El costo de la confianza: Cómo evitar las violaciones con daños millonarios

En los servicios financieros, la confianza es fundamental. En ciberseguridad, la confianza implícita puede ser una responsabilidad costosa, y generar pérdidas millonarias. 

Para que esta afirmación le quede clara, quiero que considere una cantidad específica: $6.08 millones, para ser exactos. Este es el precio real que las empresas de servicios financieros están pagando por confiar en personas, procesos y tecnologías equivocadas; es el costo medio de una fuga de datos en el sector, según los últimos datos de IBM. 

La magnitud de lo que está en juego justifica un enfoque Zero Trust y pone de relieve que, a pesar de su presencia constante en el mercado, los modelos de seguridad tradicionales ya no son suficientes.

El impacto financiero de las violaciones

Las entidades de servicios financieros siempre han estado en la mira de los ciberdelincuentes. En las últimas dos décadas, casi una quinta parte de todos los ciberataques mundiales han tenido como objetivo, como era de esperarse, a una empresa financiera, según el último informe del FMI.

Se trata de una cifra significativa e incluye muchas violaciones de alto perfil. Por ejemplo, en 2019, un titular de CNN dice: Un hacker obtuvo acceso a 100 millones de solicitudes y cuentas de tarjetas de crédito de Capital One. Esta fue una de las violaciones más grandes y recientes, con considerables consecuencias financieras para el proveedor de crédito estadounidense. Se impusieron multas regulatorias por un monto de $80 millones, porque el regulador OCC descubrió que Capital One no implementó prácticas de gestión de riesgos antes de migrar a la nube. También hubo un Acuerdo de demanda colectiva por $190millones para resolver las demandas de los clientes afectados.

Cuando pensamos en las consecuencias financieras de los ciberataques, lo primero que nos viene a la mente es el costo tangible necesario para recuperar y asegurar las operaciones. A esto le siguen las posibles multas regulatorias. Pero uno de los impactos más dañinos y duraderos es el daño a la reputación de la marca. Los clientes son cada vez más reacios a confiar sus datos a organizaciones que han sufrido una violación. Su preocupación es perfectamente valida: la última investigación de ThreatLabz reveló que la exfiltración de datos aumentó un 92.7 % con respecto al año anterior. Esto demuestra que el robo de datos está alimentando las campañas de extorsión, por lo que resulta lógico que el 47 % de las empresas (de todos los sectores) afirmen tener dificultades para atraer nuevos clientes tras los ciberataques que se han hecho públicos, segúnel Informe de Ciberpreparación de Hiscox.

Obtener confianza es una ventaja competitiva, pero se puede perder fácilmente. Especialmente, en un sistema digital "protegido" por sistemas de seguridad heredados. 

Donde fallan los modelos tradicionales

Las herramientas de seguridad heredadas son insuficientes ante las exigencias actuales en muchos aspectos. Se centran en proteger el perímetro, pero no ofrecen suficiente visibilidad y, por lo tanto, restan importancia a la resiliencia. 

Las herramientas tradicionales como las VPN, los firewalls y los controles de acceso estático se diseñaron para una época en la que los usuarios y los datos permanecían dentro del perímetro de la red. Los entornos híbridos actuales, centrados en la nube, hacen que estas herramientas no sean suficientes. Una vez que los atacantes violan el perímetro (límite difuso e imaginario), a menudo encuentran poca resistencia. Y el movimiento lateral podría significar un acceso sin restricciones a grandes cantidades de datos confidenciales.

¿Y que pasa con la visibilidad? Existen varias razones por las que los arquitectos de seguridad que gestionan configuraciones tradicionales no obtienen la visibilidad necesaria para aplicar el principio de privilegios mínimos o responder rápidamente a anomalías. Una de ellas es una arquitectura de red plana donde herramientas como los firewalls tienen dificultades para diferenciar entre tráfico normal y sospechoso porque todo parece igual. Sin segmentación del tráfico, es difícil aplicar una supervisión contextual que proporcione la visibilidad necesaria. Otro ejemplo es el acceso amplio a la red, donde no se supervisa la actividad de los usuarios conectados, lo que significa que un comportamiento sospechoso puede pasar desapercibido. ¿En resumen? La seguridad debe proporcionar visibilidad permanente y en tiempo real de la actividad del usuario y del dispositivo.

Finalmente, abordamos el tema de la resiliencia. En Zscaler, se ha convertido en una especie de mantra, y con razón. Al analizar la tecnología y los procesos, la resiliencia no solo se trata de la seguridad, sino también de la respuesta: ¿con qué rapidez se puede contener una violación y restablecer la actividad empresarial? Vivimos en una era de ciberataques donde ninguna empresa es inmune, por lo que limitarse a la detección de amenazas es una visión poco previsora. Lamentablemente, la realidad es que los modelos de seguridad tradicionales tienen dificultades para contener un ataque, lo cual resulta desastroso para la continuidad del negocio. 

Zero Trust como estrategia de ahorro de costos

Teniendo en cuenta las repercusiones financieras de una violación, creo que la arquitectura Zero Trust puede plantearse como una inversión que ahorra costos. Debemos abandonar la idea de que Zero Trust sea "solo" una actualización de la seguridad; adoptar este enfoque moderno tiene más que ver con la implementación de una sólida estrategia de resiliencia empresarial.

La rentabilidad de la inversión se manifiesta de varias maneras. En primer lugar, impide que los atacantes se muevan de un sistema comprometido a otros. El enfoque Zero Trust también implica la implementación de la escalada de privilegios. Si se produce una violación, se bloquea el acceso no autorizado a sistemas de nivel superior porque cada solicitud de acceso se verifica. Otra característica de la arquitectura Zero Trust es que permite la microsegmentación para reducir la superficie de ataque de manera similar, pero también para implementar la aplicación de políticas de acceso en tiempo real sin interrumpir otros flujos de trabajo.

Cuando una arquitectura Zero Trust se basa en la IA, el retorno de la inversión consiste en ahorrarle tiempo a los arquitectos de seguridad, que a menudo están sobrecargados de trabajo. Podrán detectar anomalías a medida que se producen y reducir el análisis manual para priorización de casos, ya que las medidas de contención pueden automatizarse. Esto a como resultado tiempos de respuesta y recuperación ante incidentes más rápidos, lo que ayuda a reducir los costos de remediación. La relación costo-beneficio es especialmente importante en entornos regulados como los servicios financieros, donde las multas por incumplimiento de protección de datos pueden ser enormes.

La ciberseguridad ya no es solo una cuestión técnica. Como lo demuestra este blog, el costo de equivocarse no se limita a una cifra monetaria. Está ligado a la reputación de su marca y afecta su capacidad de brindar a los clientes el servicio que están pagando. Para los responsables de la toma de decisiones que se toman en serio la protección del valor de su marca y la continuidad de su negocio, Zero Trust es el siguiente paso lógico en lo que, hasta la fecha, ha sido un camino tradicional. Es hora de dejar atrás ese legado. 

¿Está listo para implementar Zero Trust? Si recién está comenzando, consulte la lista de verificación de características de Zscaler antes de invertir en una arquitectura Zero Trust. Esto le dará una visión general de lo que necesita para integrar el control y la resiliencia necesarios para desenvolverse en nuestro mundo complejo. Más información en nuestro libro electrónico sobre servicios financieros y nuestrapágina de servicios financieros.