuentas con una empresa externa de seguridad que analice tus brechas de defensa, independientemente de si tu empresa se compone de uno o de mil empleados, es importante que le des prioridad a esto de inmediato”, dijo.
Sileo invita a todos aquellos asesores que no cuentan con un plan a pedir recomendaciones a sus colegas de la profesión. “Si perteneces a algún tipo de grupo empresarial o eres miembro Top of the Table, pregunta a tus compañeros quién les hace sus evaluaciones de seguridad. Si no perteneces a ningún grupo, te recomiendo ampliamente acudir a un banco comunitario y solicitar la recomendación de un proveedor con una buena reputación”, dijo.
Asimismo, afirma que vale la pena pagar el costo agregado de contratar a una empresa para que lleve a cabo una evaluación de ciberseguridad por los cambios que ocurrieron a este respecto durante la pandemia, particularmente en la computación en la nube. “La prevención es mucho más económica que la recuperación”.
Harrison señala que la evaluación determinará cuáles son tus vulnerabilidades y si tienes implementado un plan de seguridad sólido. En primer lugar, el consultor pedirá a la administración de la empresa que se comprometa con la ciberseguridad, comentó Harrison. “Por lo tanto, debes determinar si tu empresa tiene una persona asignada para supervisar la ciberseguridad. Si eres el único propietario, esa persona eres tú”, dijo.
De acuerdo con Harrison, las personas dueñas de una empresa que tienen algunos socios deberán determinar quién supervisará el programa de seguridad y asegurarse de que ese plan se adhiera a las regulaciones en materia de ciberseguridad. “Los consultores necesitan saber que cuentas con políticas y procedimientos documentados, pues esto es lo que un auditor o un regulador revisará”. El plan deberá incluir listas de comprobación con tareas básicas, por ejemplo, una evaluación anual de riesgos, información para la prevención de filtración de datos y políticas de capacitación a las que se deberá apegar el personal.
Aplicar este plan no solo te protege, sino que también tus clientes pueden estar tranquilos de que su información está segura, observó Harrison. “No me atrevería a decir que es necesario que les muestres tus políticas y procedimientos a tus clientes, pero debería tranquilizarlos el hecho de que cuentas con estos elementos, además de que te apegas a un plan de seguridad por escrito que cumple con las regulaciones estatales y de la Comisión de Bolsa y Valores (SEC, por sus siglas en inglés)”, dijo.
Cerrar la brecha
Una vez que se completa esa evaluación inicial, los empresarios deberían tomar los hallazgos como un punto de partida para establecer políticas y procedimientos o para modificar los ya existentes. Sileo aconseja empezar por identificar las computadoras que se usan en la empresa que tengan sistemas operativos obsoletos. En algunos casos podría ser necesario reemplazar algunas, pues es posible que los modelos antiguos no admitan actualizaciones de seguridad, dijo.
Estas actualizaciones de seguridad son “más que críticas” para mantener la impenetrabilidad de tu red, comentó. Según Sileo, las actualizaciones deben abarcar todos los dispositivos electrónicos que usas en el trabajo (computadoras, tabletas, teléfonos celulares y dispositivos inteligentes) y recomienda a las empresas, particularmente las pequeñas, configurarlas de manera que se ejecuten automáticamente “para que te mantengas actualizado a la par que aparecen nuevas amenazas”.
Aplicar este plan no solo te protege, sino que también tus clientes pueden estar tranquilos de que su información está segura.
—James Harrison
Asimismo, agregó que asegurarse de que la información esté encriptada es el siguiente paso para crear un plan robusto de ciberseguridad. Esto abarca toda la información almacenada en computadoras, discos duros y, probablemente aún más importante, la información que se transfiere entre plataformas y se sube a la nube. “Veo que muchos planificadores financieros y asesores de seguros intercambian con sus clientes una gran cantidad de correos electrónicos no encriptados que contienen información como los números de seguridad social, cuentas financieras y bancarias”, dijo.
