La seguridad en el sector retail ecuatoriano: prioridades y aspectos críticos.

Por Raúl González Carrión, Socio en Risk, Governance & Compliance firma miembro de Russell Bedford.04

En la última encuesta sobre Tendencias y Prioridades IT Ecuador 2024, realizada por IT ahora y la consultora EY, que hace referencia al sector de productos de consumo, distribución y retail, se identificaron los tres principales objetivos que las empresas planean cumplir para el período 2024-2026: crecer mediante nuevos productos y servicios (11%), acelerar la innovación (9%) y rentabilizar la operación (9%).

Esos tres ejes visibles son un catalizador que abre un espectro de atención sobre aspectos de seguridad de la información y ciberseguridad.  Dado el crecimiento exponencial del comercio electrónico y la digitalización de los servicios, también han aumentado las amenazas cibernéticas, demandando a las empresas una mayor atención para proteger sus activos e información sensible.

Según la encuesta de Tendencias IT 2024, se ha observado que los temas de “Agile & DevOps”, “Cultura Digital”, “Estrategia Digital”, “Ciencia de Datos y Analítica Avanzada” e “Innovación” presentan un bajo nivel de desarrollo, con una aplicación limitada que se sitúa entre el 20% y el 50%. Debido a estos resultados, es importante enfocarnos en algunas tendencias en seguridad de la información y ciberseguridad que debemos tener en cuenta.

Aumento de ataques de ransomware

Los ataques de ransomware han aumentado en frecuencia y sofisticación, impactando a empresas de todo tipo. Según una encuesta de seguridad realizada por IT ahora y Deloitte, el 68% de las empresas del sector privado ecuatoriano consideran los ataques de ransomware como una de sus mayores preocupaciones. Los atacantes encriptan datos críticos y demandan pagos para liberarlos, afectando la continuidad de las operaciones y la confianza de los clientes.

Los atacantes encriptan datos críticos y demandan pagos para su liberación. En Ecuador, empresas de diferentes tamaños han sido víctimas, afectando la continuidad de las operaciones y la confianza de los clientes.  Frente a ello, es importante la implementación de estrategias de respaldos robustas y planes de respuesta ante incidentes.

Adopción de Inteligencia Artificial y Machine Learning

Las tecnologías de inteligencia artificial (IA) y machine learning (ML) están revolucionando la ciberseguridad, permitiendo la detección y respuesta proactiva a amenazas. En el sector retail, estas tecnologías pueden analizar grandes volúmenes de datos para identificar patrones inusuales y prevenir ataques. En Ecuador, algunas empresas están comenzando a adoptar estas tecnologías, aunque su uso sigue siendo limitado en comparación con otros países de la región. Solo el 37% de las compañías considera la IA en sus estrategias de seguridad, lo que sugiere una gran oportunidad de mejora.

Seguridad en la nube

La migración a servicios en la nube ha aumentado, ofreciendo flexibilidad y eficiencia operativa, pero también introduce nuevos desafíos de seguridad. En Ecuador, el uso de la nube está en crecimiento, pero la concienciación sobre las mejores prácticas de seguridad necesita fortalecerse. Las empresas deben asegurarse de mantener esquemas de respaldo y garantizar la disponibilidad de la información almacenada, ya que los proveedores de servicios en la nube no siempre realizan respaldos de los datos almacenados.

Los temas de nube son tan importantes como la analítica de datos con un 79% y un 73% de importancia respectivamente para las organizaciones.

Protección de datos personales

La protección de datos personales es crítica, especialmente con la creciente preocupación por la privacidad del consumidor. Legislaciones como el GDPR en Europa y la LGPD en Brasil han influido en regulaciones locales. En Ecuador, la Ley Orgánica de Protección de Datos exige que la protección de datos sea considerada desde el diseño y por defecto. Las empresas deben cumplir con estos marcos regulatorios para evitar sanciones y mantener la confianza del cliente. Según la encuesta Estado Actual de la Ciberseguridad Ecuador 2024, los hallazgos más relevantes en protección de datos son la identificación de actividades de tratamiento (13%), la definición de políticas de gestión de datos personales (12%) y la nominación de delegados de protección de datos (11%).

Adicionalmente, se indica que la habilidad de seguridad más seleccionada como requerida por las organizaciones es de protección de datos con un 63%.

Ciberseguridad en el comercio electrónico

Impulsado por la pandemia y los cambios en el comportamiento del consumidor, el comercio electrónico está en continuo crecimiento, aumentando también el fraude y el robo de información. Las empresas deben implementar protocolos de seguridad robustos, como la autenticación multifactor (MFA) y la encriptación de datos sensibles para enfrentar a los nuevos vectores de ataques. Las principales barreras incluyen presupuestos limitados (11%), falta de agenda en transformación digital (8%) y ausencia de alineación estratégica (7%).

Puntos críticos

Gestión de riesgos: Identificar, analizar, evaluar y administrar riesgos de forma periódica. Mantener un inventario actualizado de activos críticos es fundamental, aunque la inversión en gobierno, riesgo y cumplimiento sea una de las últimas prioridades según la encuesta (5%).

Capacitación y concienciación: El factor humano es a menudo el eslabón más débil en la cadena de seguridad. Programas continuos de capacitación y concienciación sobre ciberseguridad son esenciales. Preocupa que los temas de recursos humanos sean una de las últimas prioridades (4%).

Tecnologías de seguridad avanzadas: El uso de tecnologías como firewalls de próxima generación, sistemas de prevención de intrusos (IPS) y soluciones de seguridad endpoint son esenciales para detectar y mitigar amenazas.

Políticas y procedimientos de seguridad: Establecer políticas claras para la gestión de la seguridad de la información, incluyendo políticas de acceso, uso de dispositivos y gestión de incidentes.

Las empresas en Ecuador deben trabajar en desarrollar y formalizar estas políticas para fortalecer su postura de seguridad.

Actualización continua: Mantenerse informado sobre nuevos vectores de ataques y participar en foros y eventos sobre ciberseguridad. Las iniciativas de concienciación, evaluación de riesgos y definición de estrategias de ciberseguridad han sido destacadas en las últimas encuestas.

Cumplimiento y regulaciones: Estar atentos a las nuevas regulaciones, especialmente en protección de datos personales y cualquier otra regulación o normativa que pueda aplicar y que de pronto se podría incluir.

La ciberseguridad y la seguridad de la información son esenciales para el sector de consumo y retail en Ecuador. Las empresas deben adoptar estrategias proactivas y tecnologías avanzadas para proteger sus activos y datos. La gestión de riesgos, la capacitación continua, la implementación de tecnologías de seguridad avanzadas y el desarrollo de políticas claras son fundamentales para una postura de seguridad robusta.

Ecuador, aunque aún en desarrollo en comparación con otros países de la región, tiene el potencial de avanzar rápidamente mediante la adopción de mejores prácticas y la colaboración regional. Con la entrada en vigor de la Ley Orgánica de Protección de Datos, hay una razón adicional para priorizar la seguridad de la información. La alta dirección de las empresas debe estar plenamente informada y comprometida con estos esfuerzos para asegurar un entorno seguro y resiliente.