Banco Guayaquil: análisis y capacitación constante de ciberseguridad

Share
Rossy Tapia
Gerente de Seguridad Integral de Banco Guayaquil

En un contexto complejo e incierto como la pandemia, el primer desafío para la mayoría de las organizaciones fue habilitar accesos remotos seguros. Para Rossy Tapia, Gerente de Seguridad Integral de Banco Guayaquil, uno de los errores en muchas empresas, por la urgencia de estas implementaciones desde cero, fue no tomar en cuenta aspectos de seguridad como controles de doble o múltiple factor de autenticación. En el caso de Banco Guayaquil, el desafío no fue implementarlo sino ampliar el alcance de las VPN a todos sus colaboradores en tiempo récord. “Existieron reuniones entre los departamentos seguridad integral, riesgos y tecnología para habilitarlos y enviar a los colaboradores trabajar seguros desde casa”.

Para permitir el acceso desde cualquier parte del mundo, su monitoreo de seguridad fue constante y tuvo que evolucionar para visualizar nuevos riesgos y proteger la infraestructura tecnológica de la empresa. Además, implementaron controles que eviten la salida de información sensible desde accesos remotos.

Otro reto que tuvieron las organizaciones fue la comunicación segura y trabajo colaborativo debido a que era necesario balancear la usabilidad y la ciberseguridad. “En un afán por mejorar el trabajo a distancia se han implementado herramientas de colaboración digital libres o propietarias que pueden ser instaladas en cualquier dispositivo fijo o móvil como celulares, tablets y laptops, garantizando la protección de la información”.

Con respecto a la reconfiguración del plan de continuidad del negocio (BCP, por sus siglas en inglés), explica que, si bien invita a mantener la productividad de la empresa ante cualquier adversidad, a continuar brindando lo mejor de sus productos y servicios a los clientes porque ellos son primero, se debe garantizar la seguridad, ante todo.

“Suena fácil agregar la palabra ‘segura’ en un BCP, pero va más allá de eso: se necesita analizar situaciones que se ajusten a cada empresa”. Algunas de las preguntas que permiten generar valiosos insights en este tema pueden ser:

  • ¿Existe una política de teletrabajo?
  • ¿Quiénes deberían tener acceso a la oficina desde casa?
  • ¿Cómo podemos continuar nuestra productividad desde casa de forma segura?
  • ¿Los colaboradores han sido capacitados para responder ante ciberataques como phishing o ingeniería social?
  • ¿Existen áreas que manejan información sensible? ¿Cómo la administrarán de forma remota?
  • ¿Cómo se gestionará el acceso de proveedores? ¿Tendrán un acceso alterno hacia una red segura?
  • ¿Qué aplicaciones se podrán acceder de forma remota y segura?
  • ¿Existen protocolos de virus, malware y de respuesta ante fugas de información?
  • ¿Deben cumplir con alguna normativa o regulación nacional?

La pandemia aceleró la migración hacia entornos virtuales en las empresas ecuatorianas y aumentó el uso de plataformas digitales en los consumidores. Para Rossy Tapia, los comercios electrónicos deben incluir en su estrategia controles de seguridad básica como:

  • Utilizar protocolos https para asegurar la comunicación entre el cliente y su e-commerce.
  • Solicitar a sus clientes la creación de contraseñas robustas.
  • Implementar doble o múltiple factor de autenticación para sus clientes y administrador del e-commerce.
  • Guardar la menor cantidad de datos posibles a través de controles de seguridad que protejan información sensible.
  • Implementar controles para protección de ataques de denegación de servicio distribuido.
  • Concientizar a sus clientes sobre formas de ciberataques como phishing y comunicar sus políticas sobre la solicitud de información.
  • Monitorear transacciones ante posibles fraudes financieros, especialmente en Viernes Negro, CyberMonday y otras campañas de márketing que generan alta demanda en plataformas digitales.
  • Constantemente, monitorear esquemas de ciberseguridad y capacitar a su personal.
  • Verificar que su sistema cumple con el top 10 de OWASP (ciberataques más comunes en sitios web).

¿Cómo prepararse frente a posibles amenazas en este contexto tan cambiante? “Entendiendo el nivel de exposición de la infraestructura y aplicaciones de la empresa. Es importante conocer qué es lo que debo proteger y frente a qué amenazas”, asegura. Para esto, se deben establecer indicadores de riesgo claves (KRI) que permitan identificar riesgos potenciales y tomar decisiones tempranas para mitigarlos, además de realizar análisis periódicos de las amenazas y ampliar el análisis del riesgo hacia nuestros proveedores.

De esta forma, Banco Guayaquil continúa su operación de forma resiliente, con análisis constantes y capacitación a sus clientes y colaboradores.