Los líderes que gestionan la seguridad de la información de las cooperativas están trazando acciones para fortalecer las estrategias de seguridad en cada organización. En el segmento de Estrategia Tecnología y Negocio, tuvimos la oportunidad de conversar con Lucía Villacís, Jefe de Seguridad de la Información y Glenda Campoverde, Oficial de Seguridad de la Información de la Cooperativa Andalucía; Eduardo Alvarado, Gerente de Seguridad de la Información y Fernando Cisneros, Gerente de Tecnología de la Cooperativa Policía Nacional, Vicente Ortiz, Gerente de Tecnología e Innovación de la Cooperativa Cooprogreso; Álvaro Barrera, Oficial de Seguridad de la Información de la Cooperativa 29 de Octubre ; Darío Salgado, Oficial de Seguridad de la Información de la Cooperativa de Ahorro y Crédito de los Servidores Públicos del Ministerio de Educación y Cultura, y Juan Camilo Reyes, Director de la división de productos de ciberinteligencia de la Región Andina de Mastercard.
Bajo el tema “Identidad corporativa y reputación online”, se intercambiaron ideas sobre la alineación del negocio, estrategias, gestión de riesgos y reputación digital.
Actualmente las instituciones del sector están evaluando permanentemente sus estrategias y generando cambios continuos en sus iniciativas y planes a corto y mediano plazo, esto implica un gran desafío para las áreas de Seguridad de la Información y de IT al momento de alinear su estrategia con el negocio, ya que están obligados a involucrarse en cada uno de los proyectos que apalancan los objetivos estratégicos, debiendo disponer de la agilidad y aceptación permanente al cambio y al análisis de nuevos riesgos que podrían afectar al negocio.
Para Lucía Villacís, aún hay que romper ciertos paradigmas como la idea de que la seguridad obstaculiza los procesos de negocio de las organizaciones. “Todavía falta que las entidades del sector y los colaboradores sientan la importancia de la seguridad de la información en el logro de los objetivos institucionales”.
Menciona que la exigencia por cumplir las nuevas normativas puede ser aprovechada por las áreas de seguridad de la información para insertarse en la estrategia de las instituciones del sector.
Debido a amplias líneas de acción en las organizaciones, se requiere una coordinación con todos los colaboradores internos de la organización. Para Fernando Cisneros, Gerente de IT de Cooperativa Policía Nacional, hay que tener asertividad para leer las líneas estratégicas del negocio, traducirlas al quehacer técnico y desarrollar un ejercicio mandatorio de eficiencia de productos, reafirmando las iniciativas propuestas, mejoras de procesos, buenas prácticas de gobierno, infraestructura, outsourcing, capacitación, etc.
Y en un entorno digital es preciso poner énfasis en las capas de servicio hacia los usuarios, los servicios y proveedores de ciberseguridad, pero también cuidar aspectos internos a nivel de infraestructura, actualización de firmware, protección de datos y las herramientas necesarias de protección.
La seguridad de la información y ciberseguridad debe concebirse desde el inicio y asegurar la inversión para un control efectivo. Para Vicente Ortiz, Gerente de Tecnología e Innovación de Cooprogreso, la innovación empieza una vez que se integra la visión de la gerencia y el entendimiento de los colaboradores. “Si tengo una visión independiente, considerando un presupuesto fuera de la decisión de la organización no es posible ejecutarla”. Comenta que efectivamente, la normativa es uno de los principales drivers para desarrollar estrategias de seguridad, además, de contar con la capacidad de negociación con cada una de las áreas estratégicas de la organización.
Para Juan Camilo Reyes, Director de la división de productos de ciber-inteligencia de la Región Andina de Mastercard, la inversión es importante pero también en las cooperativas hay mucho trabajo por hacer sobre todo lo que tiene que ver con procesos y personas. Por ejemplo, aplicar conceptos tan sencillos como segmentación de red, segregación de funciones, disminución de los roles de gestión, análisis y gestión de riesgos, gestión de identidades y control de acceso.
Otro aspecto que desatacó es que la confianza del mundo físico se trasladó al mundo digital, y es prioritario cuidarla. “En el momento en que se presenta una vulnerabilidad hay mucho que perder”, dijo.
Para Darío Salgado, Oficial de Seguridad de la Información de la Cooperativa de Ahorro y Crédito de los Servidores Públicos del Ministerio de Educación y Cultura, es importante establecer una interacción adecuada para normar la seguridad con el área de IT y el negocio, de manera que exista un ecosistema seguro para brindar los servicios y se generen un menor número de observaciones en auditorías. Con las nuevas normativas también es importante considerar los cambios a realizar, las políticas de protección de activos críticos y trabajar en su identificación, una tarea que puede resultar pesada, pero es indispensable y debe hacerse.
Frente a aspectos de seguridad con terceros, Álvaro Barrera, Oficial de Seguridad de la Información de Cooperativa 29 de Octubre, señaló la complejidad en implementar nuevos requisitos de seguridad en contratos vigentes, ya que implica una evaluación del costo de los controles por parte del proveedor y un cambio en el valor del servicio, sin embargo, es necesario efectuar dicho análisis y gestión especialmente en contratos con proveedores que apalancan los servicios críticos o gestionan información sensible, siendo necesaria la generación de adendums al contrato original en función de cubrir formalmente riesgos o incumplimientos al marco normativo. Para nuevos contratos, la estrategia es definir con antelación en incluir desde la etapa de desarrollo de las bases, clausulas enfocadas a: protección de la información, propiedad intelectual, uso de sistemas, responsabilidad legal, cumplimiento de normativas (Ej. ISO 27001, PCI, Ley de Orgánica de Protección de Datos Personales, normativas de la SEPS), así como la potestad de la Cooperativa a auditar su cumplimiento al menos de manera anual.
Por su parte, Eduardo Alvarado, CISO de la CPN, señaló que los aspectos relacionados con servicios de terceros pueden describirse y definirse en el Sistema de Gestión de Seguridad de la Información, la misma que permite contar con las directrices y procedimientos a seguir. En cuanto al desarrollo de nuevos productos mencionó que seguridad y tecnología se complementan y son fundamentales. Además, se invita a auditoría para que desde allí realicen las observaciones del caso con el fin de estar alineados a los requerimientos internos o regulatorios. “Debemos ser facilitadores para la ejecución de los proyectos y en su implementación cumplir con todos los aspectos de seguridad enmarcados dentro del sistema de gestión o alguna normativa internacional como buena practica.”.
Glenda Campoverde, Oficial de Seguridad de la Información de Cooperativa Andalucía, indicó que hay que cambiar la mentalidad y crear una nueva manera de ver las cosas con relación a la seguridad de la información. La idea de una interacción participativa entre IT y seguridad está tomando fuerza. Una vez que se delimita áreas, funciones y roles en la estructura organizacional, la seguridad toma impulso y desarrolla estrategias de apoyo para el negocio. “Los ciberataque no solo incurre en la pérdida y destrucción de datos confidenciales, también afecta el nivel de productividad del negocio, consecuentemente, pérdida del capital y confianza de los socios y de la competitividad frente al mercado”