Categorías
Investigaciones Investigaciones corporativas Seguridad Informática

3 lecciones básicas de Seguridad y Tecnología para todas las organizaciones

A principios del mes de marzo, la Comisión de Valores e Inversión Australiana (ASIC) destacó en su foro anual cuán preparada estaba para afrontar el impacto de la cuarta revolución industrial en sus mercados. En su discurso de apertura, el presidente Greg Medcraft mencionó que mientras que la inteligencia artificial (IA) aunque está sólo en sus primeras etapas, está avanzando más rápido de lo que esperábamos anteriormente, y ha saltado firmemente en la corriente principal.

Los avances en voz e imagen en la inteligencia artificial han llevado a una personalización cada vez mayor en los productos y servicios que la utilizan. Aunque hay oportunidades gracias a estos avances, también hay enormes riesgos si no exploramos la tecnología a fondo.

El tema es, sencillamente, fascinante, especialmente para aquellos que trabajan en TI y se encuentran en medio de esta revolución que está en curso. De las discusiones en el foro de ASIC, se pueden destacar tres aprendizajes claves que se aplican a cada industria que se dedica a la obtención de inteligencia a través de los datos.

La cuarta revolución industrial no ocurrirá en las fábricas. Foto: JoyceGervasio

Los conocimientos sobre inteligencia no suelen ser por accidente

Los están uniéndose a la revolución de datos obteniendo información de grandes datos. En particular, ASIC está invirtiendo fuertemente en herramientas que pueden ayudar a identificar conductas indebidas de forma temprana en una amplia gama de fuentes de datos. Algunos de sus proyectos en curso incluyen la consolidación de su información con terceros en un solo almacén de datos. La consolidación le permitirá identificar más patrones y tendencias, utilizando la informática cognitiva y la inteligencia artificial para encontrar la mala conducta de forma más rápida y aplicar analíticas basadas en vectores para asignar las relaciones objetivo y construir cronologías.

El objetivo final de ASIC es asegurar la confianza en el mercado para los consumidores. Para muchos operadores, es una cuestión de educación. Para lograr esto, el presidente enfatizó en uno de los cuatro pilares del mantra de ASIC: «asegurar que tenemos las habilidades y la experiencia para ser un regulador eficaz en este espacio».

Él escuchó que este debe ser el foco de todas las organizaciones que buscan emplear esa tecnología, no puede ser sólo una caja negra. No habrá excusas como «el gato se comió mi tarea» cuando se trata de dónde se encuentra la responsabilidad.

Para lograr lo anterior, ASIC ha contratado a un equipo especializado que se encargará de capacitar a quienes tienen habilidades de análisis de evidencias para que asuman nuevos roles de analista de datos, además se busca que puedan entender la variedad de fuentes de datos que están disponibles y cómo las diferentes tecnologías pueden derivar en inteligencia que sirva para impulsar el negocio.

Involucrarse ampliamente al pilotar una nueva tecnología

ASIC no sólo está explorando nuevas tecnologías para convertir la información en inteligencia procesable internamente. Está participando activamente con la industria para entender nuevas tecnologías, usos potenciales y si la ley se extiende suficientemente para protegerse contra los riesgos de estas nuevas tecnologías. Muchos reguladores internacionales ahora tienen bancos de arena que permiten a las compañías de tecnología probar sus productos en conjuntos de datos reales para ver cómo funcionan. Esto proporciona información valiosa a los reguladores para explorar el impacto potencial de las tecnologías clave que impulsan estas nuevas innovaciones en tiempo real, lo que les permite proporcionar orientación a la industria. Un ejemplo sería la nueva directiva de ASIC que utiliza la tecnología Ledger distribuida (Blockchain).

Este es un enfoque al que todos debemos aspirar, incluso si no formamos parte del equipo de implementación central para una nueva tecnología o proceso. Comprender la tecnología o el proceso en acción siempre será mejor que usar teorías de trabajo para crear políticas y procedimientos para reducir el riesgo.

No tenga miedo de tener las manos «sucias» como lo hacen los reguladores de ASIC. Sus ideas podrían simplemente hacer que su organización ofrezca un mejor producto o servicio.

Privacidad y seguridad: la responsabilidad desde arriba

A medida que recogemos más y más datos y lo usamos para personalizar y automatizar el servicio, el riesgo a su alrededor se hace cada vez mayor. ASIC ve esto como un gran problema que muchas empresas no están considerando adecuadamente. Algunos ejemplos planteados durante las sesiones incluyeron:

  • ¿Qué sucede cuando los robo-asesores son hackeados o hay un algoritmo de escape?
  • La autenticación de dos factores en las tarjetas de crédito robadas se rompe simplemente clonando la tarjeta SIM del objetivo.
  • Información de Registro de negocios de aproximadamente dos millones de registros que tienen un gran valor para esquemas simples como ataques de ransomware.

Con el gobierno Australiano explorando abiertamente la siguiente forma de identificación digital para las transacciones en línea, las apuestas nunca han sido más altas para garantizar la seguridad de los datos y evitar la re-identificación. ¿Quién quiere ser víctima de un hacking que se atreve con éxito a robar los datos en menos de seis horas?

El gobierno también se da cuenta de que si bien ahora hay una buena cantidad de conciencia en el nivel C de los negocios, muchas organizaciones no están tomando los siguientes pasos para asegurar que sus datos y la privacidad de sus clientes estén protegidos. Las nuevas regulaciones australiana para la protección de datos puede ayudar en cierta medida, pero es el marco que ASIC está estableciendo en relación con la responsabilidad de los directores y con lo que la mayoría de los miembros de los consejos de administración deben familiarizarse.

En un informe reciente, ASIC considera cómo el cumplimiento de la Ley de Sociedades Anónimas (2001) podría considerarse en un contexto de «ciber-resiliencia», señalando que no es sólo del dominio de una función de TI y que gran parte del riesgo de ciberseguridad de una empresa se encuentra fuera de los departamentos de TI .

Ahora es el momento de asegurarse de que su empresa está tomando los siguientes pasos para crear una cultura de ciberseguridad y que su postura sobre esto está incluido dentro de las agendas los miembros de directivos de la organización.

Para más información sobre los productos Nuix, haga clic AQUI.