Ciberseguridad de Family Office

En múltiples encuestas realizadas a usuarios de software para oficinas familiares, la ciberseguridad es siempre el tema de preocupación más importante y comúnmente identificado. La posible violación del sistema de TI de la oficina familiar y la pérdida de datos confidenciales mantienen despiertos a muchos miembros del personal de la oficina familiar por la noche.

Y por una buena razón. Una encuesta privada de Boston titulada Estudio del panorama de riesgos y amenazas para las oficinas familiares descubrió que el 26% de las oficinas familiares han sufrido un ciberataque. Si bien los marcos de seguridad tradicionales se centran en cumplir con las obligaciones de cumplimiento y evitar el acceso no autorizado a los datos confidenciales, la ciberseguridad en 2022 es más compleja y completa. La protección contra las filtraciones de datos y la pérdida de datos confidenciales es solo un componente de un marco de ciberseguridad completo y multifacético.

Así como la función de la family office ha evolucionado a lo largo de los años, también lo han hecho sus responsabilidades. En la actualidad, las family offices ofrecen más a los clientes más que solo características y funciones. Las oficinas familiares también deben proporcionar la infraestructura, las certificaciones industriales y las operaciones necesarias para respaldar las operaciones seguras y certificadas que exigen sus clientes. Las oficinas familiares deben demostrar que los datos altamente confidenciales de sus clientes están seguros y que sus operaciones respaldan la recuperación ante desastres y la continuidad empresarial de primer nivel.

Las empresas de software para oficinas familiares ahora deben adoptar un enfoque más holístico para proteja a las oficinas familiares de una serie de amenazas empresariales, incluidos los ciberataques, las filtraciones de datos y los malos actores internos y externos, y, al mismo tiempo, se ocupan de las obligaciones de cumplimiento, auditorías y gobernanza. Las empresas sensatas reconocen que deben proporcionar a sus clientes acceso a los últimos avances en ciberseguridad y, al mismo tiempo, mantener un mayor control sobre los datos de los clientes y, al mismo tiempo, ofrecer a los clientes flexibilidad en sus operaciones de seguridad.

El alcance de la oficina familiar se extiende más allá de su software y datos en el mundo conectado actual. Las oficinas multifamiliares (MFO) desean ofrecer un acceso e integración (API) perfectos en los sistemas internos de sus diversos clientes. Sus clientes desean usar estas API para acceder a la gobernanza y usar los registros para integrarlos en sus herramientas corporativas de cumplimiento y gobierno.

Como resultado, los MFOs quieren marcos de ciberseguridad más dinámicos y más flexible. Por supuesto, esperan una seguridad de datos y sistemas de última generación. Sin embargo, las MFOs modernas también pretenden utilizar estas capacidades para diferenciar sus servicios y posicionar mejor sus ofertas para sus clientes, destacándolas durante el ciclo de ventas para conseguir nuevas ofertas. Además, utilizan la infraestructura y las ofertas de sus proveedores de SaaS para cumplir con sus obligaciones contractuales, como las pruebas abiertas, el cumplimiento de SOC2, el seguimiento del acceso a datos confidenciales y más.

Los requisitos esenciales de ciberseguridad de la oficina familiar que se esperan del proveedor de SaaS de la oficina familiar incluyen los siguientes:

• Flexibilidad que se adapta a las diferentes necesidades de seguridad: Los proveedores de software reconocen que un modelo de seguridad no sirve para todos. Algunas oficinas familiares tienen requisitos muy sofisticados y necesitan un software de oficina familiar que se integre perfectamente en sus marcos de control, cumplimiento y cumplimiento de la identidad. Otros exigen que el SaaS de las oficinas familiares ofrezca de forma inherente un servicio de seguridad seguro y gestionado, que incluya el cumplimiento del SOC 2 y la gestión de incidentes de seguridad.

• Servicios de ciberseguridad gestionados para oficinas familiares: La seguridad y el cumplimiento son las principales preocupaciones de las organizaciones que se trasladan a la nube. Con una solución SaaS, el proveedor de SaaS gestiona las vulnerabilidades de parcheo, mantenimiento y seguridad, lo que exime a la oficina familiar de esta responsabilidad y reduce sustancialmente la carga operativa y el riesgo de la oficina familiar. Imagínese no tener que preocuparse por si el equipo de InfoSec de la oficina familiar (que también suele tener menos experiencia que un equipo de InfoSec en una organización de SaaS) aplicó el último parche para evitar una vulnerabilidad viral reciente de software o un malware que está interrumpiendo los servicios de Internet. Estos servicios gestionados incluyen la recuperación ante desastres y el soporte para la continuidad empresarial, lo que mitiga el riesgo adicional para la oficina.

