Evaluación de la Madurez de la Privacidad y Cumplimiento en las Comunicaciones de Contenido Confidencial en Servicios Financieros
Cualquier organización que recopile datos de información confidencial de clientes está obligada a protegerlos y mantener su privacidad. Cuando se trata de recopilar, almacenar, procesar y compartir información personal identificable (PII), los sectores de servicios financieros están a la cabeza. La PII es crucial para las operaciones diarias de casi todas las empresas de servicios financieros.
Además de ser compartida y enviada a través de diferentes sistemas internos, redes y aplicaciones, la PII también se envía y comparte con innumerables terceros. Tanto las comunicaciones digitales internas como externas de contenido sensible pueden crear riesgos serios, y las organizaciones de servicios financieros deben asegurarse de tener las estrategias adecuadas de administración de riesgos de ciberseguridad para abordarlos. Para ayudar a garantizar que la PII no sea vulnerada por accidente o por un hackeo malicioso, la industria financiera y las agencias gubernamentales han instituido requisitos de cumplimiento normativo para gobernar el intercambio digital de información.
Los servicios financieros son un sector industrial amplio que incluye la banca comercial y mayorista, bancos minoristas, seguros y gestión de patrimonio. Los casos de uso son extensos. Algunos de ellos incluyen:
- Proteger el procesamiento de nóminas empresariales, transacciones con tarjetas de crédito y movimientos de gestores de patrimonio
- Compartir de manera segura información financiera de clientes con otros bancos para sindicar grandes préstamos comerciales
- Proteger y auditar transferencias de contenido al entregar estados de cuenta y documentos de solicitud de clientes
- Proteger la PII enviada a empresas subcontratadas para tareas no esenciales como servicios hipotecarios o cobros
- Consolidar comunicaciones SFTP en una implementación segura y escalable con gobernanza y admisión unificadas
- Crear y gestionar quejas, flujos automatizados como informes AML a regulaciones y estados de cuenta a clientes
Demostrar cumplimiento normativo y proteger tus datos es cada vez más difícil debido a la creciente complejidad y volumen de ciberataques por parte de estados extranjeros, sindicatos de ciberdelincuentes organizados, actores maliciosos solitarios y otros actores malintencionados. Todos ellos entienden el valor de los datos que las instituciones financieras comparten y poseen.
Debido al riesgo involucrado, las empresas de servicios financieros deben asegurarse de tener los mecanismos adecuados para evaluar la madurez de sus controles de gobernanza y estrategias de seguridad. Este artículo del blog examina el panorama más amplio de la privacidad y el cumplimiento de las comunicaciones digitales en los servicios financieros y detalla recomendaciones sobre lo que las empresas financieras pueden hacer para abordar las brechas. El artículo también examina la disrupción empresarial de FinTech y cómo introduce nuevos riesgos de ciberseguridad que las organizaciones de servicios financieros deben abordar en sus enfoques de administración de riesgos cibernéticos.
Prevalencia de Terceros en los Servicios Financieros
La cadena de suministro para los servicios financieros a menudo consta de cientos de organizaciones y miles de usuarios. Hay muchos terceros diferentes cuando se trata de servicios financieros, lo que en última instancia aumenta el riesgo de ciberseguridad y hace que el cumplimiento sea más desafiante. Estos terceros incluyen proveedores de software, empresas de tecnología de la información, firmas legales, firmas de contabilidad y firmas de recursos humanos, entre otros.
Algunos terceros críticos para el sistema financiero no son instituciones financieras y están fuera de muchos marcos regulatorios financieros. Sin embargo, debido a la naturaleza del servicio o solución que brindan, estos terceros son críticos para muchas empresas de servicios financieros.
Estos terceros proporcionan soluciones vitales que aumentan la eficiencia en cómo llevamos a cabo los negocios. Sin embargo, subcontratar algunos servicios a un tercero a menudo significa que necesitan acceder a algunos datos sensibles que posees. Incluso si firmas un contrato con ellos, la responsabilidad de proteger estos datos recae en tu organización. En estos casos, las organizaciones deben instituir estrategias de administración de riesgos de terceros (TPRM).
