KPMG en el Reino Unido, Bia Bedri explora las percepciones de los CEO de los bancos sobre seguridad cibernética y comparte consejos e ideas para convertir el ciberespacio en una ventaja competitiva.

Los CEO de los bancos han logrado grandes avances en la agenda cibernética en los últimos años. La mayoría de los bancos han realizado importantes inversiones en ciberseguridad y sus CEO lo reconocen como parte de su responsabilidad personal. En su mayor parte, se han evitado eventos importantes, se han cumplido los requisitos reglamentarios y la conciencia está aumentando.

Por lo tanto, no es sorprendente que los CEO de los bancos digan que confían cada vez más en sus capacidades cibernéticas. De hecho, en una reciente encuesta global de 120 directores ejecutivos bancarios realizada por KPMG International el año pasado, el 42 por ciento informó que ahora estaban "completamente preparados" para un evento cibernético (un salto masivo desde el 19 por ciento que dijo lo mismo el año anterior). Y al menos seis de cada diez dijeron que ahora están completamente preparados para una violación de datos del cliente o un ataque de software.

Los CEO de los bancos están tan seguros, de hecho, que muchos parecen creer que su destreza de seguridad cibernética podría ayudarlos a mejorar su reputación de marca y reconstruir la confianza con los clientes. En nuestra encuesta, dos tercios de los encuestados dijeron que ven la inversión en el ciberespacio como una oportunidad para encontrar nuevas fuentes de ingresos e impulsar la innovación. Y el 78 por ciento dijo que planea aumentar la inversión en seguridad cibernética en los próximos tres años.

Si bien los CEO de los bancos tienen muchas razones para confiar en su progreso, mi experiencia trabajando con bancos líderes en los últimos veinte años sugiere que algunos pueden estar subestimando el desafío.

La realidad es que es muy difícil estar "completamente" preparado para un evento cibernético. En parte, esto se debe a que la naturaleza de la amenaza y los vectores de riesgo evolucionan constantemente y los ciberatacantes se adaptan constantemente. Al mismo tiempo, la introducción, el desarrollo y la adopción de nuevas tecnologías y modelos de negocio también conducen a nuevos e inesperados riesgos cibernéticos. Es difícil estar "completamente" preparado para algo que está cambiando rápidamente.

La respuesta también puede sugerir que, aunque la conciencia del riesgo cibernético ciertamente ha aumentado a nivel de la junta directiva, esto puede no traducirse a través de las estructuras de gestión empresarial de una manera que les permita comprender o apreciar completamente la naturaleza real del riesgo que tratan de administrar. A menudo, el ciberespacio se considera desde el punto de vista de una disciplina técnica y un conjunto de controles, más que a través de una comprensión genuina de los riesgos cibernéticos y sus impactos comerciales. Es más fácil tener confianza en sí un control está funcionando o no; menos para comprender el riesgo operacional comercial de extremo a extremo.

Los datos de la encuesta también indican que puede haber una brecha entre la conciencia ejecutiva y la ejecución. Los CEO de los bancos pueden estar conscientes del desafío, pueden estar invirtiendo y fomentando el desarrollo de los marcos y controles correctos, pero esto solo puede proporcionar una falsa sensación de seguridad si los de rango no entienden el riesgo y toman propiedad de eso.

Los CEO tienen mucho de lo que enorgullecerse en seguridad cibernética. Y deberían mantener su impulso. Siga mejorando la conciencia de los riesgos y el entorno de amenazas. Sigue defendiendo la unidad para una mejor seguridad cibernética. Siga alentando a su organización a ser mejor, más consciente y más responsable. Y siga invirtiendo en la capacidad cibernética (esto es cada vez más crítico para asegurar la infraestructura tecnológica empresarial en constante evolución).

Sin embargo, mi experiencia también sugiere que hay algunas áreas en las que los CEO de los bancos pueden querer enfocarse si esperan convertir el ciberespacio en una ventaja competitiva real.

• Mejore la calidad de la discusión de la junta. En parte, se trata de simplificar los informes para permitir que los responsables de la toma de decisiones se centren en los riesgos más importantes. Pero también se trata de cambiar el lenguaje de la discusión de una base técnica a una estrategia más orientada a los negocios. Las juntas también deberían intentar integrar el ciberespacio en el registro de riesgos operacionales y empresariales, reconociendo el ciberespacio como un riesgo empresarial fluido e integrado en lugar de un complemento, para mejorar la integración y ayudar a identificar riesgos inesperados pero relacionados para el negocio.

• Mejore la relevancia a nivel comercial. Para asumir la responsabilidad del riesgo, la empresa primero debe comprenderlo genuinamente. Eso significa explicarlo en términos comerciales, respaldado por datos comprensibles y las implicaciones de la vida real. Algunos bancos están comenzando este viaje traduciendo su inteligencia de amenazas en procesos empresariales más comprensibles y métricas como el valor del fraude preventivo, el riesgo de terceros o datos comerciales críticos protegidos.

• Integre la seguridad en la cultura de la empresa. Los controles son bastante fáciles de arreglar. Cambiar comportamientos es mucho más difícil. Los CEO de los bancos querrán renovar sus esfuerzos para crear una cultura de ciberseguridad donde la conciencia y la propiedad individual se equilibren con la creciente demanda de innovación y flexibilidad empresarial. Si bien establecer el tono correcto desde la parte superior es crucial, se trata de garantizar que los empleados vivan y respiren cibernética en sus actividades diarias.

• Controle sus inversiones y sus riesgos. Los bancos sin duda están invirtiendo mucho en cyber. Pero pocos son capaces de explicar con precisión cómo estas inversiones están cambiando sus perfiles de riesgo o cómo sus actividades ayudan a mitigar los riesgos. Para mejorar el valor de las inversiones, los CEO de los bancos querrán comenzar mejorando la forma en que se monitorean sus inversiones y riesgos.

• Evalúe su modelo de respuesta cibernética. Mire a través de todo su ecosistema de seguridad e intente identificar oportunidades para mejorar el rendimiento y aumentar la alineación de las capacidades cibernéticas en toda la empresa. Busque áreas en las que la automatización y la IA puedan mejorar la eficiencia y generar productos de mejor calidad. Donde sea necesario, aproveche a los proveedores de servicios y asesores con habilidades y capacidades únicas de la manera correcta para permitir que su equipo interno se enfoque.

• Obtenga el talento adecuado. Encontrar y retener el talento cibernético correcto será cada vez más difícil a medida que las organizaciones de todos los sectores empresariales comiencen a mejorar su respuesta cibernética. Más que solo un buen talento cibernético, sin embargo, los bancos necesitarán encontrar (o desarrollar) individuos que puedan no solo adelantarse a la amenaza, sino también cerrar la brecha entre el ciberespacio y el negocio.

Si bien puede ser fácil desanimarse o fatigarse por la interminable batalla cibernética, los CEO de los bancos deberían animarse; están haciendo un buen progreso y parecen mantener una ventaja. Deben seguir haciendo lo que han estado haciendo. Pero si los CEO de los bancos quieren convertir el ciberespacio en una ventaja competitiva, deberán invertir más esfuerzo en áreas clave.