CIBERSEGURIDAD: EE.UU. IMPULSA DEFENSAS MÁS SÓLIDAS PARA LAS EMPRESAS FINANCIERAS
- Un entorno cibernético debe estar protegido de la misma forma que lo estarían otros activos en una ubicación física.
- Sistemas de autenticación fuerte con información del usuario.
- Se puede agregar autenticación multicanal a un sistema de autenticación múltiple.
- No se deben utilizar conexiones a internet sin protección.
- Los datos sensibles deben estar cifrados y las protecciones de virus deben actualizarse de manera regular.
- Es importante educar y capacitar a los empleados, clientes y proveedores.
ALGUNOS MÉTODOS Y MEJORES PRÁCTICAS PARA PREVENIR ESQUEMAS DE CIBERSEGURIDAD Y MITIGAR LOS DAÑOS QUE ESTOS PUEDEN OCASIONAR
Proteger el entorno cibernético – Un entorno cibernético debe estar protegido de la misma forma que lo estarían otros activos en una ubicación física. No se deben utilizar conexiones a internet sin protección. Los datos sensibles deben estar cifrados y las protecciones de virus deben actualizarse de manera regular.
Las compañías deben asegurarse de que se utilicen contraseñas complejas y que se actualicen regularmente – Esto puede hacer las cosas más difíciles para los delincuentes financieros que usan técnicas para robar contraseñas, o que tratan de adivinarlas después de haber obtenido otros datos personales.
Autenticación fuerte o usando factores múltiples – Estos son sistemas que requieren múltiples elementos de evidencia para verificar a un usuario antes de darle acceso a una cuenta. Tradicionalmente, un sistema multifactorial requiere 2 de 3 “factores” para que se otorgue el acceso, los cuales pueden ser:
–Información que sabe el usuario (contraseña o información personal)
–Información que tiene el usuario (típicamente una tarjeta o identificador)
–Información propia del usuario (huellas digitales, identificación de voz u otra identificación biométrica)
Autenticación multicanal – Si bien la autenticación mediante factores múltiples es un sistema sólido para la verificación de los usuarios, no siempre es un método práctico. En su lugar, algunas organizaciones usan una autenticación multicanal para verificar la identidad de un usuario o para confirmar una transacción, especialmente si es sospechosa o está por encima de cierto umbral. Un ejemplo simple de autenticación multicanal lo apreciamos cuando una institución le solicita a su cliente que ingrese su nombre de usuario y contraseña y luego un empleado envía un mensaje de texto o llama al cliente para confirmar antes de ejecutar la transacción.
Entender las responsabilidades y obligaciones – Muchos acuerdos de cuentas con un banco o institución financiera recogen detalladamente las medidas de seguridad razonables que se requieren para proteger las cuentas. En algunos casos, estas medidas pueden incluir que los cuentahabientes implementen medidas. Es importante que los clientes entiendan e implementen las defensas de seguridad que aparecen en el acuerdo. Si no lo hacen, podrían ser responsables de las pérdidas que ocurran como resultado de una apropiación fraudulenta de cuenta.
Ciberseguridad: EE.UU. impulsa defensas más sólidas para las empresas financieras
La Comisión de Bolsa y Valores de EE.UU. informó este año a las compañías de servicios financieros qué tipo de prácticas de ciberseguridad ha encontrado durante las auditorías, brindándoles información detallada sobre cómo manejar datos confidenciales y protegerse contra ataques cibernéticos.
Las observaciones de la SEC son las más recientes en una serie de movimientos de reguladores y agencias gubernamentales a nivel internacional que se muestran cada vez más preocupados por las prácticas sobre seguridad cibernética corporativa.
Poco tiempo antes de estas observaciones, la Agencia de Seguridad Nacional publicó una guía sobre cómo las empresas deberían proteger sus servicios basados en la nube. Varios puntos planteados en esa guía son similares a los que recomienda la SEC, como
- el uso de la autenticación multifactor,
- el mantenimiento de programas de parches, y
- el cifrado del tráfico de datos.
Algunos expertos señalan que si bien ciertas áreas que la SEC analiza son valiosas, incluido el asesoramiento sobre la creación de copias de seguridad de datos fuera de línea, algunas de las más sofisticadas herramientas y procesos están fuera del alcance de las empresas más pequeñas.
En una sección que cubre la pérdida de datos, la SEC sugiere que las empresas usen sistemas que puedan detectar y bloquear las transmisiones de datos que contienen información confidencial, como los números de los documentos de identidad o los números de cuenta.
También sugiere controles rigurosos para el acceso a los sistemas, incluido el uso de códigos de acceso generados aleatoriamente para autenticar a las personas y la eliminación inmediata de accesos a un empleado cuando deja una empresa.
El regulador seguramente no espera que todas las compañías bajo su órbita de control implementen todos los enfoques que enumera, y entiende que las empresas más pequeñas enfrentan desafíos con los recursos para la seguridad cibernética.
El informe de la SEC se divide en áreas que incluyen acceso y gestión de proveedores, respuesta a incidentes, seguridad móvil, gobernanza y gestión de riesgos, capacitación de empleados y prevención de pérdida de datos. “Creemos que evaluar su nivel de preparación e implementar algunas o todas [estas] medidas hará que su organización sea más segura”, dice el informe.
Bajo la gestión de proveedores, por ejemplo, la SEC destaca que las empresas deben haber establecido procedimientos para terminar la relación contractual con proveedores de servicios en la nube y otros proveedores, con el fin de preservar los datos necesarios para el cumplimiento de las normativas al pasar de un proveedor a otro.
El informe también dice que las compañías deben comprender claramente los riesgos relacionados con el uso de los proveedores de servicios basados en la nube, y qué parte es responsable para salvaguardar la información confidencial. Los reguladores financieros, incluida la SEC, la Autoridad Reguladora de la Industria Financiera y la Asociación Nacional de Futuros, señalaron recientemente que se están centrando en la seguridad de la nube durante las auditorías de las compañías.
La prevención de pérdida de datos es un enfoque principal de los exámenes de la SEC. En 2019, la SEC envió una serie de encuestas detalladas a asesores de inversión registrados que se centraron en sus acuerdos de seguridad en la nube. Muchos asesores carecían de los tipos de herramientas descritas por la SEC, particularmente en términos de monitoreo cuando se transmitía información confidencial.