La ciberseguridad de la banca empieza por casa
martes, 22 de diciembre de 2015
Robin Sidel y Emily Glazer
The Wall Street Journal Americas
El Mercurio
JPMorgan les prohíbe a sus trabajadores colocar "Estoy fuera de la oficina" como respuesta automática en correos electrónicos.
Aterrorizados por una serie de recientes ataques cibernéticos, los bancos están gastando miles de millones de dólares en su intento por defenderse de un ejército sin rostro de intrusos digitales. No obstante, las mayores amenazas pueden venir desde dentro. Los bancos temen que los empleados estén exponiendo involuntariamente información valiosa a los hackers o dejando pistas en línea que hagan posible un ataque digital. Para fortalecer sus defensas, las compañías prohíben a sus empleados usar dispositivos portátiles, como unidades USB, y les advierten que tengan cuidado con lo que publican en las redes sociales, e incluso los desalientan a poner mensajes como "Estoy fuera de la oficina" como respuesta automática en sus correos electrónicos. Varios bancos también analizan si sus empleados abren sin querer la puerta de sus empresas a los hacker s cuando son víctimas de intentos de phishing , un tipo de engaño en el que los delincuentes persuaden a los destinatarios para que hagan clic en enlaces que a menudo contienen malwares que permiten acceder a contraseñas u otra información sensible. Semanas después de que J.P. Morgan Chase & Co. sufriera una violación masiva de datos que expuso la información de 76 millones de clientes, el mayor banco de Estados Unidos por activos envió un e-mail de phishing falso a sus más de 250 mil empleados para ponerlos a prueba. Aproximadamente, 20% de los destinatarios hizo clic en el enlace, según fuentes cercanas. Un representante no quiso hacer comentarios sobre las iniciativas que el banco ha llevado a cabo desde entonces para prevenir que sus trabajadores hagan clic en correos electrónicos que podrían exponer datos. La empresa prohíbe a su personal usar sus direcciones de e-mail laboral para uso privado, tales como registrarse en sitios de compras o cuentas de redes sociales como LinkedIn, según una nota enviada a los empleados tras el ataque cibernético. J.P. Morgan ha indicado que en 2016 prevé invertir alrededor de US$ 500 millones en seguridad cibernética, aproximadamente el doble que en 2014. Brian Moynihan, presidente ejecutivo de Bank of America Corp., ha dicho que el presupuesto de ciberseguridad es ilimitado y que se está focalizando cada vez más en sus trabajadores. Wells Fargo & Co., el mayor banco del mundo por capitalización de mercado, también está aumentando su inversión en seguridad cibernética. "Gastamos un océano de dinero" en ciberseguridad, dijo su presidente ejecutivo, John Stumpf, en una entrevista reciente. Una de las mayores preocupaciones de los bancos es determinar hasta qué punto deben monitorear la conducta de sus empleados en los medios sociales, donde pueden fácilmente publicar detalles sobre sus responsabilidades laborales que los hackers podrían utilizar para decidir quién es el mejor blanco dentro de una organización. La situación puede volverse más delicada cuando se trata de publicaciones de carácter personal, tales como fotos de las vacaciones, que podrían alentar a los delincuentes a entrar en el domicilio y robar su computadora portátil de trabajo, señalan expertos en seguridad cibernética. En general, alrededor del 30% de las violaciones de datos registradas este año fue por errores de los empleados, según un sondeo publicado este mes por la Association of Corporate Counsel. La oficina cibernética del FBI en Nueva York también recibe quejas sobre ataques de phishing "casi a diario", dice Richard Jacobs, agente especial a cargo de delitos cibernéticos del organismo. TD Bank Group, compañía de servicios financieros canadiense que tiene aproximadamente 1.300 sucursales en EE.UU., informó que este año comenzó a enviar ataques simulados de phishing a sus empleados. Incluso, bancos pequeños están monitoreando la conducta de sus trabajadores. Pinnacle Financial Partners Inc., que tiene cerca de US$ 6 mil millones en activos, envía e-mails de phishing falsos a sus 1.100 empleados más o menos cada tres meses. "Todos bromean al respecto", cuenta Clayton Weber, director de seguridad de la información de la entidad. A pesar de que los empleados saben que el banco los pone a prueba con regularidad, alrededor del 2% hace clic en el correo electrónico del phishing falso, señala.
Cerca del 30% de las violaciones de datos durante el año fue por errores de los empleados, según un sondeo de la Association of Corporate Counsel.
