La era digital ha creado una miríada de oportunidades para los bancos y los mercados de capitales, el capital privado y las empresas de gestión de activos, y para los ciberdelincuentes que se dirigen a las instituciones financieras. Si bien las arquitecturas de sistemas innovadoras se benefician de la mejora de la ciberseguridad y la recuperación ante desastres, la velocidad a la que la industria se ha transformado también la deja abierta a un mayor riesgo.
Solo en los últimos dos años, los ataques cibernéticos han causado retrocesos inquietantes para las finanzas y la reputación de múltiples compañías, y en 2022 la Reserva Federal informó que los ataques cibernéticos representan el mayor riesgo para las instituciones financieras a nivel mundial.
Los líderes de la industria saben que el mejor enfoque para la seguridad es aquel que anticipa con certeza un ataque futuro, no solo la posibilidad de uno. Los ciberdelincuentes están muy motivados y, a medida que trabajan más duro y se vuelven más sofisticados, incluso aprovechando la automatización y el aprendizaje automático para exponer vulnerabilidades, se espera que aumenten los riesgos en la banca, la gestión del capital y el capital privado. En este artículo, exploraremos lo que los líderes financieros deben anticipar en 2023 y cómo pueden prepararse mejor.
Preocupaciones sobre la ciberdelincuencia en los servicios financieros
La industria de servicios financieros es una de las industrias más reguladas y monitoreadas del mundo, y por una buena razón. Las instituciones financieras poseen grandes cantidades de información confidencial, desde detalles financieros personales hasta secretos comerciales, y son responsables de salvaguardar esta información. Sin embargo, con el rápido aumento de la tecnología y la transformación digital, los muchos tipos de empresas financieras se enfrentan a una variedad de crecientes desafíos de ciberseguridad. Por ejemplo:
Banca y mercados de capitales
Cuanto más convenientes y accesibles sean los servicios bancarios, incluidos los proporcionados a través de transacciones móviles, cajeros automáticos e interbancarias, más abundantes serán los puntos de entrada para los atacantes. Los ciberatacantes que obtienen acceso a estos sistemas pueden usar la información para el robo de identidad y el fraude financiero.
Todos estos sistemas están vinculados en redes de TI complejas y extensas que son críticas para sus operaciones y presentan muchos puntos potenciales de ataque que deben protegerse. Los atacantes pueden aprovechar la seguridad relativamente ligera en las aplicaciones móviles o atacar un cajero automático que no se vigila de cerca con un skimmer o malware.
Gestión de activos
Los sistemas financieros que administran activos, incluidas acciones, bonos y bienes raíces, para individuos y organizaciones, son cada vez más atacados por los ciberdelincuentes porque poseen grandes cantidades de información financiera, incluidos secretos comerciales y estrategias de inversión. Los administradores de patrimonios y activos deben proteger esta información confidencial y patentada. Esta información altamente valiosa puede ser utilizada por los ciberdelincuentes para obtener ventajas injustas en los mercados de capitales.
Además, los administradores de patrimonio y activos son objetivos lucrativos para el phishing y la ingeniería social que pueden conducir al fraude, lo que puede causar pérdidas financieras significativas para la empresa u organización objetivo.
Capital privado
En muchos casos, las empresas de capital privado se enfrentan al desafío del riesgo cibernético agregado en todas las empresas de su cartera y, si estos riesgos no se gestionan adecuadamente, podría haber una gran exposición y, en última instancia, pérdidas financieras para los inversores.
Las firmas de capital privado también suelen trabajar en estrecha colaboración con múltiples proveedores externos y proveedores de servicios, como bufetes de abogados, firmas de contabilidad y compañías de TI. Estos terceros podrían tener acceso a datos y sistemas confidenciales, lo que los convierte en un posible punto de entrada para los ciberatacantes.
