¿Qué pueden hacer las instituciones financieras para mejorar la seguridad del correo electrónico?

HelpNetSecurity

Descargar PDF
Artículo original

Las instituciones financieras están en plena guerra contra las violaciones de datos. Y con razón: el sector financiero es un objetivo frecuente de ransomware, phishing y otros ataques maliciosos. Las comunicaciones sensibles son especialmente vulnerables, y cada año se filtran miles de ellas.

Pero, al mismo tiempo, defendiendoseguridad del correo electrónicoen el sector financiero puede parecer una tarea de Sísifo. A pesar de intentar alcanzar el faro en las distancias lejanas, los proveedores de seguridad se atascan con problemas repetitivos y agujeros de seguridad; nunca llegan a implementar realmente una arquitectura preventiva fiable y completa.

Con los escándalos masivos que rodean al sector financiero como una plaga, ¿cómo pueden las empresas mejorar su seguridad donde más importa?

No subestime los correos electrónicos

Mientras que los profesionales de TI se ocupan hoy en día de un sinfín de problemas difíciles, los correos electrónicos suelen pasarse por alto. Las comunicaciones digitales pueden ser la piedra angular de nuestro trabajo, pero son olvidadas por las empresas que gastan grandes cantidades de dinero en detectores de malware y cortafuegos. Además, existe la creencia generalizada de que los proveedores son los responsables de la seguridad de nuestro correo electrónico. Sin embargo, ya sea Microsoft u otros, no es así. En las finanzas, más que en ningún otro lugar, las organizaciones pueden perder clientes de la noche a la mañana tras un solo caso de piratería informática, y estos sistemas ignorados presentan puntos de entrada populares para los hackers.

Enproactivoes crucial. Es necesario ir más allá de las listas negras generales de spam y malware conocidos. Los profesionales de TI pueden buscar soluciones de extremo a extremo, como censores de contenido con ajustes y filtros personalizados que se ajusten a sus necesidades de seguridad. El envío de un correo electrónico fuera de la red puede ocultar automáticamente los archivos adjuntos o limitar los caracteres del cuerpo del correo, con la posibilidad de marcar términos específicos, como la palabra préstamo o el tipo de interés.

Estas herramientas de servidor Exchange para Office 365 aportan claridad a las configuraciones complejas que se ejecutan en una variedad de servidores o dominios. Protegiendo las comunicaciones sensibles, pueden hacer maravillas para la optimización de las operaciones, al tiempo que aportan beneficios a los trabajadores. Los empleados pueden trabajar de forma más flexible, evaluando sus calendarios y bandejas de entrada incluso desde sus dispositivos personales sin poner en riesgo a sus empresas.

Los correos electrónicos contienen mucha información, enlaces y pistas de información.Estafas de phishingLos mensajes de correo electrónico, como las falsas "contraseñas perdidas" o las súplicas de "restablecimiento de la cuenta", son sólo algunas de las posibles amenazas. Los mensajes de correo electrónico requieren una sólida protección a diferentes niveles, ya sean los procesos de autenticación, el contenido, la identidad del remitente o la funcionalidad de la propia configuración. Al centrarse en todos ellos, las organizaciones pueden abordar la seguridad del correo electrónico como un todo, desarrollando un plan de juego claro y preventivo.

Predicar la descentralización

La descentralización debe impregnar todos los aspectos de la seguridad del correo electrónico. Ya sea físicamente -con bases de datos y herramientas diferentes- o conceptualmente -con derechos de acceso limitados-, puede disminuir radicalmente el riesgo de filtraciones. Los puntos centralizados son los objetivos más tentadores para los hackers, y las instituciones financieras suelen cometer errores básicos, como almacenar las contraseñas y los nombres de usuario en el mismo lugar.

Los entornos de alta seguridad suelen funcionar en niveles multiestructurales; por lo tanto, un nudo vulnerable no debería afectar a la seguridad general. Esto se debe a que controlan qué información se almacena dónde y quién puede acceder a ella. Aunque la descentralización no tiene por qué alterar visiblemente la arquitectura de TI, puede suponer un cambio de juego.

Cuidado con el factor humano

Hay algo que está fuera de las manos incluso de los más expertos en TI: el factor humano. Como cada trabajador interactúa a diario con los sistemas, puede influir en gran medida en el ámbito de la seguridad. Por ello, hay que cultivar al máximo los conocimientos informáticos y los hábitos de seguridad de los empleados que trabajan en el sector financiero.

En el sector financiero, es especialmente importante que los empleados lo entiendan. Esto incluye la formación sobre las amenazas específicas habituales en las finanzas, el dominio de la gestión de crisis y la creación de canales de intercambio de conocimientos tanto dentro de la organización como en otras instituciones. Asimismo, es crucial que el entorno de alta seguridad lleve a cabo una investigación tanto de los empleados como de los terceros que manejan sus datos.

La solución de censura preventiva, implementada incluso por Microsoft en elNivel Office 365, pueden ayudar a determinar qué datos son adecuados para las redes internas. Aunque el intento de travesura de un empleado no puede evitarse absolutamente por sí mismo, las organizaciones pueden limitar su acceso a la información sensible, previniendo los problemas incluso antes de que surjan.

Asimismo, es urgente formar a los usuarios finales, ayudándoles a comprender los fundamentos de la ciberseguridad. Ahora que Microsoft ha habilitado contraseñas de 256 caracteres, podemos ver que el potencial de piratería es enorme. Pero, aparentemente, elcontraseñas más utilizadasen las cuentas vulneradas es "123456", utilizada por 23,2 millones de cuentas en todo el mundo, junto con las de "1111111" o "contraseña". Es beneficioso para las empresas tener una política de contraseñas establecida, fomentando un cambio de forma regular o promoviendo un gestor de contraseñas y la autenticación multinivel.

Entidades financieraspueden tener cientos de lugares diferentes con miles de empleados que utilizan sus cuentas de correo electrónico a diario. Ya sea a través de contraseñas o de potentes soluciones de intercambio, las soluciones de seguridad del correo electrónico no pueden, bajo ninguna circunstancia, dejarse de lado o subestimarse.