La tensión entre las operaciones descentralizadas y el cumplimiento de la seguridad

Cuando las responsabilidades de gobernanza, implementación e innovación en seguridad se distribuyen entre múltiples unidades de negocio, existe una falta de cohesión que hace que el cumplimiento de la seguridad sea más complejo de lo necesario. Navegar por esta complejidad se hace aún más complicado para aquellos que todavía operan con infraestructura heredada. Es un problema al que se enfrentan muchos grandes bancos del sector de servicios financieros.

Puntos de fricción operacional

La enorme escala organizativa de los bancos establecidos crea naturalmente un ecosistema operativo complejo. Esto a menudo da como resultado una toma de decisiones fragmentada, con diferentes equipos gestionando partes aisladas del panorama tecnológico y de seguridad. Si bien se puede argumentar que este enfoque respalda la experiencia en el dominio, oculta un problema mayor: la aplicación inconsistente de la gobernanza de la seguridad. Y la inconsistencia es una palabra que queremos evitar en el entorno altamente regulado de la banca.

Cuando se trata de seguridad, hay algunas responsabilidades compartidas críticas que los equipos encabezados por el CISO, el CIO y el CTO deben abordar: cumplimiento normativo, gestión de riesgos y respuesta a incidentes. Sin embargo, como autoridad en gobernanza de seguridad, es el CISO quien establece el marco rector de la organización, mientras que el CIO y el CTO son los encargados de implementar los requisitos delineados en sus respectivos dominios de infraestructura de TI y entornos de productos. Incluso con un único marco implementado, las operaciones aisladas a menudo conducen a una implementación inconsistente en los distintos departamentos. Sin un enfoque unificado, la exposición al riesgo aumenta, especialmente cuando los entornos heredados implican que la visibilidad (de quién se conecta a qué y cuándo) no es la opción predeterminada.

El tiempo y los presupuestos son puntos problemáticos adicionales en materia de cumplimiento. A medida que el número de regulaciones relevantes para el sector de servicios financieros continúa creciendo, mantenerse en cumplimiento se ha convertido en una tarea que requiere muchos recursos. Las auditorías pueden durar semanas o meses, lo que requiere una inversión significativa tanto en personas como en tecnología para garantizar que las políticas de seguridad se integren en las operaciones diarias. En las configuraciones tradicionales, esta carga implica supervisión manual y revisiones o controles compensatorios en sistemas fragmentados. El gasto operativo continuo de mantener estos controles generalmente recae sobre el CIO y el CTO, quienes ya están estirando sus presupuestos para reducir costes, mantener la resiliencia y cumplir con los objetivos de transformación. Si la seguridad estuviera integrada en la arquitectura por diseño, los CIO y los CTO no soportarían los costes a largo plazo de decisiones tomadas fuera de su control.

Verificaciones de la realidad técnica

Si bien los desafíos de cumplimiento en las operaciones diarias son bien conocidos, ¿qué sucede cuando los bancos intentan innovar? Cada vez más, surge una brecha en torno a estos esfuerzos entre el optimismo estratégico del liderazgo no técnico y el realismo fundamentado de los equipos técnicos.

A medida que surgen nuevos desafíos, muchos directores ejecutivos bancarios equiparan la competitividad con la adopción de tecnologías emergentes como la IA. Es cierto que la IA tiene un potencial real para impulsar la innovación, el crecimiento y el liderazgo del mercado. Pero hay una barrera importante en el camino: los sistemas heredados no fueron diseñados para soportar la integración de IA, lo que aumenta el riesgo de exposición y la complejidad de mantener el cumplimiento de la seguridad. Más aún, la IA introduce un nuevo dominio operativo con nuevos desafíos en torno a la observabilidad y el control. Estos desafíos se ven agravados por infraestructuras fragmentadas, donde los datos de los que depende la IA residen en sistemas aislados. Como resultado, dominios tecnológicos que antes estaban diferenciados ahora están colisionando a mayor velocidad y con una mayor volatilidad interna, mientras los equipos se esfuerzan por moverse rápido y al mismo tiempo mantenerse seguros.

Soluciones para la seguridad a escala

¿Cómo abordan los bancos los desafíos que surgen cuando intentan unificar la aplicación de la seguridad en diferentes divisiones e innovar en toda la organización con tecnologías emergentes? Muchos están recurriendo a la arquitectura Zero Trust.

A diferencia de los enfoques tradicionales basados en perímetro, este enfoque de seguridad no supone una confianza implícita dentro de la red y aplica una verificación estricta en cada punto de acceso, independientemente del usuario, el dispositivo o la ubicación. El modelo Zero Trust alinea las responsabilidades del CISO, el CIO y el CTO al centralizar la aplicación de políticas, mejorar la visibilidad en todos los sistemas y reducir la complejidad de gestionar el cumplimiento en entornos aislados.

Pero Zero Trust es más que un marco de seguridad: es un habilitador estratégico de una protección escalable, algo que se hace evidente al considerar los siguientes puntos: 

• Al ofrecer seguridad como servicio y conectividad a escala, Zero Trust permite a los bancos adoptar nuevas tecnologías de forma segura y rápida.
• Proporciona el mismo nivel de protección, funciones y control tanto en casos de uso locales como en la nube, lo que aporta una consistencia muy necesaria en entornos híbridos. Esto significa que los equipos no tienen que hacer concesiones ni elegir entre casos de uso. Todo funciona de manera consistente, sin importar dónde se encuentren los datos o las aplicaciones.
• Proporciona visibilidad en todos los dominios. Esto significa que si bien los dominios tecnológicos pueden permanecer segmentados, la visibilidad y el control no lo están, lo que permite a los equipos de seguridad supervisar e influir en la actividad sin fricciones.

La seguridad de los datos está integrada en el corazón de la arquitectura basada en proxy Zero Trust, no se agrega después. Esto significa que los bancos pueden avanzar rápidamente para escalar nuevas integraciones tecnológicas (incluso integraciones avanzadas como agentes de IA) sin comprometer el cumplimiento ni la integridad operativa. De hecho, ofrece rampas de acceso tanto para servicios tradicionales como emergentes, ampliando la protección no solo dentro del banco sino también a todo su ecosistema más amplio, incluidos socios y plataformas orientadas a la comunidad. 

Lenguaje de seguridad común

En un entorno operativo descentralizado, la cuestión de quién está realmente a cargo de la seguridad tiene menos que ver con la jerarquía y más con la cohesión. Zero Trust ayuda a los bancos a hablar un lenguaje de seguridad común: uno que integra el cumplimiento en cada acción, en todos los equipos, sin importar quién esté al mando.

¿LISTO PARA UNA SEGURIDAD A ESCALA? Los servicios financieros desean y necesitan un enfoque de seguridad moderno para gestionar el presente y prepararse para el futuro. La clave está en encontrar la arquitectura adecuada, con Zero Trust como base, para ayudarle a proteger, simplificar y cumplir con seguridad.  Encuentre aquí su camino hacia el futuro.