La transferencia de datos sensibles con estos terceros crea grandes brechas para que los actores de amenazas maliciosas las exploten. De hecho, según el último Informe de Investigaciones de Violaciones de Datos de Verizon (DBIR), el 62% de las violaciones de datos el año pasado estuvieron relacionadas con la cadena de suministro. Una razón es que los terceros a menudo no tienen medidas de seguridad tan robustas como sus clientes.
Incluso si el actor malicioso no puede acceder a la cadena de suministro de una organización y explotar datos aguas abajo, las interrupciones en las operaciones de un tercero que resultan en tiempo de inactividad pueden tener un impacto negativo en cientos, miles o incluso decenas de miles de clientes del tercero. Esto, a su vez, puede tener repercusiones financieras. En respuesta, las organizaciones necesitan tener el enfoque adecuado de gestión de riesgos de la cadena de suministro en su lugar.
Los requisitos de cumplimiento para muchas organizaciones se extienden a su cadena de suministro. Las herramientas que utilizan en su cadena de suministro deben cumplir con el cumplimiento normativo. Por ejemplo, un banco que comparte información personal identificable (PII) de empleados con un proveedor de nómina de terceros debe hacerlo a través de una solución de intercambio de archivos que cumpla con FIPS (Federal Information Processing Standards) 140-2. No hacerlo puede resultar en multas y/o sanciones, e incluso puede tener un impacto negativo en la marca de la organización.
Gestión de Riesgos de Comunicaciones de Contenido Sensible de Terceros
Antes de incorporar a cualquier tercero, es prudente que una organización financiera audite su infraestructura de seguridad para ganar algo de confianza en que su postura de seguridad es adecuada. Pero incluso después de la incorporación, la diligencia debida continua es una buena práctica para todos los proveedores de terceros de una organización.
La diligencia debida tiene como objetivo notar rápidamente cualquier brecha que los actores de amenazas maliciosas puedan explotar y remediarlas de antemano. Según el último informe “Cost of a Data Breach” de IBM y el Instituto Ponemon, el costo promedio de una violación de datos en servicios financieros el año pasado fue de $5.97 millones, el segundo más alto para todos los segmentos de la industria (solo la atención médica es más alta).
Un paso crítico en un protocolo de administración de riesgos de terceros es un inventario integral de proveedores para identificar correctamente a todos tus proveedores de terceros. Esta lista siempre debe mantenerse actualizada para ayudar en la evaluación de riesgos.
El desafío que enfrentan muchas organizaciones para garantizar el cumplimiento normativo cuando se trata de procesos de terceros es la naturaleza fragmentada de sus esfuerzos de evaluación de riesgos. Algunas organizaciones están invirtiendo en soluciones tecnológicas para consolidar y automatizar sus procesos.
Cómo la Disrupción de FinTech Crea Nuevos Objetivos Cibernéticos
Las empresas FinTech han evolucionado a un ritmo rápido en los últimos años para crear nuevos objetivos para los ciberdelincuentes más allá de las empresas tradicionales de servicios financieros. Si bien la disrupción abre nuevas oportunidades, también abre nuevos riesgos.
El 64% de los consumidores indica que han utilizado dos o más plataformas FinTech en el último año. Esta penetración crea disrupción en todo el sector de servicios financieros: el 22% de las compañías de seguros, gestión de activos y patrimonio y el 28% de las compañías de servicios bancarios y de pago están en riesgo de ser interrumpidas y perder ingresos.
Esta tendencia se observa dentro del panorama de financiamiento donde $1 de cada $5 en financiamiento de riesgo en todas las industrias va a FinTech. Si bien existe mucha oportunidad para que las organizaciones de servicios financieros impulsen mejoras en la eficiencia, reduzcan costos y mejoren el servicio al cliente, también existe riesgo cuando se trata de amenazas cibernéticas. Específicamente, según un informe, 98 de las 100 principales empresas FinTech globales son vulnerables a ciberataques hoy en día.
