En BigIDeas en movimientoOmkhar Arasaratnam, director de ingeniería de seguridad en la nube de Google, comparte conocimientos de su carrera en seguridad y servicios financieros, habla sobre la interacción entre la privacidad y la protección, y ofrece sus ideas sobre la migración a la nube en servicios financieros.
Picado por el “virus de la seguridad”
Arasaratnam describe su carrera como una especie de "sándwich tecnológico" que lo llevó de IBM, donde fue evaluador de penetración, al sector financiero y de vuelta al sector tecnológico en Google, donde actualmente desarrolla controles de software para clientes que utilizan Google Cloud Platform (GCP). Durante este periodo, dirigió equipos de ingeniería de seguridad en TD Bank, Deutsche Bank, Credit Suisse y JP Morgan.
Regulaciones en FinServ: una evolución de los derechos
Al principio de la carrera de Arasaratnam, las respuestas de las empresas a regulaciones como la Ley Gramm-Leach-Bliley (GLBA) y la Ley Sarbanes-Oxley (SOX) se centraron en “la integridad de los controles cuando se trata de informes financieros… y, debido a eso, gran parte de la responsabilidad recae en el director financiero”.
Arasaratnam vio un panorama diferente mientras trabajaba en el sistema bancario europeo. «A finales de la década de 2010, adoptaron un enfoque ligeramente diferente y se centraron mucho más en la privacidad. El sector financiero empezó a preocuparse mucho más por cómo se gestionaba la información personal identificable (PII) de sus clientes y empleados».
Ahora, años después, el estado evolutivo de derechos de datos está influyendo aún más en los bancos y otras organizaciones de servicios financieros. “A nivel nacional, todos estamos esperando ver cómo la nueva administración puede considerar un nivel federal de protección de la privacidad, y ya estamos viendo muchos cambios que se están realizando con respecto a CCPA “[La Ley de Privacidad del Consumidor de California]”, dice Arasaratnam.
Realmente está cambiando la perspectiva del sector financiero en cuanto a cómo se gestiona esa información de identificación personal (PII). Casi dábamos por sentado que ciertos tipos de información… podrían utilizarse dentro del sector financiero para mejorar el marketing, la segmentación y cosas por el estilo. Debido a regulaciones como GDPR“Al igual que la CCPA, la actitud al respecto está cambiando mucho”.
La intersección entre la protección de datos y la privacidad de datos
Los esfuerzos de protección de datos, desde enmascarar los datos hasta restringir el acceso, cada vez más deben trabajar de la mano con principios de privacidad de datos como no vender y no transferir, y esa alineación puede presentar una interacción complicada.
“Cada vez más”, dice Arasaratnam, “tendremos que depender de la tecnología para hacerlo. No será una persona ni un grupo de personas las que tomen estas decisiones”. La realidad emergente es “que la elección de las personas —la autonomía que las personas desean para tener voz y voto sobre lo que ocurre con sus PII — es realmente lo que representa gran parte de la legislación sobre privacidad que vemos hoy en día”.
Citando la sabiduría de la Dra. Ann Cavoukian, creadora de la Privacidad por Diseño, Arasaratnam describe la privacidad como «que usted, como individuo, tenga la autonomía para dar su consentimiento informado sobre lo que desea que se haga con su Información Personalmente Identificable». La confidencialidad, por otro lado, «resulta ser la protección o los controles que implementamos, en caso de que no desee divulgarla».
Por ejemplo, Arasaratnam comenta: «Si les revelara voluntariamente a ustedes y a los oyentes de este podcast que tengo asma, sería mi decisión. Sin embargo, no querría que esa decisión se tomara en mi nombre».
Hoy en día, muchas empresas se han creado con la idea de que podemos optimizar la segmentación publicitaria y ofrecer a los consumidores contenido más personalizado basado en lo que hemos podido inferir sobre sus preferencias mediante el procesamiento de información personal identificable (PII). Creo que esto se volverá cada vez más interesante con el tiempo. A medida que aumenta el consentimiento informado, los patrones de las personas podrían cambiar ligeramente, lo que, desde la perspectiva del sector financiero, también significa que algunas áreas que antes se monetizaban podrían empezar a cambiar.
Oportunidades para migrar a la nube en FinServ
Si bien se suele pensar que los servicios financieros dudan en migrar sus datos a la nubeArasaratnam tiene una interpretación diferente.
Creo que muchas empresas del sector financiero ven la migración a la nube como una oportunidad. Es muy fácil incorporarse a un agente de cambio paralelo. Así que, si quiero refactorizar mi aplicación, una gran oportunidad es migrarla a la nube. Y si quiero refactorizar mi aplicación para que permita mejores controles de privacidad, ese es el camino que muchas empresas del sector financiero están siguiendo.
Desde la perspectiva de Arasaratnam, se trata de lógica darwiniana y de la supervivencia del más apto. «Quienes evolucionen más rápido y se adapten a este nuevo cambio e impulso —y quizás incluso encuentren otras maneras de diferenciar su marca mediante una mayor privacidad y una mayor autonomía para el cliente— serán quienes acaben siendo líderes del mercado».
Escucha el podcast completo para descubrir cómo Arasaratnam piensa que las organizaciones financieras continuarán evolucionando para adaptarse a las regulaciones emergentes, así como la forma única en que les enseña a sus niños nativos digitales la importancia de la privacidad de los datos y la alfabetización en seguridad.