La pandemia ha provocado una oleada de problemas para los equipos de cumplimiento normativo, ya que muchos empleados han estado trabajando de manera remota, y han utilizado nuevos canales de comunicación que podrían no haber sido diseñados con el cumplimiento en mente. Esto ha creado un entorno propicio para los incidentes de ciberseguridad.
El daño a la reputación a causa de una infracción de datos de alto perfil puede ser de largo plazo y agravante. Además de los posibles costos y multas reglamentarias, el riesgo de una pérdida de datos también puede potencialmente ser un enorme dolor de cabeza para las empresas.
Las empresas financieras deben permanecer alerta en la defensa contra los incidentes de ciberseguridad y la pérdida de datos. Las causas como la fuga de datos, errores humanos y equivocaciones por parte de proveedores externos pueden evitarse implementando el marco correcto para riesgo y cumplimiento.
1. No descuide el comportamiento humano
Las violaciones de ciberseguridad no son siempre obra de agentes perversos organizando un ataque sofisticado. Las violaciones de datos podrían ser igualmente probables como resultado de un error humano no intencional.
Incluso comportamientos aparentemente inofensivos, como utilizar una red pública de Wi-Fi, no poner contraseñas en computadoras y dispositivos móviles, y acceder a enlaces maliciosos, puede ser todo lo que se necesita para dar a los cibercriminales el acceso que necesitan. No sirve de mucho construir una fortaleza digital si no existen controles adecuados sobre quién obtiene acceso y bajo qué circunstancias.
Para ello, un pilar de la seguridad de datos es la educación de los empleados y herramientas de seguridad que alerten sobre el comportamiento riesgoso en tiempo real. Las empresas proactivas también ejecutan de manera rutinaria ejercicios de phishing, pruebas de ingeniería social y otros programas para evaluar el riesgo y ayudar a los empleados a reconocer posibles fraudes.
2. Priorice la segregación de tareas
Al igual que definir roles y responsabilidades de manera adecuada es la base de las organizaciones eficientes, la segregación de tareas (SoD por sus siglas en inglés) es un componente importante de la protección contra pérdidas de datos y de la gestión de riesgo de ciberseguridad.
En primer lugar, establecer una SoD clara ayuda a evitar conflictos que podrían conducir a fraude u otros abusos. Para las grandes organizaciones con múltiples líneas de negocios, esto es particularmente importante. Los profesionales de inversión en el buy-side de una empresa, por ejemplo, no deberían tener acceso a exactamente los mismos datos que los profesionales del área de sell-side.
La SoD también puede ayudar a prevenir los fallos de control que pueden ocurrir cuando demasiadas personas tienen acceso a datos de los que no son necesariamente responsables. Al segregar tareas (y acceso a datos), los equipos de cumplimiento normativo se posicionan mejor para detectar debilidades, al tiempo que pueden asegurar que los equipos y las personas comprendan exactamente cuáles datos deberían estar dentro de su ámbito y cuáles podrían estar fuera de los límites.
3. Implemente eficazmente la autorización y autenticación
La educación y pruebas continuas pueden logar mucho en enseñar y reforzar buenos hábitos de seguridad, pero también es importante poner parámetros en torno al acceso. La SoD apunta a prevenir el fraude y el abuso al tiempo que promueve la eficiencia en una organización. Los clientes de Bloomberg Vault, la solución de cumplimiento y vigilancia de Bloomberg, deben someterse a un riguroso proceso de autorización que establece las delineaciones de la SoD como un requisito previo.
La autenticación también es fundamental. Si bien la autenticación de dos pasos se ha convertido en estándar, no elimina los riesgos de seguridad; por ejemplo, los hackers pueden interceptar códigos enviados a dispositivos móviles. Para dar un paso más allá en seguridad, el sistema de autenticación de múltiples factores de Bloomberg permite a los administradores de clientes y usuarios autorizados acceder a Bloomberg Vault de manera segura.
4. Conozca sus datos
La nube informática ha revolucionado la forma en que las empresas recopilan, analizan y almacenan datos, pero suma consideraciones adicionales de riesgo. La mayoría de los proveedores tiene algún tipo de presencia en la nube, cada una con sus propios puntos débiles y posibles riesgos.
Existen muchos componentes de la gestión del riesgo de los proveedores (más adelante encontrará algunas preguntas clave para sus proveedores), pero lo primero de la lista es comprender cómo se alojan y protegen los datos). En el caso de Bloomberg Vault, por ejemplo, los datos se encuentran alojados en múltiples centros de datos dedicados exclusivamente a los productos, servicios y operaciones de Bloomberg, que operan en una configuración hot-hot.
Otro componente del acceso a la seguridad de datos es la separación; para los clientes de Bloomberg que utilizan Bloomberg Vault para archivar las comunicaciones e información de trading, los datos se separan lógicamente según la empresa, nivel de cuenta y otros permisos. Muchos clientes de Bloomberg también aprovechan el servicio premium de Vault para archivar los mensajes y grabaciones en el almacenamiento WORM (Write Once – Read Many) dentro de nuestros centros de datos seguros, lo que garantiza que los datos no se pueden manipular o modificar.
5. Adopte un enfoque minimalista hacia la retención de datos
Igual de importante que la protección de los datos de su empresa es saber cuándo es el momento de borrarla. Un marco de datos y ciberseguridad debe abarcar una política de retención de datos que describa claramente qué datos deben ser almacenados y por cuánto tiempo.
Diferentes organismos regulatorios tienen diferentes requisitos de retención, y todas las empresas pueden tener su propio cronograma, pero una buena gobernanza de datos incluye una política para eliminar y archivar datos en el momento apropiado. Los datos son la esencia de las empresas de servicios financieros, pero también pueden ser un inconveniente.
Ciertamente, los riesgos que deben abordar los funcionarios de cumplimiento han cambiado considerablemente en las últimas décadas, y sin duda continuarán evolucionando. Con un enfoque de atención en la gobernanza, la tecnología y la supervisión, es posible mantenerse a la vanguardia de la ciberseguridad.
Preguntas para sus proveedores
¿Dónde se ubican sus centros de datos y cuáles son los estándares de mantención? Muchos centros están situados en el exterior donde diferentes estructuras y estándares legales podrían presentar riesgos de seguridad
¿Podemos inspeccionar sus centros de datos? La respuesta a esta pregunta debe ser “no” y por una buena razón. Como alternativa, el centro de datos puede proporcionar un video que muestra la construcción y el funcionamiento de las instalaciones.
¿Cuáles son los criterios para que alguien acceda a mis datos? Nadie debe tener acceso a sus datos sin el permiso por escrito de alguien de su empresa con autoridad.
The post Ciberseguridad: cinco recordatorios clave para los equipos de cumplimiento normativo appeared first on Servicio Bloomberg Professional.