El sector de los servicios financieros se enfrenta a la necesidad cada vez más acuciante de reforzar sus defensas de ciberseguridad. Ante el dilema de gestionar las funciones de seguridad internamente o contratar a proveedores de servicios especializados para su abastecimiento de ciberseguridad, muchos están optando por lo segundo, o al menos lo están considerando.
El siguiente artículo examina por qué muchas empresas de servicios financieros están optando por dejar que proveedores externos gestionen su ciberseguridad y las desventajas de adoptar este enfoque sin reforzar también las medidas de seguridad internas. Si bien la confluencia de factores, desde la escasez de profesionales cualificados en seguridad informática hasta el alto coste de retener el talento interno y la creciente sofisticación de las amenazas cibernéticas, puede empujar a los servicios financieros hacia el apoyo externo en materia de ciberseguridad, las defensas internas siguen siendo cruciales.
La importancia de contar con una organización de seguridad propia
Aunque la externalización de las tareas de seguridad puede resolver algunos retos, sigue siendo fundamental que las entidades financieras establezcan y mantengan una organización de seguridad interna. Contar con sólidas capacidades internas de ciberseguridad es esencial para el cumplimiento normativo, el procesamiento de la información y otras razones. En primer lugar, en lo que respecta al cumplimiento normativo, los organismos de supervisión exigen que las entidades financieras mantengan la responsabilidad última de su postura en materia de ciberseguridad. Una organización interna garantiza el cumplimiento supervisando las funciones externalizadas y manteniendo la rendición de cuentas. Trabajar con un proveedor externo no supone una renuncia a la responsabilidad.
Un equipo de ciberseguridad interno también actúa como enlace crucial entre una organización y el proveedor elegido, recibiendo información de seguridad de los proveedores de servicios y procesándola internamente. Esto incluye escalar los problemas críticos y comprender sus implicaciones específicas para las operaciones y procesos únicos de la empresa.
La supervisión y el control son otras ventajas. Una organización contratada sólida es fundamental para dirigir y controlar eficazmente la estrategia de ciberseguridad desplegada por los proveedores de servicios. Esto implica establecer requisitos claros, validar su implementación y garantizar la eficacia continua de las medidas de seguridad externalizadas.
Por último, la externalización de la ciberseguridad a un tercero no significa que una empresa de servicios financieros pueda olvidarse por completo de la seguridad. Los proveedores de servicios pueden identificar problemas de seguridad, pero es la organización contratada la que realmente puede interpretar lo que estos problemas significan para la empresa, dado su profundo conocimiento de los sistemas internos y los procesos empresariales. Por lo tanto, se necesitarán capacidades internas de ciberseguridad para traducir los hallazgos de terceros en impacto.
La necesidad de una estrategia clara de externalización de la ciberseguridad
El panorama actual de la ciberseguridad pone de relieve la necesidad crítica de que las empresas de servicios financieros desarrollen una estrategia clara y completa de externalización de la ciberseguridad. Por ejemplo, la evolución de la normativa, como la Ley de Resiliencia Operativa Digital (DORA) de la Unión Europea, , está imponiendo exigencias estrictas a las entidades financieras en lo que respecta a su resiliencia operativa, en particular en lo que se refiere a su dependencia de servicios informáticos de terceros. Al igual que el panorama de amenazas en rápida evolución exige que los servicios financieros actualicen periódicamente sus defensas (incluidos sus socios), el entorno normativo también es increíblemente dinámico.
Además, la escasez de talento y los costes siguen siendo retos importantes. La persistente falta de profesionales cualificados en ciberseguridad y el aumento de las expectativas salariales hacen que sea cada vez más difícil y costoso para las empresas crear y mantener conocimientos especializados internos. Según un estudio del Foro Económico Mundial, se necesitan urgentemente cuatro millones de profesionales para cubrir el déficit de talento en el sector de la ciberseguridad a nivel mundial. Aunque las empresas pueden ofrecer salarios generosos para atraer a trabajadores de ciberseguridad en este mercado competitivo, la externalización también puede ayudar a aliviar parte de la carga.
Por último, el aumento de las amenazas cibernéticas es una preocupación constante. El volumen y la sofisticación cada vez mayores de estas amenazas, ahora agravadas por los avances en la IA que simplifican la ejecución de los ataques, exigen medidas de seguridad robustas y adaptables. Alrededor del 72 % de los profesionales de la ciberseguridad mencionaron un aumento de los riesgos cibernéticos en las organizaciones, y casi el 47 % de las organizaciones señalaron la IA generativa como su principal preocupación en relación con la evolución de las metodologías de ataque. Este panorama de amenazas cada vez más grave, influido por factores geopolíticos y sociales, hace que la ciberseguridad eficaz sea absolutamente primordial.
¿Externalizar la seguridad o gestionarla internamente?
El panorama actual de la ciberseguridad subraya la necesidad crítica de que las empresas de servicios financieros desarrollen una estrategia de aprovisionamiento cibernético clara y completa. Descubre cómo Eraneos puede ayudar.
