[05/08/2022] La dependencia de los datos de la banca digital significa que un enfoque de la ciberseguridad y la gestión de riesgos basado en la IA es fundamental para el éxito, explica Dominic Grunden, CISO del UnionDigital Bank. Para él y su equipo, esto adquiere mayor importancia dada la velocidad a la que se creó UnionDigital Bank para potenciar la economía digital de Filipinas. El banco permite a los filipinos, las comunidades, las empresas, los solucionadores de problemas y los reguladores aprovechar las tecnologías de banca digital, fintech, blockchain y finanzas abiertas. Se creó en solo cinco meses, un plazo inédito en el sector bancario, sostiene Grunden.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Desde el principio, Grunden reconoció la necesidad de adoptar una política de seguridad que diera prioridad a la IA para seguir el ritmo, tanto del crecimiento sin precedentes de la empresa como de las complejidades del ámbito de la banca digital. La clave para conseguirlo ha sido una relación perfecta con el director de Datos de la empresa, el doctor David R. Hardoon. Trabajando juntos, los dos utilizaron la tecnología autónoma para inculcar una estrategia de seguridad y gestión de riesgos "verdaderamente holística" y potenciada por la IA.
Cómo la ciberseguridad impulsada por la IA satisface las necesidades bancarias de UnionDigital
La proliferación de la tecnología financiera digital es grande en Filipinas, al igual que la creciente demanda y dependencia de las criptomonedas y otros métodos de pago, señala Grunden. "Esto supone para la banca digital una oportunidad sin precedentes, pero al mismo tiempo anuncia una nueva era de delincuencia digital. Digo esto porque se caracteriza por una compleja interconectividad y geografías indefinidas. No es como un banco tradicional de ladrillo y cemento; técnicamente no tenemos fronteras".
El mayor reto en el espacio de la banca digital es que el panorama de las amenazas cambia rápidamente y los delincuentes evolucionan constantemente, utilizan más aparatos electrónicos y se vuelven más sofisticados, añade Grunden. "Son impersonales, son complejos, están interrelacionados, y están aprovechando los datos y las técnicas avanzadas que los humanos no pueden seguir".
Eso es lo que impulsa el enfoque de seguridad de UnionDigital Bank basado en la IA, indica Grunden. "Tenemos que ser capaces de seguir el ritmo: ser defensivos y ofensivos al mismo tiempo, innovando para proteger a nuestros clientes y sus datos. La IA nos ha proporcionado ese mecanismo para sentir que seguimos el ritmo del sector, en el que también podemos entender los comportamientos y las motivaciones de las personas, de los consumidores, detectar más rápidamente la actividad delictiva, y avanzar en nuestra capacidad colectiva para combatir y repeler la delincuencia financiera, porque en última instancia, a eso se reduce el espacio de la banca digital. Tengo la firme convicción de que la banca digital va a ser algo más que finanzas; vamos a ser los custodios de los datos de los clientes. Va a ser necesario tomar decisiones de riesgo más rápidas, como el bloqueo de pagos en tiempo real y la detección de fraudes, y vamos a tener que detectar las infracciones más rápidamente y responder a ellas con mayor rapidez", al tiempo que se satisfacen las mayores expectativas en torno a la experiencia del consumidor a medida que la banca digital se hace más omnipresente.
El CISO de UnionDigital Bank, Dominic Grunden (a la derecha en la imagen inferior), y el CDO, Dr. David R. Hardoon (a la izquierda en la imagen), nos explican por qué el nuevo banco digital ha adoptado plenamente un enfoque de ciberseguridad centrado en la IA.
El potencial de la IA para la transparencia de los datos es su principal cualidad para la seguridad y la gestión de riesgos
La transparencia de los datos es clave para lograrlo, y la capacidad de la IA para ofrecer amplios y precisos análisis de patrones de datos es su principal beneficio en materia de seguridad para el Banco UnionDigital, según Hardoon. "La IA consiste fundamentalmente en identificar patrones y/o irregularidades en los patrones, y a través de ello, la capacidad de ofrecer un servicio hiper-personalizado que pueda reconocer anormalidades. Para mí, la premisa de la seguridad, la gobernanza, el cumplimiento y la prevención de la delincuencia es parte integrante del servicio al cliente. Ése es el objetivo y la incorporación de cualquier cosa, desde el punto de vista de la línea defensiva que necesita datos, implica una comprensión dinámica del comportamiento que ayuda a gestionar mejor el riesgo", afirma.
Grunden coincide, y añade que esta transparencia de los datos también ofrece diversos puntos de vista en torno a los patrones de las amenazas que pueden entenderse y utilizarse para identificar nuevos riesgos potenciales basados en las tendencias dentro de la perspectiva de la banca digital, lo que reduce el costo y el tiempo de detección y respuesta.
Hardoon cita un ejemplo de cuando se le pidió que utilizara análisis de datos impulsados por IA para ayudar a predecir el incumplimiento antes de que se produjera. "De nuevo, se trataba de establecer si había un patrón y preguntar si podemos aprender de él. A veces la respuesta es no, pero en este caso, pudimos predecir la probabilidad de incumplimiento con unos dos o tres meses de antelación". Admite que el término "probabilidad" es importante en este caso porque no hay forma de garantizar el riesgo al 100%, pero si puede decir que hay un 85% de posibilidades de incumplimiento, le permite pasar de solo poder reaccionar una vez que se produce, a tomar medidas preventivas con antelación. "En cierto modo, le permite crear una capacidad que quiere que acabe siendo errónea, porque le permite poner todos los controles y medidas para que sea mucho menos probable que ocurra algo. Eso es un verdadero cambio en la operación de riesgo: utilizar los datos y aprovechar la IA para encontrar algo que podría suceder, de modo que pueda poner en marcha medidas preventivas para asegurarse de que no lo haga".
