¿Qué necesita un CISO financiero de su proveedor de TI?

Para un CISO contar con partner adecuado, que domine el idioma de los negocios, es vital, ubican CrowdStrike y Global Bank de Panamá.

Alejandro González, VP de Seguridad de la Información y Ciberseguridad (CISO) de Global Bank de Panamá habló con directivos de CrowdStrike sobre los riesgos de las instituciones financieras.

Así como la importancia de contar con la tecnología adecuada para protegerse y seleccionar al canal o integrador adecuado.

Ransomware para rato

De inicio, González afirmó que uno de los principales riesgos que han crecido tanto en volumen como en sofisticación es el ransomware.

Los bancos que siguen siendo muy tradicionales sin menos activos digitales están igualmente expuestos, agregó.

El riesgo del ransomware representa uno de los mayores desafíos para los siguientes años, mismo que buscan combatir con inversiones en tecnología, añadió.

Si bien, la tecnología tiene un rango de protección cercano al 95%, el resto depende de los empleados.

Vital capacitación del personal

Por lo que consideró necesario que las instituciones financieras, tengan una cultura organizacional orientada a cibserseguridad.

Desde los altos directivos como los empleados de todas las áreas, deben estar capacitados en ciberseguridad.

Ellos deben saber identificar fraudes, ataques, y estar constantemente actualizados y entrenados.

Ransomware is one of the most serious cybersecurity threats facing organizations today.

Join CrowdStrike and @ServiceNow on December 15th to learn how this unique partnership can provide tools to help you defend your organization.

????: https://t.co/l57NhY0Lby pic.twitter.com/qkcWEagySh

— CrowdStrike (@CrowdStrike) December 5, 2022

La concientización también toca a proveedores y clientes, ambos deben estar informados sobre los cambios en las formas de ataque para evitar ser víctimas.

Desde el punto de vista de González, las instituciones bancarias no solo deben tener una estructura de comunicación sobre riesgos con el empleado.

Comunicación constante con el cliente

Es importante que también tengan los canales abiertos con el cliente para evitar futuros fraudes y reclamaciones.

“Incluso en los bancos, las áreas específicas de ciberseguridad son muy pequeñas y no podemos hacernos cargo de todos los procesos, por eso se debe empoderar a la organización completa con información actualizada”.

Alejandro González, VP de Seguridad de la Información y Ciberseguridad de Global Bank de Panamá.

Actualización tecnológica

Es importante que las empresas inviertan en tecnología de última generación e identifique las nuevas amenazas, ya que las herramietnas legacy no son suficientes.

Muchos bancos en el mundo están siendo más flexibles y abiertos con el uso de la nube pública y entornos híbridos de trabajo.

No obstante, es necesario tener la conciencia para configurarla de manera que sea segura con el nivel que cada dato ahí trabajado.

Selección adecuada de tecnología y proveedor

Las instituciones bancarias necesitan evaluar a sus proveedores; elegirlos por su capacidad de procesamiento no es suficiente.

De acuerdo con González, cada vez son más los servicios que los bancos, y las empresas en general tercerizan.

Pero, parte del tema de la cultura es darse cuenta que eso también es un riesgo y junto a la necesidad de evaluar a proveedores y las prácticas con las que manejan los datos y entregan tales servicios.

Las ciberamenazas son una realidad, y si bien, al alta gerencia no tiene un conocimiento ténico elevado.

Es importante que las conozca también los riegos que representan al negocio.

CrowdStrike aliado fundamental

En su papel de CISO del Global Bank de Panamá, los colaboradores, la tecnología de CrowdStrike y el integrador han sido aliados fundamentales.

Como proveedor tecnológico, CrowdStrike con quien Global Bank de Panamá lleva tres años trabajando, le da a conocer cada año el roadmap de soluciones.

Para que la instutición organice su mapa de ruta de mejor manera.

Partner actualizado y capacitado

El ejecutivo señaló que, un partner ayuda a las empresas a mejorar su postura de ciberseguridad, dependiendo del tipo de servicio contratado.

Por lo general, una institución bancaria quiere que su integrador esté pendiente del buen funcionamiento de las soluciones.

Que tenga altos niveles de servicio, haya adoptado bien la tecnología y actúe rápido ante problemas.

Por ello, elegir tanto al integrador como proveedor de tecnología y servicios no es tarea menor.

El ejecutivo aludió a la confianza, como la base con la que se empieza a trabajar con un equipo de trabajo externo.

Que hable el idioma de los negocios

Al no ser un experto técnico, la alta gerencia requiere que se le hable en su lenguaje: el de los negocios.

The CrowdStrike Falcon platform once again achieved 100% detection of MacOS malware with ZERO false positives in the latest AV-TEST macOS evaluation. https://t.co/Tu8gY6qGJb

— CrowdStrike (@CrowdStrike) December 1, 2022

Tanto el CISO como el integrador deben traducir a la junta directiva de la amenaza existente.

También de lo que se va a perder, del riesgo y del impacto al negocio y la pérdida de dinero.

Para señalar la solución y poner en perspectiva clara, cuánto se perdería si no se adquiere o implementa tal tecnología.

“En mi opinión personal, lo mejor es tratar de minimizar la cantidad de fabricantes y proveedores y quedarte con los más sólidos”.

“No se trata de tener muchas marcas y partners y que al final ninguno responda, hay que buscar al integrador que maneje la seguridad en la mayor cantidad de frentes”.

Complementó.

Como último tip para el CISO, González recomendó establecer sus niveles de riesgo para determinar qué tarea es prioritaria.

Empieza por atender cuáles podría hacer más daño y así mantén actualizado el estatus sobre el nivel de madurez de la organización.