El futuro del retail y comercio inteligente en Ecuador frente a la nueva Ley de Ciberseguridad

Por Víctor Vera, CSIRT Manager y Isaías Tagle, subgerente del SOC de Ondú.

La nueva Ley de Ciberseguridad incorpora conceptos relacionados con gestión de riesgos, resiliencia y continuidad operativa. Su aparición coincide con un momento en el que el retail depende cada vez más de plataformas digitales, servicios externos e infraestructuras interconectadas.

Puntos de interés

• Más integración, más puntos de interrupción
• Riesgo, resiliencia y continuidad
• Disponibilidad y capacidad de recuperación
• Disponibilidad y capacidad de recuperación
• Terceros, gobierno de datos y capacidades organizacionales

La automatización, la analítica, la inteligencia artificial y las plataformas digitales forman parte de la operación de muchas empresas de retail. Inventarios, pagos, logística, comercio electrónico y canales de atención intercambian información de forma constante y sostienen buena parte de la actividad comercial.

Esta integración incrementa la dependencia de infraestructura tecnológica y de proveedores que participan directamente en procesos críticos para el negocio. La nueva Ley de Ciberseguridad incorpora elementos relacionados con gestión de riesgos, resiliencia y continuidad operativa, presentes en decisiones vinculadas con tecnología, protección de información y disponibilidad de servicios.

La infraestructura tecnológica que sostiene al retail atraviesa un proceso de transformación impulsado por la integración de servicios y plataformas.

La incorporación de nuevos procesos tecnológicos incrementa los puntos de acceso e interconexión entre la infraestructura y los componentes que soportan la operación. Esto demanda un mayor control sobre la superficie de ataque y una administración más rigurosa de los entornos híbridos que forman parte de la arquitectura tecnológica.

La integración de plataformas permite compartir información entre distintas áreas del negocio y conectar procesos que anteriormente funcionaban de forma independiente. También incorpora nuevos puntos de interacción entre sistemas, usuarios y proveedores tecnológicos.

Más integración, más puntos de interrupción

La dependencia de plataformas digitales amplía los escenarios que pueden afectar la operación de una empresa.

Entre los principales puntos de interrupción figuran la caída de plataformas de comercio electrónico, fallas en pasarelas de pago, indisponibilidad de sistemas de inventario, errores de integración con servicios logísticos, incidentes en proveedores cloud, ataques de ransomware, pérdida de conectividad o filtraciones de datos. Cualquiera de estos eventos puede afectar ventas, reputación y cumplimiento normativo.

Parte de esta exposición se encuentra en componentes administrados por terceros. Cuando servicios esenciales dependen de proveedores externos aparecen riesgos asociados a la cadena de suministro tecnológica. A esto se suma la necesidad de contar con capacidades suficientes para atender la demanda de clientes y colaboradores sin afectar el desempeño de los canales digitales.

La disponibilidad de plataformas externas, servicios cloud, operadores logísticos y proveedores tecnológicos influye directamente en la continuidad de la operación. Una interrupción en cualquiera de estos componentes puede generar impactos sobre procesos que dependen de información compartida y servicios interconectados.

Riesgo, resiliencia y continuidad

La nueva Ley de Ciberseguridad incorpora elementos relacionados con gestión de riesgos, resiliencia y continuidad operativa. Para las organizaciones, estos principios tienen implicaciones sobre la forma en que se evalúan proyectos tecnológicos y nuevas inversiones.

Las iniciativas relacionadas con plataformas tecnológicas, analítica o inteligencia artificial incorporan criterios asociados a diseño seguro, capacidad de resistir ataques y mecanismos de protección de datos críticos, además de variables vinculadas con eficiencia y costos.

El uso de metodologías, frameworks y mecanismos de gestión de riesgos aporta una base para evaluar proyectos, soluciones y servicios tecnológicos que involucran distintas áreas del negocio. La ciberseguridad se incorpora dentro de procesos de decisión relacionados con la operación y la continuidad de los servicios.

La gestión de riesgos incluye elementos vinculados con la disponibilidad de servicios, la protección de información y la capacidad de respuesta frente a incidentes que puedan afectar procesos críticos.

Disponibilidad y capacidad de recuperación

La disponibilidad de los servicios y la capacidad de recuperación forman parte de los aspectos que las organizaciones revisan al momento de gestionar riesgos tecnológicos.

Arquitecturas de alta disponibilidad, redundancia de servicios críticos, respaldos inmutables, planes de recuperación ante desastres, gestión de identidades, monitoreo continuo y seguridad de aplicaciones contribuyen a sostener la operación cuando se presentan eventos que afectan la infraestructura tecnológica.

La infraestructura debe considerarse un componente dentro de la gestión del riesgo empresarial. Esto implica incorporar medidas de contingencia, continuidad del negocio, pruebas permanentes y revisiones periódicas sobre la capacidad de recuperación frente a escenarios críticos.

La nube, la automatización y los esquemas de recuperación permiten escalar servicios, restaurar operaciones y mantener procesos críticos en funcionamiento. Su efectividad depende de arquitecturas adecuadas, pruebas periódicas, monitoreo y una gestión definida entre las organizaciones y sus proveedores tecnológicos.

La automatización facilita respuestas coordinadas frente a incidentes operativos o de seguridad, mientras que la medición continua de estas capacidades mediante indicadores y ejercicios de simulación ayuda a verificar su aporte real a la operación.

Terceros, gobierno de datos y capacidades organizacionales

Servicios cloud, plataformas de pago, operadores logísticos y proveedores tecnológicos forman parte de la operación comercial de muchas organizaciones.

La gestión de proveedores requiere mecanismos permanentes de evaluación de riesgos, revisión de niveles de servicio, cumplimiento de controles de ciberseguridad, protección de datos y capacidad de respuesta ante incidentes. Un proveedor puede convertirse en un punto crítico dentro de la operación cuando administra procesos o servicios esenciales para el negocio.

La gobernanza sobre la información y la relación con terceros adquiere un papel relevante. La medición de riesgos asociados a proveedores permite establecer criterios para administrar escenarios que podrían afectar la continuidad de los servicios.

Entre los aspectos que requieren atención figuran la ciberseguridad, el gobierno de datos, el monitoreo de amenazas, la respuesta a incidentes, la continuidad del negocio, la protección de datos personales y la gestión de terceros.

La gestión de riesgos, la protección de la información, la continuidad operativa y la capacidad de recuperación forman parte de los elementos que acompañan las decisiones tecnológicas dentro del sector retail.