De Esteban Sardanyés el 4.5.2021
Qualsevol empresa del sector fintech es troba en un moment crític pel que fa a la ciberseguretat, ja que els troians bancaris no deixen d’augmentar i apareixen constantment noves variants de programari maliciós, com ara Ginp.
El seu repte principal és garantir la seguretat de les dades bancàries dels seus clients. En aquest context, una fuga de dades no només posa en risc la fintech, sinó també els diners i els comptes bancaris dels seus clients. Si un ciberdelinqüent aconsegueix superar les barreres de seguretat d’una fintech, pot accedir als números de compte dels usuaris i realitzar pagaments no autoritzats en el seu nom.
Aquesta situació posa en perill la reputació i la confiança de l’empresa. A continuació, et donarem alguns consells i preguntes clau que hauries de plantejar-te per garantir la seguretat informàtica de la teva fintech.
Set aspectes que hauries de conèixer per garantir la ciberseguretat de la teva fintech
El software amb què treballes
Les fintechs acostumen a gestionar-se mitjançant software de gestió empresarial per automatitzar tasques i agilitzar el dia a dia. Tanmateix, aquests sistemes també poden convertir-se en una porta d’entrada de programari maliciós. Per aquest motiu, a més d’assegurar-te que el proveïdor compleix totes les mesures de seguretat requerides, és imprescindible disposar d’un especialista IT que s’encarregui de la monitorització periòdica del sistema.
La detecció de bretxes de seguretat i vulnerabilitats del sistema és clau per evitar l’entrada de malware i per identificar les solucions de ciberseguretat més adequades per a cada entorn.
Per exemple, a ESED, per localitzar aquestes bretxes realitzem atacs controlats sobre el sistema.
Seguretat al núvol
Cada vegada més empreses aposten per solucions al núvol pels seus múltiples avantatges, entre els quals destaca la seguretat. Tot i això, perquè aquesta seguretat sigui real, igual que amb el programari que utilitzes, és fonamental assegurar-se que el proveïdor és fiable i que assumirà la responsabilitat en cas de ciberatac.
A més, és important no confondre el núvol amb una còpia de seguretat. El núvol és únicament un sistema d’emmagatzematge de la informació, per la qual cosa cal realitzar còpies de seguretat periòdiques de totes les dades.
Xifratge de dades
Quan es treballa amb dades sensibles i informació confidencial, el xifratge és imprescindible. Això garanteix que, encara que tercers no autoritzats aconsegueixin accedir a les dades, aquestes no puguin ser llegides ni utilitzades.
És una manera eficaç de protegir-se davant el robatori d’informació i de complir amb el Reglament General de Protecció de Dades (RGPD).
Importància d’una estratègia de ciberseguretat
Qualsevol empresa, independentment del sector, ha de disposar d’una estratègia de ciberseguretat. Aquesta estratègia actua com a full de ruta de tota la seguretat informàtica de l’organització i ha de definir, entre d’altres:
- Quines solucions de ciberseguretat s’han d’implementar
- El tractament de les dades
- L’accés a la informació
- Els protocols a seguir davant d’una amenaça
- Qui és el responsable de les còpies de seguretat
- La monitorització dels equips
I tot allò necessari per protegir l’empresa dels ciberdelinqüents.
Gestió de credencials
Saps en tot moment qui accedeix als teus arxius? Qui té permís per modificar-los? Les contrasenyes estan compartides a tota l’empresa? Les guardes en un fitxer Excel?
Aquestes són algunes de les preguntes clau a l’hora de gestionar les credencials. És essencial que es renovin periòdicament i que s’emmagatzemin en un gestor de credencials segur. Guardar-les en un Excel és una de les pitjors pràctiques possibles, ja que són fàcilment accessibles per als ciberdelinqüents.
Forma i consciencia els teus empleats
La formació dels empleats és fonamental per evitar l’entrada de malware als sistemes, especialment mitjançant atacs de phishing.
Conscienciar l’equip sobre els riscos de males pràctiques com instal·lar aplicacions no autoritzades, accedir a webs no segures o obrir correus sospitosos és clau per protegir la infraestructura tecnològica.
A més, cal tenir en compte el tipus de dades que es gestionen. En una fintech, a banda del compte bancari, sovint es demana el DNI i, en alguns casos, una selfie per verificar la identitat. En altres situacions, es pot sol·licitar una nòmina o documentació bancària per avaluar la concessió d’un préstec.
Es tracta de documentació i informació altament sensible que, si no es gestiona correctament, pot derivar en robatori o pèrdua de dades, posant en risc la privacitat del client.
Disaster Recovery Plan
Disposar d’un Disaster Recovery Plan és essencial per saber com actuar davant d’un ciberatac. Es tracta d’un protocol que defineix com procedir en cas de fuga de dades o infecció per malware.
Aquests plans són clau perquè, si se sap com actuar, s’evita que el problema es propagui per tota la infraestructura IT.
Mitjançant la implementació d’aquestes mesures i solucions de ciberseguretat adaptades a la teva empresa, reduiràs de manera significativa el risc d’entrada de malware als teus sistemes.
Vols conèixer el nivell de seguretat de la teva empresa? Ara pots descobrir-ho en menys de 5 minuts amb la següent auditoria online.
Per a més informació o qualsevol dubte, pots contactar amb nosaltres a través del següent enllaç.
Guia completa sobre ciberseguretat en biotechs i laboratoris
Auditories de ciberseguretat per al sector de transports i logística
.png?width=262&height=150&name=accio-10-negre%20(1).png)
