Modelos de negocio del sector comercio y retail: Un desafío para la ciberseguridad.

Por: Héctor Trujillo Granados, Auditor Interno de Tecnología y Seguridad Grupo DIFARE

Con la digitalización y los nuevos modelos de atención al cliente, el sector comercio-retail en Ecuador está adoptando prácticas de transformación digital, impulsadas principalmente por los avances tecnológicos y las cambiantes expectativas de los consumidores. Estas prácticas incluyen la adopción de canales digitales como páginas web y aplicaciones móviles, análisis de datos, inteligencia artificial, aprendizaje automático y tecnologías emergentes. El objetivo es mejorar la experiencia del cliente, crear nuevas oportunidades de negocio, aumentar la eficiencia y reducir costos. Sin embargo, es importante que el sector evalúe cuidadosamente los riesgos potenciales asociados a la adopción de estos nuevos modelos de atención antes de su implementación.

Un reciente informe de ciberseguridad elaborado por un proveedor de soluciones de seguridad revela que Ecuador ocupa el tercer lugar entre los países de América Latina con mayor riesgo cibernético. Además, se ha identificado que cada 11 segundos ocurre un ciberataque a una empresa en Latinoamérica, estadísticas que generan preocupación tanto en el sector como en la región.

No obstante, estos no son los únicos desafíos que enfrenta el sector. También existen otros factores relevantes, como presupuestos limitados, infraestructura obsoleta o fuera de soporte, escasez de profesionales en ciberseguridad y la falta de concienciación en este ámbito. Esta última debe ser una prioridad, ya que el factor humano es el eslabón más débil en esta cadena y representa la principal puerta de entrada para los ciberataques en las empresas.

Entre las amenazas asociadas a estos nuevos modelos de atención se encuentran los ataques de denegación de servicio (DDoS), ataques de inyección SQL, clonación de sitios web y aplicaciones móviles, fuga de información, robo de credenciales e incumplimiento de las leyes de privacidad de datos, entre otros.

Si bien la digitalización y la adopción de nuevos modelos de atención al cliente presentan riesgos, también existen estrategias efectivas para mitigarlos. La precaución es fundamental, pero debe ir acompañada de estrategias de seguridad y ciberseguridad sólidas y adaptables que evolucionen al ritmo de las nuevas tecnologías y amenazas. Implementar herramientas tecnológicas es crucial, pero no es suficiente. El éxito depende del compromiso de la alta dirección y de todo el equipo, recordando que la seguridad es una responsabilidad compartida.

No existe una estrategia o buena práctica única; las empresas deben adaptar su estrategia dependiendo de varios factores, tales como: los objetivos estratégicos y de negocio de la organización, el panorama actual de amenazas, la infraestructura implementada, los conocimientos y experiencia del equipo, su nivel de madurez, y los recursos disponibles, que a menudo son limitados.

Teniendo en cuenta estos factores, la siguiente fase consiste en identificar los riesgos específicos a los que estamos expuestos e identificar los controles establecidos para cada uno, permitiendo descubrir fortalezas y debilidades. Esta evaluación proporcionará una visión completa de las diferentes capas de ciberseguridad implementadas, destacando las áreas que requieren refuerzo y brindando información sobre la eficacia de la protección de los activos de la organización.

En el complejo panorama actual de ciberseguridad, especialmente para las empresas del sector, la estrategia de defensa en profundidad (DiD) se mantiene como una herramienta fundamental, especialmente para las empresas del sector, para proteger sus activos y operaciones críticas.

Hoy en día, una única capa de protección es insuficiente para afrontar las sofisticadas ciberamenazas. La estrategia de defensa en profundidad (DiD) se basa en la implementación de múltiples capas de controles interconectados, diseñados para proteger los aspectos físicos, técnicos y administrativos de la red. Esto permite que, si una línea de defensa es vulnerada, las siguientes capas actúen como un escudo impenetrable, bloqueando el avance de las amenazas. Además, la DiD proporciona un diseño de seguridad integral, capaz de enfrentar las tácticas cada vez más sofisticadas y automatizadas de los ciberdelincuentes.

Para fortalecer su postura de ciberseguridad y protegerse de las ciberamenazas que están en constante evolución, las empresas del sector comercio-retail deben aprovechar tecnologías innovadoras de vanguardia, como el aprendizaje automático, la inteligencia artificial, blockchain y el análisis de comportamiento conocido como UEBA (User and Entity Behavior Analytics). Estas tecnologías les permite detectar y prevenir amenazas de manera más efectiva, brindándoles una ventaja crucial en el panorama de ciberseguridad actual. La importancia de estas herramientas radica en su capacidad para adaptarse y responder a los desafíos emergentes, ofreciendo una protección integral contra las ciberamenazas sofisticadas.

Estas tecnologías innovadoras permiten detectar y prevenir eficaz y proactivamente posibles incidentes de ciberseguridad, superando las limitaciones de los sistemas tradicionales. Los fabricantes están constantemente desarrollando nuevas soluciones que aprovechan tecnologías emergentes para abordar amenazas sofisticadas que antes eran difíciles o imposibles de identificar.

Las nuevas soluciones de ciberseguridad son esenciales para enfrentar el panorama de ciberamenazas en constante evolución, pero no son el único elemento para garantizar un entorno seguro y resiliente. Es fundamental contar con una estrategia integral de ciberseguridad que incluya la capacitación continua del personal, la implementación de controles de seguridad adecuados y la realización de pruebas y evaluaciones periódicas.