Saket Modi, cofundador y director ejecutivo de Safe Security, describe cómo la seguridad cibernética en el sector bancario se ha convertido ahora en un foco de atención y comenta: «Sin embargo, los fundamentos de cómo se aborda la seguridad cibernética aún no están claros, por lo que todavía vemos que las empresas gastan en pozos sin fondo y aún son vulmneradas».
¿Puedo saltar sobre dos o tres tipos como solía hacerlo? No. ¿Soy tan rápido como solía ser? No, pero todavía tengo los fundamentos y la inteligencia. Eso es lo que me permite seguir siendo un jugador dominante. Cuando era niño, nunca me saltaba pasos. Siempre trabajé en los fundamentos porque sé que el atletismo es fugaz. – Kobe Bryant
Para cualquier disciplina, ya sea deportiva, musical o académica, la comprensión de los fundamentos debe ser fuerte. Después de todo, uno no puede escribir una oración sin aprender primero el alfabeto.
La pandemia ha catalizado cambios digitales dentro y fuera de las organizaciones a medida que sus clientes adoptaron la banca abierta y las transacciones digitales. Según el estudio Mobile Banking Competitive Edge de Business Insider Intelligence, el 89% de los encuestados dijeron que utilizan la banca móvil.
Deloitte informa que el 35 % de los clientes aumentó su uso de la banca en línea durante el COVID-19, y Visa vio cómo 13 millones de clientes latinoamericanos realizaron su primera transacción en línea en el primer trimestre de 2020.
Con tal auge digital, la ciberseguridad se ha convertido en un foco de atención. Sin embargo, los fundamentos de cómo se aborda la seguridad cibernética aún no están claros, razón por la cual todavía vemos que las empresas gastan en pozos sin fondo y aún son violadas.
Según un informe de Deloitte, se espera que las instituciones financieras gasten aproximadamente el 11 % de su presupuesto de TI en ciberseguridad, con los bancos más grandes de EE. UU. ¡invirtiendo mil millones de dólares cada uno! Sin embargo, mientras las organizaciones están mejorando en la planificación, detección y respuesta de ciberataques, su capacidad para contener una amenaza activa se ha reducido en un 13 %, según IBM Cyber Resilient Organization Report.
¿Cuáles son los fundamentos?
Actualmente, los cinco vectores del sector bancario -personas, procesos, tecnología, terceros y productos de ciberseguridad- son vistos en silos y tratados como tales. Las personas, la seguridad, las herramientas de seguridad, el cumplimiento y las auditorías se consideran fundamentales para la ciberseguridad cuando forman parte de una imagen granular.
Las organizaciones están comprando más productos para generar más listas, basándose no en mediciones objetivas sino en abstracciones subjetivas del CIO, el equipo de seguridad o las empresas de la competencia.
En promedio, las empresas implementan 45 herramientas relacionadas con la ciberseguridad. Sin embargo, existe una clara falta de cohesión a la hora de determinar qué va bien y qué podría mejorar. Para ponerlo en perspectiva, las empresas que implementan más de 50 herramientas de ciberseguridad se clasifican un 8 % por debajo en su capacidad para detectar amenazas que otras empresas que emplean menos conjuntos de herramientas.
No existe un estándar de la industria que determine los fundamentos que permitan a las instituciones financieras (FI) responder a una simple pregunta: ¿Qué tan seguras son hoy en día? Cuando se puede responsabilizar al director ejecutivo por la infracción de una organización (según el RGPD), la junta se vuelve más curiosa e involucrada en los procesos de toma de decisiones de ciberseguridad que nunca.
En tal escenario, la seguridad cibernética debería transformarse de ser rica en jerga a simple, unificada y fácil. Administrar, mitigar y medir el riesgo de manera objetiva es el cambio fundamental requerido, y esto viene con el conocimiento de la probabilidad de incumplimiento de una empresa.
Las instituciones financieras necesitaban adoptar para ayer la probabilidad de incumplimiento
Gartner define la Gestión Integrada de Riesgos (IRM) como “prácticas y procesos respaldados por una cultura consciente del riesgo y tecnologías habilitadoras, que mejoran la toma de decisiones y el desempeño a través de una visión integrada de qué tan bien una organización administra su conjunto único de riesgos”.
