18 de julio de 2023
Por Rodman Ramezanian - Global Cloud Threat Lead | Skyhigh Security
Con el trabajo híbrido aquí para quedarse, la industria de los servicios financieros se está adaptando a los mayores riesgos asociados con la habilitación de una fuerza de trabajo remota. Se ha avanzado mucho, pero como se pone de manifiesto en nuestro último informe "Skyhigh Security Cloud Adoption and Risk Report: Edición Servicios Financieros", el sector aún tiene un largo camino por recorrer para mejorar la seguridad en la nube.
Las organizaciones de servicios financieros son especialmente vulnerables a las brechas, las amenazas y el robo de datos en comparación con otros sectores debido a la naturaleza de los datos que gestionan, y el porcentaje de estas organizaciones que experimentan problemas de seguridad va en aumento. En este informe podemos ver que el sector es consciente de que es un objetivo prioritario para los ataques, por lo que en general demuestra una mayor madurez en materia de seguridad que otros sectores, pero sigue habiendo problemas, sobre todo en el ámbito de la protección de los datos valiosos en los servicios y aplicaciones en la nube. ¿A qué se deben estos problemas y qué se puede hacer para resolverlos? Indaguemos y exploremos la investigación.
Las empresas de servicios financieros poseen activos de gran valor, lo que las convierte en un objetivo más frecuente
Dado que las empresas de servicios financieros como los bancos, las compañías de seguros, las casas de corretaje y las empresas de tarjetas de crédito almacenan grandes cantidades de información de tarjetas de pago y otros datos sensibles, son especialmente vulnerables a los ataques. Esto las hace susceptibles a los hactivistas de los estados-nación que llevan a cabo ataques para impulsar agendas políticas y a los ciberdelincuentes ávidos de ganancias monetarias. En comparación con otros sectores, los servicios financieros tienen más probabilidades de haber experimentado la triple combinación de una violación de la ciberseguridad, una amenaza y un robo de datos: 78% frente al 75% de todos los sectores.
El cambio al trabajo híbrido ha aumentado la superficie de ataque y el riesgo para la seguridad
Como la mayoría de los demás sectores, el de los servicios financieros ha adoptado el trabajo híbrido por todas sus ventajas, a pesar de sus inconvenientes en materia de seguridad. El aumento de la superficie de ataque, los problemas con las aplicaciones SaaS y la TI en la sombra son algunas de las formas concretas en que el cambio al trabajo híbrido ha incrementado el riesgo para la seguridad, como demuestran las siguientes estadísticas del informe:
- En 2019, el número medio de servicios de nube pública en uso era de 20, frente a 31 en 2022. Eso supone un aumento de más del 50% en tres años.
- En el caso de las empresas que utilizan aplicaciones y servicios SaaS, el porcentaje de las que han experimentado problemas de seguridad ha aumentado un 13%: del 82% de las empresas en 2019 al 95% de las empresas en 2022. El riesgo de amenazas por problemas de seguridad con SaaS afecta a los servicios financieros más que a otros sectores.
- El 82% de las empresas de servicios financieros admite que las TI en la sombra merman su capacidad para proteger los datos.
Por estas razones, recomendamos que las empresas de servicios financieros adopten una plataforma de seguridad en la nube security service edge (SSE) centrada en los datos y basada en los principios de Confianza Cero para proteger los datos en la web, la nube y las aplicaciones privadas. Los problemas con SaaS en esta industria indican una mayor necesidad de visibilidad y control sobre los datos. Una plataforma SSE proporciona esa capacidad con controles y políticas coherentes.
Los servicios financieros son una industria altamente regulada
Además de los elevados riesgos de seguridad a los que se enfrenta este sector, el cumplimiento de la normativa añade otra capa de complejidad. Los ejecutivos de seguridad deben tener en cuenta cómo afectará cualquier nueva tecnología o herramienta de seguridad que adopten a la capacidad de su organización para gestionar un cumplimiento normativo cada vez mayor. Para simplificar el cumplimiento, recomendamos a las empresas de servicios financieros que busquen soluciones con tecnologías consolidadas que puedan escalar rápidamente con su plantilla y agilizar los informes de cumplimiento.
La dotación de personal de ciberseguridad es un reto continuo
Aunque todas las industrias están teniendo dificultades para encontrar profesionales de seguridad cualificados, el sector de los servicios financieros siente aún más el dolor. El 96% de los encuestados del sector afirma que la insuficiencia de personal de seguridad cualificado está afectando a su capacidad para garantizar el uso de la computación en nube. Eso contrasta con el 92% de sus homólogos de todas las industrias que tienen el mismo reto.
Para contrarrestar este problema, recomendamos que las empresas de servicios financieros encuentren una solución de plataforma de seguridad en la nube que utilice herramientas y procesos automatizados. Esto ayudará al personal existente a trabajar de forma más eficiente reduciendo los falsos positivos y eliminando tareas redundantes como tener que volver a crear clasificaciones de datos. Una plataforma unificada y gestionada de forma centralizada también proporciona una escalabilidad mucho mayor y simplifica el proceso de creación y ampliación de políticas a través de la web y la nube.
Al igual que en otros sectores, el informe indica que en las empresas de servicios financieros puede haber cierta incertidumbre sobre quién supervisa y controla dónde se almacenan o utilizan los datos sensibles en la nube. Por término medio, hay dos funciones (CIO y CTO) implicadas en ello. Sin embargo, entre el 35% y el 42% de los encuestados del sector de los servicios financieros afirman que la seguridad en la nube también es tarea de los directores de TI y de los responsables de seguridad informática. La falta de definiciones claras de las funciones y de quién es dueño de qué puede dar lugar a lagunas de seguridad y vulnerabilidades. Esta es otra razón por la que un enfoque unificado e integrado de la seguridad en la nube es valioso, especialmente para los servicios financieros.
A favor de quienes gestionan la seguridad de la nube para las empresas de servicios financieros, también parece que están buscando proactivamente formas de mantenerse a la vanguardia. Por ejemplo, las empresas de servicios financieros son más propensas que otros sectores a utilizar soluciones cloud access security broker (CASB) para supervisar el uso de la nube no aprobado por TI.
Al tomar la iniciativa de implantar una plataforma de seguridad en la nube SSE que integre múltiples tecnologías de seguridad como CASB, data loss prevention (DLP), cortafuegos y pasarelas web en un sistema robusto y holístico, las empresas de servicios financieros pueden proteger mejor sus datos sensibles y de gran valor al tiempo que disfrutan de las ventajas de la nube.
Obtenga más información leyendo el informe sobre adopción de la nube y riesgos deSkyhigh Security
Edición sobre servicios financieros.
Descargar el informe
Volver a Blogs