• Madurez heredable (cumplimiento de las normas de seguridad del sector y cumplimiento de las obligaciones legales y contractuales): Muchos clientes de software para oficinas familiares exigen el cumplimiento de los estándares industriales aceptados, como SOC 2, ISO 27001 y otros. Las oficinas familiares también deben cumplir con los requisitos nacionales de residencia de datos soberanos. Además, deben cumplir con las leyes de protección de datos como el GDPR en la UE, la CCPA en California y el DFS de Nueva York. La madurez heredable permite a las oficinas familiares heredar la madurez y las certificaciones de infraestructura y seguridad de sus proveedores de SaaS y, al mismo tiempo, aprovecharlas para sus propios objetivos comerciales.

• Control del cliente sobre los datos: Para satisfacer las diferentes necesidades de sus clientes, las oficinas familiares deben unirse a otras empresas de tecnología financiera que permiten a los clientes proporcionar su propia clave de cifrado, es decir, la clave de cifrado proporcionada por el cliente (CSEK). Las oficinas familiares utilizan CSEK para tener un 100% de confianza en el control de los datos y garantizar a sus clientes que solo el personal autorizado puede acceder a sus datos, ya que controlan las claves de cifrado. Además, las MFO desean tener la flexibilidad de segregar los diferentes datos de los clientes que administran varios socios mediante claves de cifrado únicas y separadas para cada cliente y relación.

• Monitoreo de acceso a nivel de transacción que se integra con las herramientas de gobierno de los clientes: Los proveedores de SaaS de SFO/MFO deben proporcionar una excelente supervisión del acceso a nivel transaccional. Esto permite a sus clientes cumplir con las obligaciones de gobierno de rastrear el acceso a los datos confidenciales. Sus clientes desean extraer estos registros de acceso e integrarlos con sus informes y herramientas de gobierno y cumplimiento para monitorear el acceso. Con este dinamismo y capacidades mejoradas, los clientes pueden rastrear y analizar las transacciones con mayor granularidad e integrar estos metadatos y telemetría en capacidades adicionales de gobierno e informes. Estos informes y análisis ayudan a mejorar la gobernanza y a comprender mejor el comportamiento de los usuarios.

• Seguridad nativa de la nube que permite protocolos sofisticados de autorización y acceso: Una integración de Azure Active Directory nativa de la nube, como en AtlasFive®, permite a un equipo cumplir con los requisitos muy complejos de sus clientes, una complejidad que no es posible con los modelos de SSO tradicionales. Por ejemplo, una institución financiera global puede querer separar su modelo de autorización de SSO para sus usuarios del modelo de autorización para los inicios de sesión de sus clientes. Un marco de seguridad de primer nivel permitirá a esta institución tener tres dominios de seguridad separados: uno para que los usuarios accedan a la plataforma de la oficina familiar, otro directorio activo para los clientes (que los separa del directorio activo interno) y un tercero para el equipo de operaciones que administra su sistema SaaS.

A continuación se muestra un esquema de este tipo de marco de ciberseguridad para oficinas familiares. El software, las características y las funciones están «por encima del iceberg» y la seguridad está «por debajo del iceberg».

Para seguir siendo relevante, la oficina familiar moderna tendrá que evolucionar su alcance de servicios, y esos nuevos servicios conllevan nuevas responsabilidades. A medida que la family office desempeña funciones cada vez más amplias para sus clientes, debe centrarse en la seguridad para aliviar las crecientes preocupaciones de los clientes por las filtraciones de datos. Las oficinas familiares comprenden esta preocupación de los clientes, y el 57% de las oficinas familiares de la encuesta de Boston Private identificaron el riesgo cibernético como uno de los riesgos más importantes a los que se enfrentan.

La seguridad, y más específicamente, la ciberseguridad, está pasando de ser una «idea de último momento» a convertirse en la piedra angular del argumento de venta de las oficinas familiares. Las oficinas que no responden a esta transición con una plataforma digital flexible, como AtlasFive, y marcos de seguridad de primera clase se volverá vulnerable e incluso obsoleto. En este entorno de seguridad nuevo y en constante cambio, las oficinas familiares necesitan más más que una aplicación de family office; necesitan una aplicación segura y certificada por el sector family office digital.