No obstante, actualmente la encriptación de datos, así como otras medidas de seguridad, por ejemplo, el establecimiento de sistemas de seguridad y redes privadas virtuales (VPN, por sus siglas en inglés) poco pueden hacer por proteger la información de una empresa cuando sus empleados trabajan vía remota, dijo Harrison, puesto que los piratas informáticos pueden tener acceso a la información infiltrando las conexiones Wi-Fi a Internet. “Entrarán a través de tu VPN y tu autenticación multifactor para ingresar directamente al sistema de tu compañía desde tu oficina en casa”, comentó Harrison.
Si bien se trata de un problema con el que incluso los grandes corporativos están lidiando, se resuelve fácilmente, dijo Harrison. Asimismo, recomienda que tanto las grandes como las pequeñas empresas pidan a sus empleados firmar un acuerdo para garantizar que se apeguen a los protocolos de ciberseguridad cuando trabajen desde sus casas. Por otro lado, las compañías también deben llevar a cabo revisiones periódicas de los enrutadores Wi-Fi y las computadoras que se usan en casa.
Más allá de las medidas básicas
Implementar el plan prepara el escenario para diseñar una estrategia a más largo plazo que permita mantener una ciberseguridad continua, por ejemplo, llevar a cabo revisiones de seguridad regularmente a través de un consultor externo. Según Harrison, para ir más allá de las medidas adoptadas por tu equipo interno de TI, es necesario mantenerse al día respecto a las amenazas y las nuevas regulaciones, ya que siempre están cambiando.
Poner a prueba tus vulnerabilidades y mantenerte al tanto de las nuevas regulaciones es un trabajo que muchos profesionales de TI no están preparados para asumir, señala. “Poner a prueba las [vulnerabilidades] desde el exterior es otra de las áreas que el personal de TI suele desconocer, pues no acostumbran a llegar con grandes herramientas para intentar infiltrar tu red y, así, saber dónde es posible que los piratas informáticos se infiltren”.
En ocasiones, los ataques cibernéticos provienen de compañías con las que estás afiliado y que son el blanco de los piratas informáticos, lo cual hace que sea más difícil detectar los puntos vulnerables, dijo Harrison. Asimismo, comentó que, durante un reciente desarrollo con gestores de fondos de cobertura que comercializan títulos accionarios de compañías Fortune 500, se enteró de que muchos de ellos investigan a las empresas afiliadas a estas compañías para detectar amenazas a la ciberseguridad. “¿Cómo nos ponen a todos en riesgo? Actualmente, a las empresas que cotizan en la bolsa se les otorga una puntuación relacionada con su nivel de preparación en materia de ciberseguridad y están analizando la cadena de suministro para validar el riesgo que representan los terceros”, dijo. Este es un modelo que los asesores financieros de todo tipo deben tomar en cuenta.
Asimismo, recomienda considerar la posibilidad de adquirir un seguro de ciberseguridad que entre en juego en caso de que fracasen todos los esfuerzos por prevenir una infiltración. Diseñar un plan de riesgos cibernéticos puede ayudar a defender a tu compañía de una filtración de información y al mismo tiempo fortalecer tu elegibilidad al tramitar un siniestro en caso de un acceso ilícito a tu sistema.
“Tu proveedor de seguros cibernéticos estará disponible cuando quieras tramitar un siniestro”, dijo, y agregó que las empresas pequeñas a medianas deberían contemplar la posibilidad de contratar una póliza con una prima de medio millón a un millón y medio de dólares. “Además, debes comprender que si no implementas un plan y ejecutas cada uno de sus pasos o dejas cabos sueltos, la aseguradora rechazará tu solicitud de indemnización y te duplicará la prima el siguiente año; el área normativa es muy estricta, por lo que crear un plan de seguridad y documentarlo es la forma más sencilla, fácil y costeable de tramitar un siniestro”.
CONTACTO
James Harrison james@invisus.com
John Sileo john@sileo.com