La industria financiera y de seguros se ha caracterizado por ser un pilar del desarrollo económico a prueba de cambios sociales, políticos y hasta demográficos, pero más bien ha sido una industria que ha sabido adaptarse como pocas a dichas transformaciones. El progreso de cualquier nación no se puede entender sin la participación de la banca privada y de gobierno; cosas como el acceso al crédito, estructuración de deuda y emisión de bonos, son algunos ejemplos por los cuales el sector financiero es uno de los pilares de nuestra sociedad moderna.
La llegada del internet trajo consigo cambios radicales a la forma de hacer llegar los servicios financieros a las personas. Menos sucursales bancarias con accesos personalizados desde sus computadoras personales o laborales, ¡genial! , sin embargo, este avance en términos digitalización de los servicios financieros, ha creado nuevos retos que con la pandemia de Covid-19 en 2020 vinieron a profundizarse.
De acuerdo con un reporte publicado por Cybersecurity Ventures, los costos de los cibercrímenes pasaron de 3 trillones de dólares en 2015 (sí, TRILLONES…) a 6 trillones en 2021, para 2025 el costo global será de 10.5 trillones de dólares. Estas proyecciones muestran un crecimiento exponencial que de no existir las condiciones para su expansión, no serían tan elevadas, sin embargo, con la digitalización de prácticamente todos los procesos industriales, empresariales y de gobierno, el pastel no sólo se hizo más grande y rico, sino sumamente diverso.
Hace 10 años pensaríamos que sólo las empresas de software podrían ser víctimas de ransomware, hoy lamentablemente vemos como empresas de energía (Colonial Pipeline), de redes sociales (Linkedin), correo electrónico (Yahoo) y sobre todo financieras (CNA Financial), se suman a esa lista que cotidianamente genera pérdidas millonarias y en términos de negocio para empresas y cadenas de proveeduría en todo el mundo.
Las empresas de tecnología financiera o Fintech se definen como proveedoras de servicios financieros a través del uso de la tecnología. Ésta puede ser a través del teléfono móvil, computadora, cajeros automáticos inteligentes y aplicaciones dedicadas a uno o varios propósitos. Existen actualmente empresas que ofrecen tarjetas de crédito sin comisiones y con “plásticos” digitales, lo que aminora la exposición al riesgo del usuario, hasta los market places para buscar un seguro para el auto a la carta; estos son algunos ejemplos de la inmensa gama de servicios que las Fintech buscan acercar a los usuarios y organizaciones en su conjunto.
Las Fintech nacen con el propósito de reducir la brecha digital que ya venía dándose desde inicios de 2005, pero sobre todo este tipo de empresas buscan simplificar las operaciones para los usuarios. El aprovechar el uso casi omnipresente del teléfono inteligente para acercar la banca a usuarios que no se encontraban bancarizados, no sólo los ayuda a ellos, sino que regula la transferencia de dinero. Las Fintech son un facilitador pero a la vez un transformador de la economía del efectivo a economías bancarizadas que en consecuencia se vuelven economías que tributan.
De acuerdo a Statista, el número actual de usuarios de teléfonos inteligentes en el mundo es de 3,800 millones, lo que significa que el 48,33% de la población mundial posee un teléfono inteligente. La posibilidad de acercar mejores y más variados servicios financieros a más personas a costos más bajos, mientras se ordenan las economías es abismal.
Las Fintech están presentes en los 6 continentes pero existen regiones en las que simplemente reinan, Asia por ejemplo. En 2019, 490 empresas Fintech fueron creadas sólo en Singapur; este apetito por las Fintech en regiones y áreas geográficas dentro de ellas como en este ejemplo el sureste asiático, deriva de la dinámica económica y acceso a nuevos mercados altamente rentables para inversionistas locales como internacionales. Entre 2015 y 2019, este tipo de empresas en el sudeste asiático recaudaron más de USD 8.9 billones. La cifra se espera que se cuadruplique hasta alcanzar los USD 38 billones de dólares en 2025.
Proteger a las Fintech
La empresa de seguridad informática McAfee, descubrió que durante las primeras 13 semanas de la pandemia de Covid-19, el número de sitios web falsos relacionados con dicho virus aumentó de 1,600 a más de 39,000. Este tipo de sitios web estaban diseñados específicamente para atacar a clientes que buscaban comprar suministros médicos y equipo de protección personal. De acuerdo con otro informe de Google, el incremento en sitios web de phishing (sitios con apariencia legítima que hurtan datos) fue de más de 350%. PayPal adicionalmente, observó un aumento de más del 250% en el número de intentos de phishing entre el primer y segundo trimestre de 2020 (cuando la pandemia se acrecentó globalmente).
