Los CEOs de bancos  han hecho grandes avances en la agenda de ciberseguridad en los últimos años. La mayoría de los bancos han hecho inversiones significantes en ciberseguridad y sus CEOs lo han tomado como parte de su responsabilidad personal. Para la mayoría, las grandes amenazas han sido minimizadas, los requerimientos regulatorios han sido implementados, y la conciencia ha crecido.

Con ello, no es sorprendente que los CEOs de bancos se muestren orgullosos de sus capacidades en ciberseguridad. De hecho, en una reciente encuesta global realizada por KPMG el año pasado a 120 CEOs de bancos, el 42% reportó que ahora estaba completamente preparado para un evento de ciberseguridad. Claramente un gran salto con respecto al año 2016 donde sólo un 19% lo expresó. Asimismo, al menos el 60% reportó que ahora estaba completamente preparado frente a una filtración de datos de clientes o un ataque a sistemas.

En efecto, los CEOs de bancos  sostienen que su competencia en ciberseguridad incluso podría ayudarlos a mejorar la reputación de la marca y mejorar la confianza con los clientes. En la encuesta, el 33% de los encuestados dijo que veía la inversión en ciberseguridad como una oportunidad para encontrar nuevas ganancias e impulsar la innovación. El 78% dijo que planeaba incrementar la inversión en ciberseguridad en los 3 próximos años.

Apuntando a un blanco en movimiento
Si bien los CEOs de bancos tienen muchas razones para sentirse seguros de su progreso, nuestra experiencia trabajando con bancos líderes durante de los últimos 20 años sugiere que algunos pueden estar subestimando el riesgo.

La realidad es que es muy difícil estar completamente preparado frente a un quiebre en ciberseguridad. En parte, esto se debe a la naturaleza de la amenaza donde los riesgos están continuamente evolucionando y los atacantes  están constantemente adaptándose. Al mismo tiempo, la introducción, desarrollo y adopción de nuevas tecnología y modelos de negocios también conducen a nuevos e inesperados peligros en ciberseguridad. Es muy difícil estar completamente preparado para algo que está cambiando permanentemente.

Mientras la conciencia sobre el riesgo cibernético ha crecido a nivel de directorio, esto puede no estar sucediendo en otras estructuras de administración del negocio. Esta inconsistencia impide a los responsables apreciar la real naturaleza del riesgo que están tratando de contener. Muy a menudo, la ciberseguridad es vista como una disciplina técnica y un conjunto de controles más que como un genuino entendimiento de múltiples riesgos que pueden impactar a todo el negocio. Se tiende a asociarla como un control y no como una política transversal para toda la organización.

Los resultados de la encuesta también indican que puede haber una gran brecha entre conciencia y ejecución por parte de los responsables. Los CEOs de bancos  pueden estar conscientes del desafío, pueden estar inyectando recursos e impulsar un sólido marco de trabajo y control, pero esto sólo puede entregar un falso sentido de seguridad si el resto de los empleados no entiende el riesgo y no toma responsabilidad.

Durmiendo mejor en la noche
Los CEOs pueden estar orgullosos de sus logros en ciberseguridad. Indiscutiblemente, ellos deben mantener lo logrado, como por ejemplo: seguir ampliando la conciencia de los riesgos y su ambiente de permanente amenaza; seguir promoviendo una mejor ciberseguridad; seguir inspirando a sus organizaciones para ser mejor, más conscientes y más responsables; y seguir invirtiendo en capacidad técnica en ciberseguridad (esto es crítico para asegurar la cambiante infraestructura tecnológica del negocio).  Sin embargo, nuestra experiencia también sugiere que hay algunas áreas donde los CEOs de bancos  pueden mejorar si esperan convertir la ciberseguridad en una ventaja competitiva.

Mejorar la calidad de la discusión en el directorio
Es esencial cambiar el lenguaje de la discusión desde una base técnica a una estrategia más orientada en el negocio. Los directorios deberían también integrar ciberseguridad en los procedimientos y en el riesgo operacional de toda la empresa, lo que finalmente ayudará a mejorar la integración e identificar riesgos inesperados y relacionados con el negocio.

Aumentar la relevancia de la ciberseguridad a nivel de negocio
Para tomar responsabilidad del riesgo, la organización debe primero entenderlo genuinamente. Eso significa abordarlo en términos comerciales, apoyado por datos comprensibles e implicaciones realistas. Algunos bancos están iniciando este proceso al trasladar su experiencia en amenazas dentro procesos de negocio con acciones entendibles tales como prevenir fraudes, reducir el riesgo de terceras partes, o proteger datos críticos del negocio.

Ciberseguridad dentro de la cultura de la empresa
Los controles son relativamente fáciles de implementar, pero cambiar comportamientos es mucho más difícil. Los CEOs de bancos  tendrán que renovar sus esfuerzos para crear una cultura de ciberseguridad donde la conciencia y responsabilidad individual se ajuste a la creciente demanda por innovación y flexibilidad en los negocios. Sólo una sintonía transversal dentro de la organización va a asegurar que los empleados vivan y respiren ciberseguridad en sus actividades diarias.

Monitorear inversiones y riesgos
Los bancos están efectivamente invirtiendo en ciberseguridad pero pocos son capaces de explicar detalladamente cómo estas inversiones están cambiando sus perfiles de riesgo. En orden de mejorar el valor de la inversión, los CEOs de bancos tendrán que empezar a mejorar la manera en que inversiones y riesgos son monitoreados.

Consolidar un modelo de respuesta Ciberseguridad
Para mejorar el rendimiento e incrementar el alineamiento de la capacidad de la Ciberseguridad en toda la organización es necesario identificar oportunidades en el ecosistema del negocio. Es crucial buscar áreas donde automatización e inteligencia artificial podrían mejorar y conducir a soluciones de mejor calidad.Cuando sea necesario, la externalización de servicios es útil para permitir a la organización enfocarse en el negocio.

Conseguir el talento correcto
Encontrar y retener el talento en Ciberseguridad será crecientemente difícil en la medida que las organizaciones empiecen a mejorar su respuesta en CiberseguridadMás que un buen talento, los bancos tendrán que encontrar o desarrollar individuos que no sólo sean capaces adelantarse ante la amenaza, sino que acorten la brecha entre Ciberseguridad y negocio.

No hay tiempo para demoras
Si bien puede ser fácil fatigarse por la incesante batalla en el cyber espacio, los CEOs de bancos  están tomando en serio la situación y están haciendo un gran progreso para mantener el liderazgo. Ellos deben seguir haciendo lo que han estado haciendo bien pero si realmente quieren convertir Ciberseguridad en una ventaja competitiva, necesitarán poner más esfuerzo en áreas clave.