En Banco ProCredit tuvieron alrededor de cuatro semanas de preparación para adaptar sus operaciones ante la crisis sanitaria del COVID-19, aunque ya tenían una estrategia de trabajo remoto con planes de continuidad y contingencia enfocados en esta modalidad, por lo que este proceso fue más rápido y eficiente.
Contar con los permisos, roles y accesos configurados para esta emergencia fue uno de los retos que tuvo que solventar la organización para mantener su operación de forma segura. «Trabajar remotamente desde una red de internet externa es más riesgoso que hacerlo en una red cableada desde nuestras instalaciones. Tuvimos que realizar análisis, cambios y ajustes en ciertas restricciones (horarios, accesos, perfiles, etc.)», explica Gustavo Urquieta, Jefe de Seguridad y Oficial de Continuidad del Negocio de Banco ProCredit.
La cultura de ciberseguridad y la preparación de los colaboradores es un aspecto clave para este tipo de estrategias. Como entidad financiera, realizan capacitaciones constantes con planes continuos de preparación ante ataques, sin embargo, durante la cuarentena esto fue mucho más complejo.
Por el tipo de banca que brinda Banco ProCredit (99,9 % digital), ya tenían identificados en sus Análisis de Impacto en el Negocio (BIA, por sus siglas en inglés) los activos más importantes para garantizar la continuidad de operaciones mínimas. Es decir, todo canal que sirva para mantener los servicios activos ante el cliente final. «En ese aspecto, las pruebas que realizamos en 2019 nos dieron una pauta debido a que implementamos una modalidad mixta, una parte presencial y otra remota. Teníamos una percepción de cómo responder ante una situación de estas características».
Gustavo Urquieta, Jefe de Seguridad y Oficial de Continuidad del Negocio de Banco ProCredit
En cuanto a la planificación de 2021, asegura que, en las pruebas de continuidad, se incluyeron ataques de ciberseguridad masivos, el punto más crítico de los riesgos para el banco y que se suma a una tendencia que se ha presentado en otras entidades financieras del país. «Desde el Comité de Seguridad de la Asobanca trabajamos en conjunto para compartir conocimiento y reducir vulnerabilidades de este tipo».
Entre las consideraciones necesarias para modelos de e-commerce, Gustavo Urquieta explica que Banco ProCredit dispone de la única tarjeta de débito en Ecuador con chip y pin, el estándar de tecnología más alto y recomendable a nivel mundial. “En el país, por un tema de experiencia de usuario, estos controles no son muy comunes. Nosotros transferimos esa misma experiencia y nivel de seguridad en compras presenciales a los canales electrónicos». En ese sentido, trabajaron de la mano con el área de Fraude Electrónico para actualizar las plataformas de prevención de fraude: Banco ProCredit es la única institución en el país que cuenta con el sistema de seguridad de Mastercard 3DS 2.0. La organización tiene claro que deben invertir en tecnología para siempre estar a la vanguardia y reducir los riesgos existentes y futuros.
Esta y otras tecnologías son menos invasivas, complejas y están diseñadas para facilitar la experiencia de usuario a través de inteligencia artificial para perfilar de forma más precisa los fraudes y los ataques.
Otro aspecto en el que se enfocan esfuerzos para garantizar canales electrónicos seguros es el robustecimiento y escaneo continuo de sus activos expuestos en internet para identificar vulnerabilidades y parcharlas a la brevedad posible.
En cuanto a los aspectos a trabajar a futuro, para el ejecutivo algo que sigue siendo prioritario, incluso antes de la cuarentena, es que en algunas instituciones todavía la Alta Gerencia no comprende o no han asumido realmente el rol y la importancia que tiene la seguridad de la información en las operaciones. «Aún existe cierto temor para invertir en nuevos sistemas y preparación. Para cualquier empresa es fundamental no escatimar recursos en aspectos de ciberseguridad».
Se requiere una capacitación continua, ya que la ciberdelincuencia es un negocio organizado y muy lucrativo, especialmente en el sector financiero. Los costos por un ataque son mucho más elevados que los valores de las tecnologías necesarias para garantizar la protección de la información. “Es necesario un cambio en el mindset de la mesa directiva y los equipos de trabajo para considerarlo como una inversión inteligente”.
«Una sola tecnología que sea vendida como el Santo Grial de la ciberseguridad es falsa si no está acompañada de otros aspectos clave como la capacitación y la concientización continua».