Proteger a las Fintech en un entorno digital es complicado, millones de computadoras personales de personas que ya no regresarán a una oficina física y que muchas de ellas por ocio, cansancio o distracción le abrirán la puerta a intrusos silenciosos que pondrán de cabeza sin dudarlo a su organización. Lograr una protección eficaz es pelear en varios frentes: el regulatorio, donde las empresas tecnológicas y los gobiernos legislen a la velocidad a la que los criminales se arman, regulaciones sólidas para proteger y garantizar, así como las leyes federales garantizan el libre tránsito para un ciudadano o un tren de carga, lo haga para quienes hacen uso de este tipo de servicios.
La protección en materia de consciencia o awareness, es la otra arena donde debe combatirse a los cibercriminales. Empleados, proveedores y clientes mejor informados y motivados para protegerse con nuevos hábitos de “higiene digital” para mantener su entorno libre de amenazas lo más posible. La educación es y será la herramienta de transformación más importante que la humanidad tiene. En una economía digital, debemos aprender a aprender cosas nuevas y reeducarnos para sustituir viejos hábitos que son donde germinan los crímenes informáticos más devastadores que se logran concretar.
Construir una sólida cultura de la ciberseguridad parte del reconocimiento y ejecución de acciones concretas para ganar batallas en este frente. De acuerdo al reporte del SANS Institute titulado “2021 Security Awareness Report™: Managing Human Cyber Risk”, 75% de los profesionales de tipo security awareness, dedican menos del 50% de su tiempo a promover awareness en materia de seguridad informática, lo que indica que la conciencia no suele ser un esfuerzo de tiempo completo en la mayoría de las empresas.
Los líderes de programas de concientización carecen de habilidades sociales o soft skills como se les llama actualmente. Los programas de cybersecurity awareness (cuando los hay) están dirigidos por personas con capacidades técnicas impresionantes pero con habilidades de comunicación y marketing tan pobres que no logran comunicar el sentido de urgencia que tiene la ciberseguridad a todos los niveles a los que deben influir. Si esas charlas se parecen más a una plática sobre beneficios empresariales de recursos humanos, hay un problema que resolver.
En esta etapa, el SANS Institute detecta que una falta de alineación estratégica puede hacer que otras áreas de la organización no se sietan integradas y “conectadas” con la mision de proteger, tal y como puede ser Capital Humano, Legal, Contabilidad, Ventas. El SANS institute recomienda que los programas de seguridad deben ser una extensión de los equipos de seguridad reportando directamente al CISO de ser posible.
Finalmente, la arena tecnológica. Aquí es donde decenas si no es que cientos de resellers e integradores ofrecen a sus clientes soluciones y servicios tan variados como novedosos. La protección en esta área radica en una evaluación correcta del nivel de exposición al riesgo que cada organización tiene. No es lo mismo proteger a una Fintech que ofrece créditos al consumo que una Fintech que evalúa tu score crediticio para ofrecerte una tarjeta de crédito de acuerdo a tu perfil. Un correcto assestment para conocer al negocio como primera instancia, pero sobre todo las capacidades tecnológicas y alcance de sus operaciones, es uno de los pasos ordenados mucho antes de sacar la cartera y pagar por una solución que probablemente no nos va a servir de nada.
Acciones como un Risk and Vulnerability Analysis (RVA) como parte complementaria del assessment, identifica los riesgos tecnológicos a los que los sistemas informáticos de las organizaciones se ven expuestos. Además, diversas amenazas operativas en las tecnologías pueden detectarse y probarse al analizar la información y los documentos que exigen el cumplimiento de normativas y políticas disminuye la probabilidad de materializar un incidente de seguridad.
Fortalecer el nivel de seguridad es importante hasta para los más grandes. En julio de 2021, Microsoft acordó adquirir al fabricante de software de seguridad RiskIQ, por una cantidad aun no revelada (según Bloomberg puede ser de 500 millones de dólares en efectivo) con la finalidad de proteger a sus clientes mientras experimenta una expansión de sus productos en medio de una creciente ola de ciberataques globales. Tiene todo el sentido del mundo.
La capacitación y certificación en soluciones de ciberseguridad a la medida de nuestra organización tienen que ser parte no sólo de nuestro presupuesto y cultura sino parte de nuestro plan de expansión. Una empresa crece por la capcidad que tiene para atender a un mercado siendo rentable, pero actualmente, la habilidad de crecer y ser rentable radica fuertemente en la capacidad de prevenir, mitigar y atender riesgos informáticos de manera precisa y con planes que no detengan la operación del negocio y los clientes.
Reflexion final
Si no podemos proteger bien nuestra Fintech cuando ésta es una PyME, ¿cómo vamos a protegerla cuando sea una mediana o gran empresa cotizando en bolsa?
Fuentes:
