OBSERVAÇÕES DO TANQUE SNARK DA FINTECH
Em sua carta de 2019 aos acionistas, Jamie Dimon, CEO do JPMorgan Chase, escreveu:
“A ameaça da segurança cibernética pode muito bem ser a maior ameaça ao sistema financeiro dos EUA. “
Isso não é novidade para os banqueiros. No estudo anual da The Cornerstone Advisors sobre o que está acontecendo no setor bancário, a segurança cibernética tem sido uma das principais preocupações dos executivos de bancos e cooperativas de nível C nos últimos anos.
E eles estão colocando seu dinheiro onde estão suas preocupações. Segundo a Kaspersky Lab, as empresas de serviços financeiros gastam US $ 1.436 por funcionário em segurança cibernética, mais do que o dobro do que a indústria de varejo gasta (graças a varejistas).
Isso não significa que há consenso sobre suas opiniões sobre segurança cibernética, no entanto. Existem cinco crenças comuns (ou mitos) sobre a segurança cibernética que precisam mudar.
Mito 1: “Cibersegurança é o trabalho de TI”.
Há um problema comum no mundo dos negócios hoje em dia: a crença entre muitos executivos seniores que apontam um executivo de nível C para supervisionar um problema ou desafio cuidará dele ou o fará desaparecer. Se você precisar de provas, considere quantas empresas agora têm um Chief analytics, AI, marca, cliente, dados, digital, experiência, conhecimento … você realmente não quer que eu continue, você … Diretor.
Sou a favor de um Chief Information Security Officer (CISO), mas muitos executivos de negócios acham que, ao ter um, essa pessoa (e a TI) tem os esforços de segurança cibernética sob controle.
Não funciona assim. O CISO de um banco de US $ 3 bilhões me disse:
“Posso ser responsável pela segurança das informações do banco, mas é a equipe executiva e os responsáveis funcionais que devem garantir a administração e a mitigação dos riscos operacionais diários da segurança cibernética de maneira eficiente e eficaz. ”
Violações de dados e ataques cibernéticos afetam toda a empresa, não apenas uma única unidade, divisão ou departamento. Decisões para atenuar essas ameaças não devem ser relegadas a TI.
Além disso, os ciberincidentes exigem comunicação com os clientes, funcionários, parceiros e mídia da instituição. A equipe executiva e o conselho administrativo devem ajudar a roteirizar as respostas da organização.
Mito 2: “Não precisamos nos preocupar – apenas os grandes bancos estão em risco de ataques cibernéticos”.
Pense de novo.
De acordo com um estudo da Nationwide, os bancos com menos de US $ 1 bilhão em ativos foram vítimas de quase metade (47%) de todos os crimes virtuais relacionados a bancos entre 2012 e 2017.
O estudo também descobriu que instituições financeiras com menos de US $ 35 milhões em receita foram responsáveis por 81% das violações de hackers e malware em 2016 – um salto de 54% no ano anterior.
De acordo com o CISO de um banco de US $ 750 milhões:
Descobrimos uma invasão em nossos sistemas e descobrimos que sua intenção era interromper os sistemas de pagamento do Fed e de outros bancos. ”
Mito 3: “Podemos obter uma vantagem competitiva sendo bons em segurança cibernética”.
Não você não pode.
É assustador ouvir isso dos banqueiros por dois motivos:
A segurança cibernética é uma aposta de mesa, não um diferencial. Não há dúvida de que a segurança é importante para os consumidores, mas eles esperam isso. Ser “ótimo” na segurança cibernética não atrairá mais clientes.
Os bancos não podem ser “ótimos” em segurança cibernética. Apenas os maiores bancos têm recursos suficientes para estar na vanguarda da segurança cibernética. E até eles diriam que não são tão bons assim. Particularmente, isso é.
Mito 4: “Um esquema nacional de identidade digital surgirá para melhorar os esforços de segurança cibernética”.
Continue sonhando.
Embora vários governos em todo o mundo tenham lançado iniciativas de identidade, as perspectivas de um esquema de identidade digital nos EUA a par de outros países parecem escassas para o curto prazo.
O clima político de hoje não é propício para um esforço de identidade nacional, que será visto por muitos como uma tentativa de limitar a imigração e identificar (e remover) imigrantes ilegalmente no país. Além disso, um sistema de identificação orientado pelo governo dificilmente parece ser uma prioridade da atual administração.
Os próprios bancos estão começando a pensar que eles são provedores de identidade digital.
Em uma conferência bancária recente, em um painel de discussão sobre identidade digital, o moderador do painel perguntou a uma sala de cerca de 60 banqueiros se eles, como consumidores, iriam se inscrever para um serviço de identidade digital de seu banco. Quatro banqueiros levantaram a mão.
Isso pode não ser um bom presságio para os bancos que desejam desenvolver serviços de identidade digital, mas os argumentos contra um esquema de identificação digital oferecido por bancos vão além de uma pesquisa não científica de banqueiros (veja este relatório para esses argumentos).
Mito 5: “Estamos bem desde que passemos nos nossos exames anuais”.
Não, você não é.
Em uma conferência recente, participei de um painel com um advogado que havia trabalhado no CFPB. Um membro da platéia perguntou: “Os reguladores podem acompanhar as mudanças tecnológicas?”
Eu argumentei “não”. O advogado argumentou “sim”. Foi o primeiro – e provavelmente será a última vez que eu ganho um debate com um advogado.
Eu não estou sozinho no meu argumento. Veja alguns desses títulos recentes:
“A lei e a ética não conseguem acompanhar o ritmo da tecnologia” – MIT Technology Review
“A lei de proteção de dados corre o risco de ficar atrás da mudança tecnológica” – The Guardian
“A lei não consegue acompanhar novas tecnologias” – Fórum Econômico Mundial
[Divulgação completa: eu me deparei com um artigo intitulado Can Regulators Keep Up With Fintech? que argumentava que os reguladores poderiam manter-se – mas o artigo todo é apenas uma entrevista com …. sim, você adivinhou … um regulador.]
Passar por exames anuais significa que uma instituição financeira está fazendo o que um regulador acha que precisa fazer. Mas quem diz que o regulador está em cima das coisas? Aparentemente, apenas os reguladores.
Um tema abrangente envolve o desmascaramento dos cinco mitos: Alcançar o sucesso da cibersegurança requer gerenciamento e medição – não apenas educação. É necessário educar funcionários e membros do conselho sobre questões de segurança cibernética, mas representa o mínimo do que os bancos e as cooperativas de crédito devem fazer.
Para uma cópia do relatório Debunking Cybersecurity Myths clique aqui.