Uno de los primeros retos que a nivel país se necesitó suplir fue la carencia de una cultura de teletrabajo. La realidad que desencadenó la pandemia hizo que se tomará conciencia de que no estábamos totalmente preparados para los retos que plantean este tipo de escenarios.
“Cuando se trabaja on-premise, podemos garantizar la protección de la infraestructura de la empresa. Sin embargo, cuando nos trasladamos a un trabajo remoto, la empresa se amplió a las residencias de los colaboradores, por lo que se perdió visibilidad y se carecía de un perímetro claro”, explica Lizzie Noblecilla, CISO de BANRED.
El segundo desafío, asegura, se debe a que en Ecuador no existe una cultura empresarial en ciberseguridad. “Muchas empresas grandes, medianas o pequeñas no disponen de un área especializada en seguridad de la información principalmente por un tema de costos. Históricamente, las estrategias de ciberseguridad han sido vistas como un gasto, en lugar de inversión”. Sin embargo, la pandemia fue la gran oportunidad para resaltar la importancia de invertir en protección informática debido a que ha permitido a la fuerza laboral trabajar de forma remota sin ninguna vulnerabilidad.
Otro aspecto que se debe contemplar entre los desafíos es que, lastimosamente, en el país no existe gran cantidad de personal especializado en temas de ciberseguridad, algo fundamental para orientar de forma adecuada a las organizaciones.
Además, la ejecutiva señala que en muchas empresas faltó una concientización hacia el usuario, el eslabón más débil de la cadena. Por ejemplo, en BANRED tienen una cultura corporativa que contempla iniciativas de ciberseguridad, forma y capacita a todos los colaboradores. Desde hace más de 7 años adoptaron el estándar de seguridad PCI DSS. Producto de todas estas certificaciones, llevan a cabo un plan de trabajo en ciberseguridad que va desde la identificación de dónde se encuentran los datos hasta la concientización del usuario.
BANRED había recorrido un proceso preparatorio que les brindó un conocimiento valioso para afrontar de mejor manera la pandemia. En octubre de 2019, cuando ocurrieron las manifestaciones, aplicaron la modalidad de teletrabajo en cargos específicos. Esto les permitió afrontar lo que vino en 2020. «Cuando comenzaron las restricciones, se nos hizo más sencillo tomar decisiones de forma inmediata para la continuidad del negocio».
Entre las estrategias que implementaron, figuran: VPN para todos los usuarios, utilización de segundo factor de autenticación, capacitaciones diarias, no permitieron sesiones remotas de manera directa y la revisión de los equipos de los colaboradores para validar que tengan antivirus, sistema operativo actualizado y brindarles las pautas necesarias.
“Tenemos un esquema de ciberseguridad implementado que va desde firewall, IPS, WAF, DLP, entre otras herramientas. Es decir, todo lo necesario para trabajar de forma remota de forma segura.”
Lizzie Noblecilla, CISO de BANRED
Recomendaciones a futuro
El ritmo de cambio va a ser muy constante y acelerado en estos años. El teletrabajo llegó para quedarse, así que es necesario adaptarse a los nuevos retos que las tecnologías emergentes (como las redes 5G, SASE o la inteligencia artificial) traen consigo. Las ciberamenazas como el ransomware, phishing, ataques a la cadena de suministro, fake news, entre otras prácticas, continuarán en aumento.
Para Lizzie Noblecilla esta realidad demanda que el rol de CISO, sea llevado a cabo por profesionales multidisciplinarios, que sean capaces de analizar los diferentes escenarios de negocio de forma holística. «Necesitamos ser resilientes para adaptarnos e ir de la mano con el negocio, ya no se puede trabajar la seguridad informática de una manera aislada, sino que debe existir una cultura de ciberseguridad que nos lleve a tener servicios con calidad, eficiencia y principalmente con la seguridad que el cliente requiere».
Asimismo, asegura que es importante recordar que muy pronto en Ecuador tendremos la Ley Orgánica de Protección de Datos, pieza fundamental en el ámbito de ciberseguridad porque se deberá considerar la privacidad de los datos en las estrategias de seguridad informática.