Al ingresar ilegalmente a un entorno de TI, los piratas informáticos pueden infectar o robar cachés masivos de datos. A través de fallas del sistema, violaciones de privacidad y ataques de ransomware, el acceso a estos diversos tipos de información personal y privada hace posible que los delincuentes roben dinero, participen en el uso de información privilegiada y mantengan a las empresas como rehenes. Las empresas no aseguradas que experimentan ataques cibernéticos incurren en costos significativos relacionados tanto con la interrupción del negocio como con la responsabilidad.
Adoptar una estrategia preventiva proactiva
A medida que los riesgos cibernéticos se expanden y evolucionan, también debe hacerlo una estrategia de defensa proactiva y un plan de respuesta. Los proveedores de servicios financieros necesitan un programa sólido de ciberseguridad que incluya
Implementación de capacidades de ciberseguridad para proteger datos importantes
Se necesitan controles de acceso sólidos para limitar el acceso a sistemas y datos confidenciales. Esto puede incluir autenticación multifactor, controles de acceso basados en roles y revisiones de acceso periódicas para garantizar que solo el personal autorizado tenga acceso a datos confidenciales. Las empresas de gestión de activos también deben cifrar los datos confidenciales, tanto en reposo, en tránsito y mientras están en uso. El cifrado puede ayudar a proteger contra el acceso no autorizado a los datos, incluso si un ciberatacante puede obtener acceso a los sistemas de una empresa.
Protección contra phishing e ingeniería social
Las empresas de gestión de activos deben implementar políticas y procedimientos sólidos de seguridad de correo electrónico, incluida la autenticación multifactor, el filtrado de correo electrónico, la protección contra spam y la capacitación regular de los empleados. También deben contar con procesos para verificar cualquier solicitud de transacciones financieras o información confidencial, particularmente si la solicitud está marcada por el software de seguridad como una anomalía, o si parece ser inusual o urgente.
Gobierno y supervisión de la ciberseguridad para las empresas de la cartera
Las empresas de capital privado deben dar los pasos adicionales de definir estrategias para gestionar y monitorear los riesgos cibernéticos dentro de sus compañías de cartera. Y se deben implementar controles regulares para ayudar a garantizar que las compañías de la cartera gestionen el riesgo cibernético de manera adecuada. Las empresas de capital privado también deben crear estrategias para llevar a cabo una diligencia debida exhaustiva sobre las posibles empresas de cartera para identificar cualquier riesgo cibernético.
El seguro puede ayudar en caso de un ataque cibernético
Un informe reciente anunció que en 2023 y más allá, las capacidades y el alcance de los ataques cibernéticos continuarán creciendo. Los líderes financieros que buscan ayudar a proteger los datos para el éxito comercial continuo en la era digital requieren una cobertura cibernética líder de un proveedor de seguros líder. Las asociaciones con proveedores de seguros y expertos en gestión de riesgos pueden proporcionar a una empresa el apoyo necesario en crisis para ayudar a limitar el tiempo de inactividad y gestionar la responsabilidad.
En un mundo donde las empresas confían en la lealtad a la marca, la reputación es el rey. Después de una violación de datos u otro ataque cibernético, una respuesta rápida y táctica no solo limita un mayor daño a las finanzas y los datos, sino que ayuda a sanar el daño a la reputación. El seguro cibernético puede ayudar a cubrir los costos asociados con:
- Informar a los clientes sobre una violación de datos
- Monitoreo de crédito para verificar si hay actividad sospechosa
- Costas legales
- Pérdida de ingresos debido a tiempo de inactividad o interrupciones
- Reparación de sistemas dañados
- Investigación forense (para identificar el origen de la vulnerabilidad)
- Apoyo a las relaciones públicas
- Daño a la reputación
El seguro cibernético aumenta la seguridad financiera, de reputación y del cliente
La cobertura cibernética no es un servicio único para todos. Los suscriptores y expertos en reclamos de Liberty Mutual entienden los tipos específicos de ataques cibernéticos que amenazan al sector financiero, y pueden trabajar con compañías individuales para elaborar estrategias en torno a sus necesidades únicas.