Seguridad en evolución: IA, análisis avanzados y resistencia operativa en el sector financiero
DORA y sus implicaciones
El 16 de enero de 2023 entró en vigor el nuevo reglamento europeo DORA (Digital Operational Resilience Act), que será de obligado cumplimiento a partir del 17 de enero de 2025. Este reglamento tiene la función y el objetivo de consolidar y armonizar a nivel europeo los principales requisitos de ciberseguridad en materia de resiliencia operativa digital en el sector financiero, para una implementación de medidas en materia de gobernanza, ciberseguridad, gestión de riesgos para empresas y compañías.
Todos los actores cubiertos por este reglamento deberán desarrollar o implementar sus propios procedimientos corporativos para cumplir plenamente con las directrices del reglamento cumpliendo con los requisitos.
Evolucionar en materia de seguridad y utilizar las herramientas adecuadas para supervisar y mantener el cumplimiento, en este caso del DORA, que afecta no sólo a la empresa sino a todos sus empleados, lleva a que las empresas tengan que ser necesariamente empresas resilientes.
Por tanto, para ser resiliente, una organización debe hacer resilientes todos los procesos, y no sólo los que tienen que ver con la seguridad lógica de la "información", en su sentido de ciberseguridad, sino también con la seguridad física, ya que separar perímetros físicos y virtuales es casi imposible hoy en día.
Por lo tanto, todos los puntos expuestos en el reglamento DORA deben aplicarse también en el desarrollo de los procesos de seguridad en un sentido moderno y evolucionado, donde la resiliencia no sea sólo una manifestación de principio para que la empresa cumpla un modelo normativo, sino que sea de hecho una resiliencia operativa efectiva concreta y aplicable.
Desde este punto de vista, es necesario entonces retomar, en el replanteamiento y evolución de los procesos de seguridad, las cuestiones de la gestión del riesgo, en general, donde la externalización del riesgo prevé la reinternalización del riesgo en cualquier momento, y por otra parte, la necesidad de externalizar los riesgos no sólo a sujetos cualificados, sino a sujetos que sean ellos mismos resilientes.
Analítica avanzada e Inteligencia Artificial
Las plataformas tecnológicas con las que se gestionan y operan los sistemas de seguridad en el mundo bancario contienen una gran cantidad de datos e información que, si se extrapolan y se procesan y analizan adecuadamente, pueden proporcionar una fotografía real y actualizada del estado de los sistemas.
¿Qué datos pueden y deben guiarnos para definir realmente estrategias concretas? Si bien es cierto que todos los datos son importantes, no es menos cierto que algunos datos son más importantes y útiles, y el verdadero valor añadido reside en quienes son capaces de identificar qué datos son estratégicos. Y no, no es la IA.
El factor humano, las personas, las competencias pueden marcar la diferencia, sólo quienes son capaces de comprender los fenómenos y los acontecimientos pueden preparar el terreno y sentar las bases para que la tecnología funcione lo mejor posible.
Y es en este contexto en el que es necesario identificar cuál es el mejor y posible análisis de los datos de las plataformas y sistemas de seguridad, porque es el punto de partida para construir modelos, tomar decisiones, orientar las inversiones, crear modelos digitales y sostenibles. Por tanto, incluso en el mundo de la seguridad es posible construir una llave de acceso a la IA, pero hay que partir de lo que tenemos, de lo que produce la tecnología de la información y de cómo podemos racionalizarla y utilizarla.
Por lo tanto, el análisis de datos debe y puede convertirse en una herramienta para mejorar y optimizar los negocios, y sólo la capacidad de analizar datos puede conducir al uso inevitable de la inteligencia artificial y de tecnologías verdaderamente avanzadas que puedan apoyar y guiar las elecciones y decisiones y conducir a una gestión cualitativa de la seguridad, ayudando a superar la vieja reflexión de la seguridad entre coste y valor, y conducir a modelos de servicio digitalizados y sostenibles.
