Los presupuestos de seguridad en las financieras “se están controlando”
“La banca era muy fancy, muy de inversión, cuando en España era mucho más cercana, más del cara a cara”. El socio responsable de servicios de gestión de riesgos de Deloitte, Alfonso Mur, reconoce que el sector financiero español está “volviendo a los básicos”, en un panorama mucho más complicado y menos dado a las extravangancias con el capita,l que puede impactar de una manera directa en los presupuestos de seguridad.
“Se están controlando los presupuestos”, ha reconocido durante la presentación del Informe Anual de Seguridad de Instituciones Financieras de la consultora, “aunque no se declare abiertamente”. “Ninguna entidad parte de cero”, explica aún así, “sino que ya se hicieron inversiones en el pasado” que ahora pueden permitir recortar el gasto. “Están recogiendo los réditos de las inversiones que han hecho”.
La reducción del gasto no tiene aún así cifras claras. “El volumen… No me atrevería a decirlo”, apunta Mur. “Es una reducción en línea con lo que se está viendo en los presupuestos. El titular, para mí, sería ‘cautela en los presupuestos”.
A pesar de todo, el control de la seguridad en los mercados financieros es cada vez mayor. La Administración y las diferentes legislaciones continúan siendo un “driver importante” para implementar las medidas de protección y defensa, aunque no son las únicas impulsoras de esta inversión. La preocupación por la seguridad es “muchísima, cada vez desde varias perspectivas”, que incluyen ya no sólo el impacto económico, sino también el respecto de la protección de datos y de la propiedad intelectual.
“Las entidades están asumiendo más su responsabilidad en seguridad”, apunta Mur, que explica como la figura del CISO está cada vez más presente en los centros de toma de decisión. La visión de la seguridad es “cada vez más estratégica”.
“El CISO se encuentra cómodo y lo están llamando a reportar de forma habitual”, explica. De hecho, el 80% de las compañías analizadas cuentan con un responsable de seguridad o equivalente.El 61% de las entidades ya tienen una estrategia de seguridad y el 63% confían que los objetivos de seguridad se alinean con los propios intereses de negocio.
Principales amenazas
“La seguridad está saliendo de las cotas más técnicas y cada vez se analiza más relacionada con los procesos de negocio”, apunta el socio responsable de seguridad y protección de datos de Deloitte, Javier Urtiaga. Desde esta visión, se analiza una situación en la que los ataques son cada vez más sofisticados y aparecen nuevas tecnologías emergentes, con presupuestos que “siguen siendo bastante escasos”.
La falta de recursos es, por tanto, destacada como la principal amenaza por las entidades financieras, ya que “la estrategia está ahora muy clara, lo que falta es personal para hacer frente al ingente volumen de trabajo”, explica Urtiaga. El factor humano es, además, una de las principales fuentes de fallos, especialmente en el caso de las amenazas internas, donde la mala praxis de sus empleados es la responsable del 70% de los agujeros de seguridad de las financieras.
En el caso de las amenazas externas, las principales fuentes de peligro son los virus y gusanos, el correo basura y el spyware. Aún así, un 20% de las entidades afirman que no han sufrido un ataque externo en el último año, una afirmación que desde Deloitte no dudan en tachar de “chocante”.
“No nos creemos la bajada de los ataques“, apunta Alfonso Mur. Esta ausencia “demuestra que o no tienen presencia significativa en el mercado o que no se han dado cuenta”, añade. “Cualquier activo en internet es rastreado de forma automática”, puntualiza además Urtiaga.
La explicación plausible que han hallado en Deloitte es el fin de la consideración de ataque de los envíos de phishing. “El phishing y el spam aumentan a nivel global, por lo que queremos creer que ya no lo ven como una amenaza”.
Como explica Urtiaga, el phishing no deja de ser la versión moderna del timo de la estampita, en el que la responsabilidad de la entidad es muy discutible. “Igual que si alguien nos pide nuestro pin en la calle no se lo damos, lo mismo sucede con los correos electrónicos”, apunta Mur.
“La tipología del phishing es muy común”, apunta Javier Urtiaga. Las entidades ya han tipificado de forma clara un protocolo de actuación, “con una inversión en el pasado” que hace que “no se requieran inversiones adicionales” en esta materia.
Falta profesionales
En medio de este panorama, las entidades financieras deben afrontar una situación complicada en el panorama laboral.
Cada vez es más difícil cubrir todas las necesidades del departamento de seguridad, porque son necesarios profesionales altamente cualificados difíciles de encontrar en el mercado laboral.