La tensión entre las "operaciones descentralizadas" y el "cumplimiento de las normas de seguridad"

Cuando varias unidades de negocio comparten las responsabilidades de gobernanza, implementación e innovación de la seguridad, se produce una falta de cohesión que complica el cumplimiento de las normas de seguridad más de lo necesario. Esta situación se complica aún más para quienes todavía operan con infraestructura heredada. Es un problema al que se enfrentan muchos grandes bancos del sector de servicios financieros.

Puntos de fricción operativos

La enorme escala organizativa de los bancos ya establecidos crea, naturalmente, un ecosistema operativo complejo. Esto suele dar lugar a una toma de decisiones fragmentada, con diferentes equipos que gestionan partes aisladas del panorama tecnológico y de seguridad. Si bien se puede argumentar que este enfoque apoya la experiencia en el área, oculta un problema mayor: una aplicación inconsistente de la gobernanza de la seguridad. Y la inconsistencia es una palabra que queremos evitar en el entorno bancario altamente regulado. 

Existen algunas responsabilidades compartidas críticas que los equipos de seguridad liderados por el CISO, el CIO y el CTO deben abordar: cumplimiento normativo, gestión de riesgos y respuesta ante incidentes. Sin embargo, como máxima autoridad en materia de gobernanza de seguridad, es el CISO quien establece el marco rector de la organización, mientras que el CIO y el CTO se encargan de implementar los requisitos definidos en sus respectivas áreas de infraestructura de TI y entornos de productos. Incluso con un marco único, las operaciones aisladas suelen dar como resultado una implementación inconsistente entre los distintos departamentos. Sin un enfoque unificado, la exposición al riesgo aumenta, especialmente cuando la visibilidad (sobre quién se conecta a qué y cuándo) en los entornos heredados no es la opción predeterminada.

El tiempo y los presupuestos son puntos débiles adicionales del cumplimiento normativo. A medida que sigue aumentando el número de regulaciones relevantes para el sector de servicios financieros, mantener el cumplimiento se ha convertido en una tarea que requiere muchos recursos. Las auditorías pueden prolongarse durante semanas o meses, lo que requiere una inversión significativa en personal y tecnología para garantizar que las políticas de seguridad se integren en las operaciones diarias. En los sistemas heredados, esta carga implica supervisión manual y la implementación de controles parciales o compensatorios en sistemas fragmentados. Los gastos operativos continuos para mantener estos controles suelen recaer en el CIO y el CTO, quienes ya están adaptando sus presupuestos para reducir costos, mantener la resiliencia y cumplir con los objetivos de transformación. Si la seguridad estuviera integrada en la arquitectura por diseño, los CIO y CTO no tendrían que asumir los costos a largo plazo de las decisiones tomadas fuera de su control. 

Comprobaciones de la realidad tecnológica

Si bien los desafíos de cumplimiento en las operaciones diarias son bien conocidos, ¿qué sucede cuando los bancos intentan innovar? La brecha en torno a estos esfuerzos entre el optimismo estratégico del liderazgo no técnico y el realismo práctico de los equipos técnicos es cada vez es mayor.

 Con la aparición de nuevos desafíos, muchos CEO del sector bancario equiparan la competitividad con la adopción de tecnologías emergentes como la IA. La IA tiene ciertamente un gran potencial para impulsar la innovación, el crecimiento y el liderazgo del mercado. Pero existe un obstáculo importante: los sistemas heredados no fueron diseñados para ser compatibles con la integración de la IA, lo que aumenta el riesgo de exposición y la complejidad de mantener el cumplimiento de las normas de seguridad. Es más, la IA introduce un nuevo dominio operativo con nuevos desafíos de observabilidad y control. Las infraestructuras fragmentadas se suman a estos desafíos, ya que los datos de los que depende la IA residen en sistemas aislados. Como resultado, a medida que los equipos se esfuerzan por avanzar rápidamente sin comprometer la seguridad, los dominios tecnológicos que antes eran distintos ahora colisionan a mayor velocidad y con una mayor volatilidad interna.

Soluciones de seguridad a gran escala

¿Cómo abordan los bancos los desafíos que encuentran al intentar unificar la aplicación de medidas de seguridad en los diferentes departamentos e innovar en toda la organización con las tecnologías emergentes? Muchos están recurriendo a la arquitectura Zero Trust. 

A diferencia de los enfoques tradicionales basados en el perímetro, este enfoque de seguridad no presupone una confianza implícita dentro de la red y aplica una verificación estricta en cada punto de acceso, independientemente del usuario, el dispositivo o la ubicación. El modelo Zero Trust alinea las responsabilidades del CISO, el CIO y el CTO al centralizar la aplicación de las políticas, mejorar la visibilidad en todos los sistemas y reducir la complejidad de la gestión del cumplimiento en entornos aislados.

Pero la arquitectura Zero Trust es más que un marco de seguridad: es un facilitador estratégico de protección escalable, lo cual se hace evidente al considerar los siguientes puntos: 

• Al ofrecer seguridad como servicio y conectividad a gran escala, el modelo Zero Trust permite a los bancos adoptar nuevas tecnologías de manera segura y rápida.
• Proporciona el mismo nivel de protección, funciones y control tanto en entornos locales como en la nube, aportando la uniformidad tan necesaria en entornos híbridos. Esto significa que no es necesaria la negociación entre equipos ni que elijan entre diferentes casos de uso. Todo funciona de manera uniforme, independientemente de dónde residan los datos o las aplicaciones.
• Proporciona visibilidad en todos los dominios. Esto significa que, si bien los dominios tecnológicos pueden permanecer segmentados, la visibilidad y el control no lo están. Esto permite a los equipos de seguridad supervisar e influir en la actividad sin fricciones.

La seguridad de los datos está integrada en el centro de la arquitectura Zero Trust basada en proxies, no se agrega a posteriori. Esto significa que los bancos pueden escalar rápidamente integraciones tecnológicas nuevas, incluso integraciones avanzadas como agentes de IA, sin comprometer el cumplimiento normativo ni la integridad operativa. De hecho, ofrece vías de acceso tanto para servicios heredados como emergentes, y extiende la protección no solo dentro del banco sino también a través de su ecosistema más amplio, como socios y plataformas orientadas a la comunidad.

Lenguaje común de seguridad

En un entorno operativo descentralizado, la cuestión de quién está realmente a cargo de la seguridad está menos relacionada con la jerarquía y más con la uniformidad. El principio Zero Trust ayuda a los bancos a hablar el mismo lenguaje de seguridad, uno que incorpora el cumplimiento normativo en cada acción, en todos los equipos, independientemente de quién esté al frente.

¿ESTÁ LISTO PARA GARANTIZAR LA SEGURIDAD A GRAN ESCALA? Los servicios financieros no solo desean, sino que necesitan un enfoque de seguridad moderno para gestionar el presente y prepararse para el futuro. La clave está en encontrar la arquitectura adecuada basada en el principio Zero Trust para ayudarle a proteger, simplificar y cumplir con la normativa con total confianza. Encuentre aquí su camino hacia el futuro.