Esto permite a UnionDigital Bank mejorar sus capacidades de prevención de ataques y amenazas, pasando de simplemente "atrapar a los idiotas" que caen en simples trampas, a implementar una forma más sofisticada de detener a los atacantes que están utilizando su propia tecnología autónoma para llevar a cabo campañas maliciosas. "Los atacantes se están volviendo mucho más sofisticados de lo que queremos reconocer", afirma Hardoon. "Los sistemas que ponemos en marcha van más allá, y pensamos en términos de un mejor servicio para los clientes y una defensa más relevante y elevada. En última instancia, creo que esto debe ser un enfoque de toda la industria".
Grunden reflexiona sobre los planes para ir un paso más allá. "Definitivamente estamos empujando el sobre, y mucho de eso se reduce a la madurez de la función de seguridad, a pesar del hecho de que somos un banco nuevo".
El entusiasmo y la alineación son esenciales para el éxito de la seguridad de la IA
Grunden afirma que a él y a su equipo les motiva el entusiasmo por el potencial de la IA para mejorar su estrategia de ciberseguridad, algo que juega un papel fundamental en su colaboración con el departamento de Hardoon. Nos fijamos en las soluciones de IA que el equipo de David tiene actualmente o en lo que se puede construir para mejorar las cosas, porque podríamos estar comprando un producto que está "fuera de la caja" pero que no es lo suficientemente bueno para nosotros. Queremos ir más allá, por lo que aprovechamos la IA para crear capacidades mejoradas y superar los límites de los productos, servicios y plataformas que compramos".
El equipo de Grunden trabaja en estrecha colaboración con el de Hardoon, especialmente en las áreas en las que interviene la IA y en cómo puede mejorar las cosas, señala. "Nunca he tenido ese mismo nivel de entusiasmo y compromiso en organizaciones anteriores para las que he trabajado", añade Grunden. "También se trata de mantener ese entusiasmo por una política que dé prioridad a la IA, de modo que podamos utilizar la tecnología para hacer nuestra la seguridad, y mi personal lo acepta plenamente".
Tanto Grunden como Hardoon creen que la verdadera ciberseguridad impulsada por la IA debe ser holística, un concepto que les apasiona para garantizar que se aplique en UnionDigital Bank. Esto significa hacer operativa la aplicación integral de la IA en relación con la ciberseguridad y la gestión de riesgos.
La IA sigue evolucionando y hay que tener en cuenta los retos
Esta estrategia no está exenta de retos -o al menos de factores importantes que deben tenerse en cuenta-, coinciden Grunden y Hardoon. "Uno de ellos es una mayor demanda de talento en relación con la IA y la ciberseguridad", afirma Grunden. "Actualmente, la tecnología de la IA está todavía en sus primeras fases, por lo que el costo de crear una reserva de talento que sea muy buena tanto con la IA como con la ciberseguridad es alto".
También está el hecho de que la IA puede beneficiar a los atacantes de ciertas maneras si no se entiende, implementa y utiliza bien, añade. "Luego está el viejo cliché de que más datos crean más problemas, y aunque no sufro de esto en UnionDigital Bank debido a la forma en que nuestro CDO ha estructurado los datos, es generalmente un problema en el que se requiere confiar los datos a terceros. Esto sería más difícil si estuviéramos en Europa y tuviéramos que tener en cuenta el GDPR, por ejemplo. Por último, si hay espacio para el error humano en la forma en que se despliega la IA, todavía se puede ser vulnerable a los errores".
Desde la perspectiva de Hardoon, el principal punto de consideración en la aplicación de la IA a la seguridad y la gestión de riesgos se centra en establecer una definición de lo que es un "buen riesgo". "Por supuesto, siempre hay riesgo, pero la IA hace que las preguntas sean mucho más agudas, es decir, ¿cuánto riesgo está bien? Le puede decir por adelantado sus niveles de riesgo, lo que es muy diferente de una perspectiva operativa en la que, a posteriori, detecta que ha pasado algo por alto, porque x, y o z ha sucedido a posteriori. Por lo tanto, si uno decide que no quiere aceptar el nivel de riesgo que se le presenta, esto puede afectar a los negocios de forma operativa en el futuro, por lo que hay que considerar cuidadosamente la mejor forma de aprovechar los resultados".
Sin embargo, en última instancia, los beneficios de la IA en la ciberseguridad superan con creces los aspectos negativos o los retos para UnionDigital Bank, afirma Grunden.
La IA será más crítica para la ciberseguridad de lo que muchos piensan
De cara al futuro, Grunden cree que la necesidad de un enfoque de ciberseguridad basado en la IA solo va a aumentar para el sector de la banca digital y más allá. "Va a ser más crítico de lo que muchos expertos piensan", afirma. "En mi opinión, la IA se incorporará a algún tipo de norma de seguridad en los próximos cinco o diez años, ya sea una norma ISO o cualquier otra. En el caso de la banca digital en concreto, también creo que existe una posibilidad muy sólida de que se convierta en ilegal o en una forma de incumplimiento de la normativa si una organización no utiliza la IA en su ciberseguridad. Creo que la IA será un catalizador para determinar si la industria de la banca digital puede mantenerse al día con la comunidad de actores de amenazas, y puedo ver un momento en el que tendremos 'bots buenos' de caza de amenazas de IA" trabajando contra 'bots malos' que cambian sobre la marcha en función del panorama de las amenazas."
Hardoon coincide. "La IA simplemente tiene que ser un componente básico de la defensa de la ciberseguridad. Si no, simplemente le van a machacar, quizá no ahora, pero sí algún día".
Basado en el artículo de Michael Hill (CSO) y editado por CIO Perú
Puede ver también: