Ciberseguridad de las family offices

En múltiples encuestas realizadas a usuarios de software para family offices, la ciberseguridad es sistemáticamente el tema de preocupación más importante y comúnmente identificado. La posible violación del sistema informático de la family office y la pérdida de datos confidenciales no dejan dormir a muchos de sus empleados.

Y por una buena razón. Una encuesta de Boston Private titulada Surveying the Risk and Threat Landscape to Family Offices reveló que el 26% de las family offices han sufrido un ciberataque. Mientras que los marcos de seguridad tradicionales se centran en cumplir las obligaciones de conformidad y evitar el acceso no autorizado a datos confidenciales, la ciberseguridad en 2022 es más compleja y más completa. La protección frente a las filtraciones de datos y la pérdida de datos confidenciales no es más que uno de los componentes de un marco de ciberseguridad completo y polifacético.

Al igual que el papel de la family office ha evolucionado a lo largo de los años, también lo han hecho sus responsabilidades. Hoy en día, las family offices ofrecen a los clientes algo más que características y funciones. Las family offices también deben proporcionar la infraestructura, las certificaciones del sector y las operaciones necesarias para respaldar las operaciones seguras y certificadas que exigen sus clientes. Las family offices deben demostrar que los datos altamente confidenciales de sus clientes están seguros y que sus operaciones soportan la recuperación de desastres y la continuidad del negocio de clase mundial.

Las empresas de software para family offices deben adoptar ahora un enfoque más holístico para proteger a las family offices de una serie de amenazas empresariales, como ciberataques, filtraciones de datos y agentes malintencionados internos y externos, al tiempo que deben hacer frente a las obligaciones de cumplimiento, auditoría y gobernanza. Las empresas sensatas son conscientes de que deben proporcionar a sus clientes acceso a los últimos avances en ciberseguridad y, al mismo tiempo, mantener un mayor control sobre los datos de los clientes y seguir ofreciéndoles flexibilidad en sus operaciones de seguridad.

El alcance de la family office se extiende más allá de su software y sus datos en el mundo conectado de hoy. Las family offices multifamiliares (MFO) quieren ofrecer acceso e integración sin fisuras (API) en los sistemas internos de sus distintos clientes. Sus clientes quieren utilizar estas API para acceder a los registros de gobernanza y uso para integrarlos en sus herramientas corporativas de cumplimiento y gobernanza.

En consecuencia, las MFO quieren marcos de ciberseguridad más dinámicos y flexibles. Por supuesto, esperan una seguridad de vanguardia de los datos y los sistemas. Pero los MFO modernos también pretenden utilizar estas capacidades para diferenciar sus servicios y posicionar mejor sus ofertas para sus clientes, destacándolas durante el ciclo de ventas para conseguir nuevos acuerdos. Además, utilizan la infraestructura y las ofertas de sus proveedores de SaaS para cumplir sus obligaciones contractuales, como las pruebas de penetración, el cumplimiento de SOC2, el seguimiento del acceso a datos confidenciales, etc.

Entre los requisitos esenciales de ciberseguridad de las family offices que se esperan del proveedor de SaaS para family offices se incluyen los siguientes:

• Flexibilidad que se adapta a distintas necesidades de seguridad: Los proveedores de software reconocen que un modelo de seguridad no sirve para todos. Algunas family offices tienen requisitos muy sofisticados y necesitan un software de family office que se integre perfectamente en sus marcos de cumplimiento y supervisión del uso de identidades. Otros requieren que el SaaS para family offices ofrezca intrínsecamente un servicio de seguridad seguro y gestionado, que incluya el cumplimiento de la norma SOC 2 y la gestión de incidentes de seguridad.

• Servicios gestionados de ciberseguridad para family offices: La seguridad y el cumplimiento son las principales preocupaciones de las organizaciones que se trasladan a la nube. Con una solución SaaS, el proveedor de SaaS se encarga de los parches, el mantenimiento y las vulnerabilidades de seguridad, lo que libera a la family office de esta responsabilidad y reduce sustancialmente la carga operativa y el riesgo de la family office. Imagínese no tener que preocuparse de si el equipo de InfoSec de la family office (que también suele tener menos experiencia que un equipo de InfoSec en una organización SaaS) aplicó el último parche para defenderse de una reciente vulnerabilidad de software viral o de un malware que está haciendo caer los servicios de Internet. Estos servicios gestionados incluyen recuperación ante desastres y apoyo a la continuidad del negocio, lo que mitiga el riesgo adicional para la oficina.

• Madurez heredable (cumplimiento de las normas de seguridad del sector y de las obligaciones legales y contractuales): Muchos clientes de software para family offices exigen el cumplimiento de normas industriales aceptadas como SOC 2, ISO 27001 y otras. Las family offices también deben cumplir los requisitos nacionales de residencia de datos soberanos. Además, necesitan cumplir con leyes de protección de datos como GDPR en la UE, CCPA en California y NY DFS. La madurez heredable permite a las family offices heredar la infraestructura y la madurez y certificaciones de seguridad de su proveedor de SaaS, al tiempo que la aprovechan para sus propios objetivos empresariales.

• Control del cliente sobre los datos: Para satisfacer las distintas necesidades de sus clientes, las family offices deben unirse a otras empresas FinTech que permiten a los clientes suministrar su propia clave de cifrado, es decir, Customer Supplied Encryption Key (CSEK). Las family offices utilizan la CSEK para tener un 100% de confianza en el control de los datos y asegurar a sus clientes que sólo el personal autorizado puede acceder a sus datos, ya que ellos controlan las claves de cifrado. Además, las MFO desean tener la flexibilidad de segregar los diferentes datos de los clientes que son gestionados por varios socios utilizando claves de cifrado únicas y separadas para cada cliente y relación.

• Supervisión de acceso a nivel de transacción que se integra con las herramientas de gobierno de los clientes: Los proveedores de SaaS para OFS/FM deben proporcionar una excelente supervisión del acceso a nivel transaccional. Esto permite a sus clientes cumplir con sus obligaciones de control del acceso a datos confidenciales. Sus clientes desean extraer estos registros de acceso e integrarlos con sus informes y herramientas de gobernanza y cumplimiento para supervisar el acceso. Con este dinamismo y capacidades mejoradas, los clientes pueden rastrear y analizar las transacciones con mayor granularidad e integrar estos metadatos y telemetría en capacidades adicionales de gobernanza e informes. Estos informes y análisis ayudan a mejorar la gobernanza y a comprender mejor el comportamiento de los usuarios.

• Seguridad nativa en la nube que permite sofisticados protocolos de autorización y acceso: Una integración nativa en la nube de Azure Active Directory, como en AtlasFive®, permite a un equipo dar soporte a requisitos muy complejos de sus clientes, complejidad que no es posible con los modelos tradicionales de SSO. Por ejemplo, una institución financiera global puede querer separar su modelo de autorización SSO para sus usuarios del modelo de autorización para los inicios de sesión de sus clientes. Un marco de seguridad de primer nivel permitirá a esta institución tener tres dominios de seguridad separados: uno para que los usuarios accedan a la plataforma de family office, otro directorio activo para los clientes (separándolos del directorio activo interno) y un tercero para el equipo de operaciones que gestiona su sistema SaaS.

A continuación puede verse un esquema de dicho marco de ciberseguridad para family offices. El software, las características y las funciones están "por encima del iceberg", y la seguridad está "por debajo del iceberg".

Para seguir siendo relevante, la family office moderna tendrá que evolucionar en el ámbito de sus servicios, y con esos nuevos servicios vienen nuevas responsabilidades. A medida que la family office desempeña funciones cada vez más amplias para sus clientes, debe centrarse en la seguridad para aliviar la creciente preocupación de los clientes por las violaciones de datos. Las family offices entienden esta preocupación de los clientes, ya que el 57% de las family offices de la encuesta Boston Private han identificado el riesgo cibernético como uno de los riesgos más importantes a los que se enfrentan.

La seguridad -y, más concretamente, la ciberseguridad- está pasando de ser una "idea de última hora" a una piedra angular del discurso de ventas de las family offices. Las oficinas que no respondan a esta transición con una plataforma digital flexible, como AtlasFIve, y marcos de seguridad de primera clase se volverán vulnerables e incluso obsoletas. En este nuevo entorno de seguridad en constante cambio, las family offices necesitan algo más que una aplicación de family office; necesitan una family office digital segura y certificada por el sector.