A medida que la industria de servicios financieros se ha vuelto cada vez más dependiente de las soluciones digitales, el tema de ciberseguridad se convierte en alta prioridad para los bancos, instituciones financieras y Fintech, así como los reguladores de la industria financiera se preocupan cada vez más en la ciberseguridad.
Desafortunadamente, la amplia gama de riesgos asociados con la dependencia digital, que incluyen el software, el hardware y las redes subyacentes, han resultado imposible eliminarse.
Evaluación del riesgo de ciberseguridad empresarial
Para evaluar el riesgo de ciberseguridad de una institución financiera, las organizaciones suelen comenzar mapeando y priorizando sus datos confidenciales y redes críticas, al tiempo que consideran las posibles consecuencias de una pérdida de la confidencialidad de los datos o una pérdida de la integridad y disponibilidad de los datos o sistemas. Luego, las empresas aplican controles para mitigar la probabilidad de estos daños, centrándose en métodos administrativos, físicos y técnicos, que a menudo hacen un seguimiento de los requisitos reglamentarios o marcos reconocidos internacionalmente. Existen controles principales de «alta prioridad y altamente efectivos» para defenderse de las técnicas de ciberataques generalizadas.
Como mínimo, las empresas de tecnología financiera harían bien en comprender qué controles tienen, qué no han implementado y por qué.
Evaluación del riesgo de ciberseguridad del producto
Además de las preocupaciones de ciberseguridad, las empresas deben preocuparse por el diseño, la construcción y el soporte de tecnologías financieras considerando implementar las mejores prácticas para el desarrollo de software y la gestión de riesgos. Existen modelos de madurez de certificación de seguridad de software que establecen las mejores prácticas de seguridad de un equipo de desarrollo de software. Es fundamental aplicar una guía de revisión de código diseñada para detectar vulnerabilidades de manera temprana en el ciclo de vida del desarrollo de software. ¿Qué significa esto para las Fintech? Al evaluar el riesgo, las empresas deben considerar si sus ingenieros de software internos y proveedores de tecnología financiera han implementado los mecanismos de ciberseguridad para evitar vulnerabilidades.
Estándares de Ciberseguridad
Las empresas de tecnología financiera Fintech, podrían considerar evaluarse a sí mismas en relación con el marco de ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST) y aprovechar la herramienta de evaluación de ciberseguridad del Consejo Federal de Examen de Instituciones Financieras (FFIEC). NIST divide la gestión de riesgos de ciberseguridad empresarial en las funciones de identificación, protección, detección, respuesta y recuperación, con un fuerte énfasis en el proceso y la mejora continua. FFIEC complementa este enfoque, al tiempo que enfatiza preocupaciones particularmente relevantes para Fintech, incluidas las tecnologías de terceros, canales de entrega de productos y servicios, productos y servicios tecnológicos en línea y aplicaciones móviles, cambios en la tecnología de la información de una organización.
Reflexiones
La ciberseguridad puede ser asombrosamente compleja en una institución financiera que tiene múltiples canales digitales y asegurar adecuadamente la tecnología financiera a nivel de producto, siendo un desafío importante. Las empresas que desarrollan o implementan soluciones Fintech deben ser conscientes del panorama legal y regulatorio en el que operan. Puede que no sea posible tener todas las respuestas, pero es posible y esencial identificar las preguntas correctas y el proceso de gestión de riesgos. También es prudente que las empresas alineen sus programas de ciberseguridad con un marco reconocido por la industria.
Si llega el día en que su organización deba defender la idoneidad de su programa de ciberseguridad, el primer paso será demostrar que realmente existe.
Propuestas
La mayoría de los directivos de empresas no le dan la prioridad debida a la ciberseguridad, hasta que son hackeados y es demasiado tarde, porque pueden sufrir un daño reputacional enorme. Si eres directivo o funcionario de una institución financiera, prioriza la ciberseguridad el día de hoy antes que sea demasiado tarde y te propongo tomes las siguientes acciones:
- EVALUAR RIESGOS: La primera medida es saber cómo están sus controles de ciberseguridad a través de una evaluación de riesgos usando una metodología estándar como la NIST.
- CAPACITAR: La ciberseguridad es tarea de toda la empresa y no solo del área de seguridad informática, se requiere capacitar a todo el personal para que conozcan los riesgos, sepan cómo prevenir ciberataques y cómo actuar en caso de que detecten uno.
- MONITOREAR: La ciberseguridad no es tarea de una sola vez, los hackers están en constante evolución y es necesario monitorear los controles de ciberseguridad trimestralmente.
Espero les haya servido este artículo para conocer sobre los riesgos de ciberseguridad, los invito a contactarme si requieren más información y dejen algún comentario al final del artículo sobre sus aportes y experiencias para poder tenerlos en consideración.