Las regulaciones y estándares no han seguido el ritmo de estas nuevas tecnologías disruptivas. Esto crea un terreno fértil para que los actores de amenazas encuentren y ataquen a las empresas FinTech que manejan datos sensibles. En respuesta, los organismos reguladores están buscando formas de instituir nuevos estándares que requieran que las organizaciones implementen un seguimiento y controles de privacidad de datos adecuados.
Privacidad y Cumplimiento de Comunicaciones de Contenido Sensible en Servicios Financieros
Con ese contexto en mente, surgen algunas preguntas importantes.
- ¿Cómo están enfrentando los sectores de servicios financieros y FinTech las amenazas de ciberseguridad?
- ¿Cómo están asegurando el cumplimiento?
- ¿Cómo están respondiendo a los riesgos cibernéticos planteados por terceros?
Para responder a estas preguntas y otras, sugiero que recurramos al “Informe de Privacidad y Cumplimiento de Comunicaciones de Contenido Sensible 2022 de Kiteworks” para examinar la madurez de la privacidad y el cumplimiento de las comunicaciones digitales en los servicios financieros.
Los datos están en el corazón de cada institución de servicios financieros y empresa FinTech. Sus modelos de negocio dependen en gran medida de capturar, compartir, transferir y almacenar PII de clientes y datos financieros para las operaciones diarias y la innovación a largo plazo.
Todas las actividades y procesos están gobernados por estrictos estándares de seguridad y cumplimiento. Las regulaciones de privacidad, como el Reglamento General de Protección de Datos de la UE (GDPR), la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA) y la Ley de Privacidad del Consumidor de California (CCPA), controlan cómo se capturan, comparten, utilizan y almacenan la información personal identificable (PII) y la información de salud protegida (PHI).
El hecho de que las instituciones financieras compartan mucha información de clientes entre sí significa que el cumplimiento también debe entrar en juego cuando los datos se transfieren y comparten. TPRM es un elemento crítico de la industria financiera cuando se trata de seguridad de datos, privacidad y cumplimiento.
Asegurar que esto ocurra no es una tarea fácil, según los hallazgos del informe de Kiteworks. No es sorprendente que el mayor desafío fuera compartir y transferir datos con terceros. El 51% de los encuestados dijo que están inadecuadamente protegidos contra los riesgos de seguridad y cumplimiento de terceros relacionados con las comunicaciones de contenido sensible, mientras que solo el 53% cifra todas las comunicaciones de contenido sensible con terceros.
Considerando que el 57.5% de los encuestados de servicios financieros comparten información privada con más de 1,000 terceros y el 58% no ha implementado controles para medir el riesgo de terceros, podemos comenzar a pintar un panorama de los desafíos que enfrenta este sector en términos de cumplimiento con las regulaciones relevantes, así como la protección de datos sensibles de actores de amenazas maliciosas.
Tabla 1. Principales prioridades en torno a las comunicaciones de contenido sensible de terceros en servicios financieros.
Gobernanza, Gestión de Riesgos y Cumplimiento en Servicios Financieros
Cuando se les pidió que clasificaran sus prioridades, la gestión de las comunicaciones de contenido sensible subió a la cima de la lista. Por ejemplo, el 22.5% de los encuestados de servicios financieros clasificaron la unificación de la gestión, el seguimiento de políticas y la elaboración de informes sobre comunicaciones digitales de contenido en la parte superior de su lista. Esto fue seguido por el 17% que dijo que la automatización del cifrado, el intercambio de archivos, la elaboración de informes y otros procesos era su máxima prioridad.
Estos dependen de un enfoque robusto de gobernanza, gestión de riesgos y cumplimiento:
Gobernanza en Servicios Financieros
Las organizaciones a nivel mundial deben tener un seguimiento y controles de gobernanza integrales para lograr y demostrar el cumplimiento con todas las regulaciones de privacidad de datos que están en vigor. Cuando se trata de servicios financieros y privacidad de datos, el sector financiero es la industria más regulada del mundo. Una encuesta de países a nivel mundial, por ejemplo, reveló que el 86% de los países tienen leyes y regulaciones relevantes para la seguridad y transmisión de datos, el 87% de ellos tienen regulaciones o reglas relacionadas con la ciberseguridad, el 78% tienen regulaciones relacionadas con el intercambio de datos de clientes y el 65% tienen sistemas de identificación digital y regulaciones relacionadas con la identificación electrónica de PII.
