El año pasado, la Presidencia del Consejo de la Unión Europea y el Parlamento Europeo alcanzaron un acuerdo provisional sobre la Ley de Resiliencia Operacional Digital (DORA) para mejorar la ciberseguridad de las instituciones financieras en Europa. Una vez que los países de la UE adopten DORA, las empresas financieras deberán asegurarse de que pueden contrarrestar, responder y recuperarse de todo tipo de interrupciones y amenazas de las tecnologías de la información y la comunicación (TIC), con el objetivo final de prevenir y mitigar las ciberamenazas. La regulación adopta un enfoque diferenciado para regular las entidades pequeñas, micro e interconectadas.
Prueba de flexibilidad
Las Autoridades Europeas de Supervisión (ESA), a saber, la Autoridad Bancaria Europea (EBA), la Autoridad Europea de Valores y Mercados (ESMA) y la Autoridad Europea de Seguros y Pensiones de Jubilación (EIOPA), están desarrollando "normas técnicas que todas las instituciones de servicios financieros deben cumple con". Además, los proveedores de servicios de TIC de terceros críticos, en particular los proveedores de nube para instituciones financieras en la UE, deberán establecer una subsidiaria dentro de la UE para una supervisión adecuada, y los auditores participarán en futuras revisiones de la regulación.
La nueva ley obligará a las empresas FSI en la UE a probar la resiliencia de sus organizaciones; es decir, básicamente necesitarán gestionar los riesgos y utilizar un marco de gobernanza de riesgos para satisfacer las demandas de DORA. Por lo tanto, se recomienda que todos los CISO de la industria financiera consideren trabajar con proveedores y socios de seguridad cibernética que estén completamente actualizados en DORA.
Otras recomendaciones para 2023 para los CISO de servicios financieros
También se dan otras recomendaciones más concretas para la planificación de las instituciones del sector financiero al 2023. Los CISO (jefes de seguridad de la información) que trabajan en la industria de servicios financieros deben comprender que 2023 no será como 2022; Se están produciendo grandes cambios y el riesgo cibernético está aumentando.
Cambiar a una mentalidad de intervención y recuperación
Hay un aumento en el ransomware, y este es un problema importante para todas las instituciones, no solo para las instituciones financieras. Tradicionalmente, la mentalidad de la industria de servicios financieros es: "No, no queremos riesgos". Hasta ahora, todo ha sido sobre protección y detección. Sin embargo, dada la naturaleza del riesgo cibernético actual, este enfoque ya no es realista.
Los CISO en la industria financiera deben comprender el panorama de amenazas que cambia rápidamente y enfocarse en ser más resistentes. Esto significa que la estrategia de una institución del sector financiero debe pasar de tratar de evitar todos los riesgos a poder recuperarse rápidamente de un ataque. Esto conducirá naturalmente a inversiones en plataformas que permitan funciones como la detección y respuesta de punto final (EDR), la detección y respuesta extendida (XDR) y la orquestación, automatización y respuesta de seguridad (SOAR).
Los riesgos que conllevan las finanzas integradas
Otro tema que deben considerar los CISO de las instituciones financieras en 2023 es la tendencia al alza de las finanzas integradas.
¿Qué son las finanzas integradas?
“Las finanzas integradas son el proceso de integrar todos los servicios financieros en un solo lugar en lugar de tratar con las instituciones tradicionales. Ofrece una manera segura, simple y eficiente de recopilar todos los servicios que un minorista puede usar en un modelo único y fácil de administrar. Las soluciones financieras pueden integrarse en la infraestructura de una empresa, facilitando el acceso a servicios financieros como préstamos, seguros o transacciones de pago sin dirigir a las personas a destinos de terceros. Eso significa menos aplicaciones con las que meterse, menos personas con las que lidiar con el dinero, menos de qué preocuparse y menos tiempo dedicado a mantenerse al día con la logística financiera. El interés en esta industria ha crecido rápidamente en los últimos años. El mercado de finanzas integradas de EE. UU. alcanzó los $ 2020 mil millones en 22,5 y se espera que se multiplique por diez a $ 2025 mil millones para 230 ". (NCR, 8 de agosto de 2022)
Las finanzas serán más frecuentes en el mundo de 2023 y más allá. Por ejemplo, considere las finanzas integradas, donde las organizaciones no tradicionales usan productos financieros para ventas de "compre ahora y pague después". Este método aumenta las ventas pero también aumenta el riesgo para las organizaciones.
Las finanzas integradas se ven facilitadas por la banca como servicio (BaaS) y las tecnologías de interfaz de programación de aplicaciones (API). Se espera que este método genere más de $ 2026 mil millones en ingresos anuales para los bancos para 25 y, para 2025, los bancos establecidos transferirán el 25 por ciento de los ingresos de las pequeñas y medianas empresas a los canales establecidos. (Aplicaciones integradas: nuevos ingresos y nuevos riesgos para los bancos (garp.org)
Para 2023 y más allá, los CISO de FSI deben prestar especial atención a lo siguiente:
- Las organizaciones deben asegurarse de tener políticas sólidas de ciberseguridad y protección de datos, incluidas medidas para evitar violaciones de datos y acceso no autorizado a información confidencial.
- Cuando las instituciones trabajen con socios no financieros que pueden no tener el mismo nivel de conocimientos o experiencia en servicios financieros, deben monitorear los riesgos potenciales de mal uso o mal uso de los datos.
- Al integrar productos y servicios financieros en productos o plataformas no financieros, se debe considerar el potencial de conflictos de intereses y las instituciones deben ser transparentes con los clientes sobre los términos y condiciones de esos productos y servicios.
- Es necesario mantenerse actualizado sobre los desarrollos regulatorios relacionados con las finanzas integradas y garantizar que la organización cumpla con todas las leyes y regulaciones pertinentes.
- La organización debe asociarse con firmas especializadas o considerar consultar con expertos en el campo para asegurarse de que tiene el conocimiento y los recursos para administrar de manera efectiva los riesgos de seguridad cibernética y privacidad en el contexto de las finanzas integradas.
La conciencia también es importante porque la tecnología por sí sola no puede lograr esto. Las instituciones financieras deben comenzar a capacitar a sus empleados en DevSecOps, inteligencia artificial, aprendizaje automático y seguridad API. En este punto, Fortinet enfatiza su compromiso de ayudar a cerrar la brecha de habilidades cibernéticas y aumentar la conciencia cibernética a través de la iniciativa TAA y los programas del Instituto de Educación.
Sé el primero en comentar