Más allá del ciberoutsourcing: reforzar la gobernanza de la seguridad
Si bien la colaboración con proveedores de servicios externos es una opción viable, las empresas de servicios financieros pueden reforzar su gobernanza de la seguridad por otros medios. Esto incluye el desarrollo de sus capacidades de ciberseguridad a nivel interno. El desarrollo de capacidades técnicas internas, herramientas, procesos y una plantilla cualificada sigue siendo fundamental.
También es importante recordar que reforzar la ciberseguridad, incluso en el mundo altamente técnico de los servicios financieros, no se limita a las soluciones digitales. Los factores humanos, como el fomento de una sólida cultura de la seguridad, también son esenciales. Es fundamental fomentar una concienciación generalizada sobre la seguridad e inculcar una mentalidad que anteponga la seguridad en toda la organización. Esto implica formar a los empleados sobre los riesgos, establecer medidas de protección claras y promover una mentalidad en la que la seguridad sea responsabilidad de todos.
Otra razón por la que las empresas de servicios financieros necesitan reforzar sus defensas internas es que depender de otros proveedores dentro de su cadena de suministro es una táctica arriesgada. Por ejemplo, un informe reciente de Forrester sobre la gestión del riesgo empresarial aconseja a los responsables de la gestión del riesgo que elaboren un mapa de sus cadenas de suministro de software para dar prioridad a la resiliencia. Por supuesto, esto requerirá sólidas capacidades internas de ciberseguridad para validar adecuadamente a las partes externas. Reconociendo que los atacantes suelen dirigirse a las cadenas de suministro como eslabón débil, las instituciones financieras deben dar prioridad a la seguridad de sus proveedores externos, no solo en lo que respecta a la seguridad, sino a todos los servicios relacionados con las tecnologías de la información.
Pasos clave para un abastecimiento de ciberseguridad resiliente
Para lograr un abastecimiento cibernético más resiliente, las organizaciones de servicios financieros deben centrarse en varios pasos críticos. En primer lugar, es necesario dar prioridad a la seguridad en la nube, ya que más de tres cuartas partes de las empresas de servicios financieros ya han informado de que han implementado algunos de sus servicios de « » en la nube. Dada la prevalencia de esta tecnología, es fundamental garantizar la seguridad de los entornos en la nube y de los datos que se alojan en ellos.
La gestión de credenciales y la protección de las identidades digitales son otros pasos importantes. La implementación de medidas sólidas en este ámbito, tanto a nivel interno como desde la perspectiva del proveedor de servicios, es esencial para evitar el acceso no autorizado. No se trata de una preocupación que pueda abordarse y olvidarse. Será necesario realizar un seguimiento y una auditoría continuos de todos los sistemas, ya sean internos o externalizados, para ayudar a detectar y responder rápidamente a las amenazas.
Incluso con la seguridad externalizada, es fundamental mantener un alto nivel de concienciación sobre la ciberseguridad y una sólida cultura de seguridad dentro de la organización. Una dependencia excesiva de los proveedores externos puede conducir inadvertidamente a una disminución de la vigilancia interna. Esta dependencia también puede impedir que las empresas de servicios financieros vean las vulnerabilidades que pueden ocultarse en las redes de sus socios de ciberseguridad. Para gestionar los riesgos asociados a la externalización de la ciberseguridad, son indispensables marcos integrales de gestión de riesgos de terceros y planes detallados de resiliencia de los proveedores.
Elegir el socio de ciberabastecimiento adecuado
En Eraneos, entendemos por qué las empresas de servicios financieros recurren al ciberoutsourcing como medio para mejorar su postura en materia de ciberseguridad. Apreciamos sus numerosas ventajas, al tiempo que reconocemos sus riesgos. Por eso creemos que el ciberoutsourcing debe considerarse cuidadosamente, especialmente en un sector en el que se almacena y transfiere información altamente sensible, como es el de los servicios financieros.
Contamos con una trayectoria probada y una amplia experiencia en la externalización de la seguridad, habiendo guiado con éxito a numerosas organizaciones a través de complejas iniciativas de externalización. Como entidad independiente, no ofrecemos servicios gestionados, no vendemos software ni tenemos afiliaciones con proveedores específicos. Esto nos permite ofrecer recomendaciones imparciales y seleccionar los proveedores de servicios más adecuados para las necesidades únicas de cada cliente.
Nuestro equipo de expertos está formado por profesionales altamente cualificados que han navegado en múltiples ocasiones por las complejidades del sourcing de ciberseguridad, lo que les permite aportar un amplio conocimiento del mercado y una metodología probada a cada proyecto.
No delegue su ciberseguridad a cualquier proveedor externo. Póngase en contacto con Eraneos para garantizar que su abastecimiento de ciberseguridad cumple con los rigurosos requisitos de cumplimiento y las necesidades de los clientes del sector de los servicios financieros.