El coste de la confianza: cómo prevenir infracciones con daños millonarios

En los servicios financieros, la confianza es fundamental. En ciberseguridad, la confianza implícita puede ser un riesgo caro, que genera pérdidas de millones de dólares.

Para ayudar a fundamentar esta afirmación, considere una cantidad específica: 6.08 millones de dólares, para ser exactos. Este es el precio real que pagan las empresas de servicios financieros por confiar en las personas, los procesos y las tecnologías equivocadas: es el coste promedio de una filtración de datos en el sector, según los últimos datos de IBM. 

Los riesgos astronómicos justifican un enfoque Zero Trust y resaltan que los modelos de seguridad tradicionales, a pesar de su presencia duradera en el mercado, ya no son suficientes.

El impacto financiero de las infracciones

Las organizaciones de servicios financieros siempre han estado en el punto de mira de los ciberdelincuentes. En las últimas dos décadas, casi una quinta parte de todos los ciberincidentes globales se han dirigido, como su nombre indica, contra una empresa financiera, según el último informedel FMI.

Es una cifra significativa e incluye muchas infracciones de alto perfil. Por ejemplo, en 2019, un titular de CNN indicaba: Un hacker obtuvo acceso a 100 millones de solicitudes y cuentas de tarjetas de crédito de Capital One. Esta fue una de las mayores infracciones de la historia reciente, con considerables consecuencias financieras para el proveedor de crédito estadounidense. Se impusieron multas regulatorias por valor de 80 millones de dólares, porque el regulador de la OCC descubrió que Capital One no implementó prácticas de gestión de riesgos antes de migrar a la nube. También hubo una considerable acuerdo de demanda colectiva de  190 millones de dólares para resolver demandas de clientes afectados.

Al pensar en las consecuencias financieras de los ciberincidentes, lo primero que nos viene a la cabeza es el coste necesario para recuperar y proteger las operaciones. A esto se suman los posibles costes en multas regulatorias. Pero uno de los impactos más perjudiciales y duraderos es la reputación de la marca. Los clientes son cada vez más reticentes a confiar sus datos a organizaciones que han sufrido una vulneración. Su preocupación es válida: el último estudio de ThreatLabz reveló que la exfiltración de datos aumentó un 92,7 % con respecto al año pasado. Esto demuestra que el robo de datos está impulsando las campañas de extorsión, por lo que es lógico que el 47 % de las empresas (en todos los sectores) afirmen tener dificultades para atraer nuevos clientes tras ciberataques públicos, según elInforme de preparación cibernética de Hiscox.

Ganar confianza es una ventaja competitiva, pero una que se pierde fácilmente. Especialmente en un sistema digital “protegido” por la seguridad heredada. 

Dónde fallan los modelos tradicionales

Las herramientas de seguridad tradicionales no satisfacen las demandas actuales en muchos aspectos. Se centran en proteger el perímetro, pero no ofrecen suficiente visibilidad y, por ello, no priorizan la resiliencia.

Las herramientas heredadas como VPN, firewalls y controles de acceso estático fueron diseñadas para una época en la que los usuarios y los datos permanecían dentro del perímetro de la red. Los actuales entornos híbridos que priorizan la nube hacen que estas herramientas sean insuficientes. Una vez que los atacantes traspasan el límite difuso de un imaginario perímetro, a menudo encuentran poca resistencia. Además, el movimiento lateral podría significar acceso sin restricciones a grandes cantidades de datos confidenciales.

¿Qué pasa con la visibilidad? Hay varias razones por las cuales los arquitectos de seguridad que gestionan configuraciones tradicionales no obtienen la visibilidad necesaria para aplicar el mínimo privilegio o responder rápidamente a las anomalías. Una razón es la existencia de una arquitectura de red plana donde herramientas como los firewalls tienen dificultades para diferenciar entre el tráfico normal y el sospechoso, porque todo parece igual. Sin segmentación del tráfico, es difícil aplicar una supervisión sensible al contexto que proporcione la visibilidad necesaria. Otra razón es el acceso amplio a la red, donde no se supervisa la actividad de los usuarios conectados, lo que significa que el comportamiento sospechoso puede pasar desapercibido. ¿En resumen? La seguridad debe proporcionar visibilidad permanente y en tiempo real de la actividad del usuario y del dispositivo.

Por último, tratamos el tema de la resiliencia. Se ha convertido en un mantra en Zscaler, y con razón. En cuanto a la tecnología y los procesos, la resiliencia no se trata solo de proteger, sino también de responder: ¿con qué rapidez se puede contener una brecha de seguridad y restablecer la actividad empresarial? Vivimos en una era de ciberataques donde ninguna empresa es inmune, por lo que implementar únicamente la detección de amenazas es una estrategia poco previsora. Desafortunadamente, la realidad es que los modelos de seguridad tradicionales tienen dificultades para contener un ataque, lo cual es desastroso para la continuidad del negocio. 

Zero Trust como estrategia de ahorro de costes

Considerando las ramificaciones financieras de las infracciones de seguridad, creo que Zero Trust puede presentarse como una inversión que permite ahorrar costes. Deberíamos alejarnos de la noción de que Zero Trust es “solo” una mejora de seguridad: adoptar este enfoque moderno tiene más que ver con implementar una estrategia potente de resiliencia empresarial.

El retorno de la inversión se refleja de varias maneras. Por un lado, impide que los atacantes se trasladen de un sistema comprometido a otros. Zero Trust también implica implementar la escalada de privilegios. En caso de una brecha de seguridad, el acceso no autorizado a sistemas de nivel superior se bloquea porque cada solicitud de acceso se comprueba. Otra característica de la arquitectura Zero Trust es que permite la microsegmentación para, de igual manera, reducir la superficie de ataque, pero también implementar políticas de acceso en tiempo real sin interrumpir otros flujos de trabajo.

Cuando una arquitectura Zero Trust está impulsada por IA, el retorno de la inversión consiste en ahorrar tiempo a arquitectos de seguridad que a menudo están sobrecargados. Podrán detectar anomalías a medida que ocurren y reducir la verificación manual, porque las medidas de contención se pueden automatizar. El resultado es una respuesta a incidentes y tiempos de recuperación más rápidos, lo que ayuda a reducir los costes de remediación. La relación coste-beneficio es especialmente importante en entornos regulados como el de los servicios financieros, donde las multas por incumplimiento de la protección de datos pueden ser elevadas.

La ciberseguridad ya no es sólo una cuestión técnica. Como muestra este blog, el coste de equivocarse no se limita a una cifra en dólares. Está vinculado a la reputación de su marca y afecta su capacidad de ofrecer a los clientes lo que están pagando. Para los tomadores de decisiones que se toman en serio la protección del valor de su marca y la continuidad de su negocio, Zero Trust es el siguiente paso lógico en lo que, hasta la fecha, ha sido un viaje heredado. Es hora de dejar ese legado atrás.

¿Listo para implementar Zero Trust ? Si apenas comienza su recorrido, le recomendamos consultar la lista de verificación de Zscaler con las funciones que debe considerar antes de invertir en una arquitectura Zero Trust. Le ofrecerá una visión general de lo que necesita para incorporar los controles y la resiliencia necesarios para desenvolverse en un mundo cada vez más complejo. Más información en nuestros libro electrónico para el sector financiero y nuestrapágina de servicios financieros.