El componente básico de IRM es el riesgo empresarial. Actualmente, las organizaciones han intentado y no han podido proteger los datos al observar la seguridad cibernética solo a través de marcos de cumplimiento, con informes puntuales de herramientas aisladas. Es hora de que pasen de una gestión de riesgos reactiva y defensiva a una gestión de riesgos predictiva a través de la probabilidad de incumplimiento, lo que simplifica la ciberseguridad.
El cálculo de la probabilidad de incumplimiento de una empresa aprovecha la tecnología que no es ajena al sector BFSI. Las predicciones habilitadas para Machine Learning ya se están implementando en seguros, bienestar de los empleados y experiencia del cliente. Un gran sistema de pagos en línea utiliza aprendizaje profundo, algoritmos, modelos de clases múltiples y más para filtrar transacciones fraudulentas y genuinas al obtener información procesable de su análisis de modelo de historia.
La ciberseguridad también se puede simplificar utilizando tecnología que ya existe. El elemento fundamental de la ciberseguridad es tan básico como conocer la probabilidad de violación de la empresa que se puede calcular a partir de las señales de toda la empresa.
La predicción de probabilidad de incumplimiento en el sector bancario transfiere el poder al equipo de seguridad cibernética y a la organización, lo que les permite prevenir en lugar de reaccionar ante las amenazas. Ya sea por la posibilidad de una filtración a través de ransomware, malas configuraciones en la nube o compromiso del correo electrónico comercial, la probabilidad de filtración brinda una métrica tal como está para los riesgos cibernéticos y un medio para priorizar las vulnerabilidades.
Esto simplifica la comprensión y gestión de la ciberseguridad. Las IF dispuestas a invertir en métodos que simplifiquen la ciberseguridad pueden comenzar con:
- Alejarse de un enfoque cualitativo solo de cumplimiento para garantizar que no se descuiden los vectores (personas, procesos, tecnología o productos de ciberseguridad para primeros y terceros).
- Consolidación de informes de todos los productos/servicios de ciberseguridad en un único panel. Esto ayudará a los equipos de gestión de riesgos y seguridad a priorizar los riesgos en toda la empresa en una sola vista.
- Medir su postura de riesgo cibernético en su estado actual. Aceptan el riesgo y mejoran su postura de riesgo mediante la compra de seguros cibernéticos, aceptan el riesgo y renuncian a cualquier cambio, especialmente cuando la inversión requerida para mitigar el riesgo es mayor que el impacto del valor en dólares, o mitigan las vulnerabilidades definiendo su riesgo cibernético. apetito y tolerancia al riesgo cibernético.
Hasta la fecha, el enfoque fundamental para asegurar cualquier negocio ha sido reactivo. Históricamente, las inversiones en ciberseguridad han mantenido un enfoque de marcar la casilla para cumplir con los requisitos de cumplimiento y auditoría. Hay muchas distracciones y abstracciones en torno a la ciberseguridad, especialmente cuando se trata de un análisis cualitativo. Una vez que la base sea sólida con una adopción de probabilidad de incumplimiento en toda la industria, la seguridad cibernética se convertirá en una solución en lugar de un problema que los ejecutivos de seguridad perciben en este momento.
Sobre el Autor
Saket Modi es cofundador y director ejecutivo de Safe Security, una empresa de plataforma de ciberseguridad y cuantificación de riesgos comerciales digitales. Ingeniero informático de formación, fundó Safe Security en 2012 mientras cursaba su último año de ingeniería. Incubada en IIT Bombay y respaldada por el ex presidente y director ejecutivo de Cisco, John Chambers, Safe Security protege la infraestructura digital de varias empresas Fortune 500 en todo el mundo con su plataforma de medición y mitigación de riesgos cibernéticos llamada SAFE. Modi es parte del listado de los 40 antes de los 40 de la revista Fortune, de los 35 menores de 35 de la revista Entrepreneur y los 30 menores de 30 de la revista Forbes, entre otras.