Agosto 10, 2020

Cómo proteger a su organización mediante una gestión proactiva del comportamiento riesgoso

Homayun Yaqub

El riesgo relacionado con la conducta afecta a toda la estructura de una empresa, y las organizaciones de servicios financieros en particular adhieren a estándares muy altos de comportamiento e integridad comercial. En los últimos años, los reguladores de la industria de servicios financieros se enfocaron más en reducir las conductas inapropiadas enfatizando la necesidad de gestionar el riesgo relacionado con la conducta en toda la organización.

Si bien no existe un enfoque definido universalmente para gestionar los riesgos relacionados con la conducta, se deben tener en cuenta dos riesgos clave:

  • El riesgo de que las instituciones de la industria de servicios financieros y sus empleados dañen a los clientes o afecten negativamente la integridad del mercado financiero.
  • El riesgo de un incidente de relaciones públicas que perjudique la reputación de una institución.

Para comprender la "conducta", es fundamental tener en cuenta al empleado a quien se le asigna la responsabilidad de alcanzar resultados positivos tanto para la institución como para los clientes que confían en los productos y servicios de la institución. La mayoría de los empleados cumplen con esta responsabilidad de buena fe, sin embargo, existen numerosos ejemplos que demuestran lo contrario. En esos casos, el empleado contribuyó a incrementar el riesgo en lugar de crear más valor, es decir, su conducta representó un riesgo para la organización al dañar la reputación de la institución, el mercado y los clientes.

En respuesta a esto, muchos líderes de seguridad propondrían desarrollar o fortalecer sus programas contra amenazas internas. En esta situación, un colega de gestión del riesgo podría también proponer tomar medidas para fortalecer su programa de riesgo relacionado con la conducta. Ambos roles tendrán la responsabilidad de proteger a la organización, y asimismo se enfocarán en los empleados para reducir la exposición al riesgo. La precedencia sugiere que estos esfuerzos distintivos y a veces aislados podrían desarrollarse a lo largo de un camino desigual pero paralelo. En realidad, se trata de esfuerzos complementarios que, combinados, pueden ser más eficaces e impulsar explícitamente su objetivo común de proteger a las instituciones y los clientes.

¿Cómo hacemos esto?  

En conclusión, los líderes de seguridad deben tomar la iniciativa al restructurar el problema de las amenazas internas a través de la lente del riesgo relacionado con la conducta.

  • Redefinir la unidad de medida: No se puede ver a los empleados (es decir, los usuarios o empleados) como una amenaza inherente de la institución. Al cambiar el enfoque para comprender la conducta, en lugar de medir las violaciones a las políticas, los líderes reconocen la naturaleza dinámica de las actividades de los empleados que oscilan entre crear valor y contribuir al riesgo.
  • Desarrollar la cobertura de la recopilación de datos: Sacar provecho de las capacidades de monitoreo de la actividad de los usuarios (UAM) existentes para entender continuamente las acciones de los empleados y su posible impacto en las actividades comerciales. Colaborar de cerca con los gerentes de riesgo para identificar nuevas fuentes de datos que normalmente no están contempladas por las herramientas de seguridad que pueden ayudar a comprender más integralmente al empleado. Esto puede incluir datos provenientes de aplicaciones comerciales, otras fuentes de monitoreo como la vigilancia comercial, así como datos de desempeño de RR. HH.
  • Entender mejor el riesgo mediante el contexto: Sacar provecho de los análisis diseñados cuidadosamente para correlacionar y establecer relaciones significativas entre puntos de datos que de lo contrario serían dispares. Esto permite a las instituciones aumentar su comprensión al sacar a la luz los indicadores de riesgo detectándolos de manera temprana. Invertir en soluciones de análisis que indaguen exhaustivamente y brinden datos sobre conductas inadecuadas/actividades fraudulentas y comportamiento humano, dejando rastros e indicadores de advertencia tempranos que solo suelen encontrarse en actividades de investigación posteriores al incidente.
  • Pasar de una postura reactiva a una proactiva: Contar con controles de instrumentos basados en la comprensión del riesgo a nivel de cada empleado. Los líderes de seguridad deben automatizar la aplicación escalonada (y la reducción) de las políticas de seguridad en todo el entorno, a la vez que permiten que los gerentes de riesgo en la primera línea de defensa tomen decisiones fundamentadas.

Actores Clave

  • Seguridad: Anide el programa contra amenazas internas en el marco de riesgo relacionado con la conducta. Promueva la aceptación de los ejecutivos y garantice que las inversiones en seguridad y los procesos comerciales se alineen debidamente. 
  • Cumplimiento: Son los propietarios del marco de riesgo relacionado con la conducta. Los líderes de seguridad deben trabajar de manera proactiva y colaborativa con las unidades de negocios y cumplimiento para determinar los roles de valor agregado en las líneas operativas de defensa. Algunos ejemplos incluyen:
    • 1.° línea: medición del riesgo, correlación/agregado y priorización, controles
    • 2.° línea: informes de riesgo empresarial, gestión, desarrollo de políticas
    • 3.° línea: auditoría Interna
  • Director de Riesgos: Es el responsable de la mitigación general de la postura de riesgo.

A medida que los líderes de seguridad siguen desarrollando sus estrategias, se les exige cada vez más que tracen líneas claras que justifiquen cómo las inversiones relacionadas brindan un valor comercial demostrable en toda la organización. Al relacionar las iniciativas de seguridad con la estrategia de riesgos relacionados con la conducta más amplia, podemos probar el valor no solo para la institución, sino para los organismos reguladores que la supervisan.

Homayun Yaqub

Homayun Yaqub is Forcepoint’s Senior Security Strategist with more than 20 years of security experience in the US military, government and private sector. Prior to Forcepoint, Yaqub led JPMorgan Chase & Company’s Global Safeguard Program a firm-wide initiative to analyze interactions between...

Leer más artículos de Homayun Yaqub

Acerca de Forcepoint

Forcepoint es la compañía líder en ciberseguridad de protección de datos y usuarios, encargada de proteger a las organizaciones a la vez que impulsa la transformación digital y el crecimiento. Nuestras soluciones se adaptan en tiempo real a la manera en que las personas interactúan con los datos, y proporcionan un acceso seguro a la vez que permiten que los empleados generen valor.