Otra pregunta importante sobre los servicios financieros del “Informe de Privacidad y Cumplimiento de Comunicaciones de Contenido Sensible 2022 de Kiteworks” se refiere a si los enfoques actuales de privacidad y cumplimiento obstaculizan el crecimiento. Casi un tercio de los encuestados de servicios financieros creen que la gobernanza y protección de las comunicaciones de contenido de terceros requieren un nuevo enfoque o una mejora significativa. Siete de cada 10 encuestados indican que utilizan cuatro o más sistemas para rastrear, controlar y asegurar las comunicaciones de datos sensibles con terceros. Esta bifurcación de herramientas utilizadas para las comunicaciones de contenido digital hace que sea difícil implementar un conjunto de políticas para una gobernanza estandarizada en cada canal: correo electrónico, intercambio de archivos, transferencia automatizada de archivos, formularios web e interfaces de programación de aplicaciones (APIs). Por lo tanto, no es sorprendente que solo el 35% tenga tecnologías y procesos en su lugar para medir el riesgo asociado con las comunicaciones de contenido de terceros (ver Tabla 1).
Gestión de Riesgos en Servicios Financieros
Gestionar el riesgo de las comunicaciones de contenido sensible es un desafío para las organizaciones de servicios financieros. El informe reveló brechas significativas:
- Solo un poco más de la mitad (52%) utiliza tecnologías antivirus y antispam para verificar las comunicaciones de datos entrantes de terceros (aunque es el más maduro de todas las industrias).
- 4 de cada 10 organizaciones no utilizan DLP para el intercambio y transferencia de archivos con terceros (aunque también es el más maduro de todas las industrias; 33% más alto que la siguiente industria).
- Solo un poco más de la mitad cifra sus comunicaciones de contenido con terceros.
- Casi la mitad no gestiona o solo gestiona o monitorea algunas comunicaciones de contenido en la nube.
A la luz de estas deficiencias, los encuestados carecen de confianza en su gestión de riesgos. Más de 4 de cada 10 dijeron que su gestión de riesgos de seguridad de las comunicaciones de contenido de terceros requiere un nuevo enfoque o una mejora significativa. Como resultado, la mitad admitió que sus organizaciones no están bien protegidas contra los riesgos de comunicaciones de contenido de terceros.
Cumplimiento en Servicios Financieros
Las organizaciones de servicios financieros están dedicando una cantidad creciente de tiempo y recursos a gestionar las regulaciones de cumplimiento. Los encuestados dijeron que deben generar más de siete informes de cumplimiento anualmente. Más de la mitad dijo que cada informe consume más de 40 horas para generar cada uno de los informes. Sin embargo, a pesar de estos esfuerzos, solo el 20% de los encuestados cree que estos informes son precisos y otro 18.5% señaló que son solo algo precisos o inexactos en varios lugares.
Los Servicios Financieros se Vuelven a la Red de Contenido Privado Habilitada por Kiteworks
Como detalla el informe anual “Cost of a Data Breach” de IBM y el Instituto Ponemon, no rastrear, controlar y asegurar las comunicaciones de datos sensibles puede resultar en un impacto perjudicial, incluidas sanciones financieras, daño a la marca y pérdida de propiedad intelectual. Y en el caso de ataques de ransomware, se puede agregar el costo del rescate.
En respuesta, las empresas de servicios financieros requieren un enfoque unificado para las comunicaciones de contenido sensible. Requiere Redes de Contenido Privado que empleen confianza cero definida por contenido porque el contenido no permanece en las aplicaciones y cargas de trabajo “controladas” de hoy. Esto asume que todos los usuarios no deben ser confiados por defecto, todo el contenido no debe ser confiado por defecto, y la aplicación del menor privilegio. Hacerlo permite a las empresas financieras garantizar que la PII privada, la propiedad intelectual, los registros financieros de clientes, las reclamaciones de seguros y más permanezcan privados y en cumplimiento con las regulaciones globales.