Para nuestro segmento de Estrategia, Tecnología y Negocio nos reunimos en un espacio de diálogo en Cuenca para hablar sobre Identidad Digital y Reputación on line Corporativa.
En esta ocasión nos acompañaron Nataly Parra, Oficial de Seguridad de la Información de Cooperativa CREA; Juan Fernando Mejía, Gerente de Seguridad de la Información, Cooperativa JEP; Juan Carlos Castro, Gerente de Tecnología de Mutualista Azuay; José David Ávila, Gerente de Tecnología de Cooperativa Jardín Azuayo; Marco Peralta, Jefe de Seguridad de la Información de Cooperativa La Merced; Iván Once, Oficial de Seguridad de Cooperativa CAJA; Carlos Julio Barreto, Jefe de Tecnología de Cooperativa Biblián; Adriana Reinoso, gerente de Evidencia Informática y Juan Camilo Reyes, Director de Ciberseguridad e Inteligencia de Negocios de Mastercard.
Mantener a salvo la identidad digital es un compromiso de las áreas de Seguridad de la Información de las Cooperativas que refuerzan los canales entregándoles a sus socios canales verificados e interactúan con ellos para que identifiquen la autenticidad de sus canales.
Se siguen los procesos y los lineamientos del negocio que ayudan a los controles. Aunque no siempre es suficiente. Coincidieron que, aunque cuentan con herramientas para mejorar los servicios es necesario que los funcionarios estén capacitados de lo contrario el riesgo será más alto. De otro lado, también es importante romper el tradicionalismo de algunas entidades, y lograr que la alta dirección tenga una visión estratégica de la tecnología y seguridad.
Sobre la responsabilidad de terceros en la ciberseguridad se revisaron varias implicaciones que afectan las operaciones del negocio y a los socios. Los fraudes de terceros que toman el nombre de la institución y otro completamente diferente: un phishing en el que se deben tomar las acciones necesarias para evitar ataques o vulnerabilidades.
Pero hasta dónde una institución es responsable, cuando terceros que no forman parte de la organización, cometen acciones que afectan su reputación. La respuesta atiende a un tema estratégico, de comunicación, alineamiento y de confianza digital donde se analiza qué problemas están afectando directamente a los usuarios e indirectamente al crecimiento del negocio y del número de clientes. Indicaron que el costo de un ataque tiene una mayor incidencia en la confianza de los clientes, la misma que es difícil de recuperar.
La generación de la identidad institucional debe trabajarse desde dos niveles: fidelizando a los colaboradores y luego a los socios, con una estrategia de comunicación continua para desarrollar una identidad apegada a la organización y una identidad de socio ideal para construir una relación cercana.
Un gobierno corporativo desde las bases de la organización y la administración permiten generar hábitos comunicativos, fortalecer a las personas, pasando esa experiencia a los procesos y finalmente, uniéndola a la tecnología.
Añadieron que un plan de contingencia y de análisis de riesgo vivo es fundamental, así como una estandarización que dará orden y serenidad en las respuestas frente a
Se habló sobre el uso de soluciones como la biometría comportamental a través de la cual se evalúa el comportamiento de los usuarios en su interacción con el dispositivo, las aplicaciones permitiendo verificar que es la persona que dice ser y calificar el riesgo.
Un punto destacado señalado en la conversación es que la seguridad de la información es parte de la identidad corporativa y debe concebirse desde el inicio del diseño
En cuando a la Ley de Protección de Datos Personales señalaron que las cooperativas están trabajando en ello. Su cumplimiento es un tema metodológico, que requiere crear una estructura orgánica. Sin embargo, hay que mirar y saber cuál es el siguiente paso. Con el Open banking la apertura de información a terceros es inminente y será necesario pensar en generar API para transferir la información de forma segura, buscar mecanismos idóneos para acceder a varias fuentes de información para desarrollar modelos de Inteligencia Artificial al tiempo de mantenerse dentro de la ley, pensar en modelos estadísticos que permiten elaborar gemelos a partir de la data que se tenga, desarrollar microservicios, protegerlos y orquestarlos. Pero sobre todo revisar y analizar la información de los socios para mantener su fidelidad y competir con las instituciones de mayor tamaño.
La seguridad con proveedores es un tema que debe abordarse a nivel financiero, es decir es necesario conocer al proveedor para evitar el lavado de activos. Además, de los acuerdos de confidencialidad de terceros que se tiene con ellos, es necesario considerar la normativa recién promulgada que indica que la institución financiera puede realizar auditorías para conocer cómo está la seguridad del proveedor.
Para evaluar los niveles de seguridad de terceros existen herramientas que analizan puntos de seguridad y controles de los sitios del proveedor, pero además se debe hacer es un análisis de riesgo de proveedores y contar con evidencias; evaluar sus prácticas y el alineamiento de sus estándares de calidad y si son similares a los que tiene la organización.
Otro de los elementos, al considerar un proveedor, es que aplique estándares en sus procesos y productos, como por ejemplo las normas ISO 27001, un control adicional que permite estar más seguros y da fiabilidad.
Hay que pensar desde el principio en mitigar, conceptualizar desde el inicio de la creación de un producto a la seguridad. Y tener en cuenta como recomendación este enfoque Secure by deployment, Secure by design, Secure by default para incorporar la seguridad en cada etapa del proceso de un producto.
En el modelo de tercerización hay que considerar donde están las capacidades y habilidades, a partir de ello, diseñar el esquema adecuado. La tecnología en instituciones financieras al menos pequeñas o medianas, para ser competitivos con las capacidades de empresas más grandes, tienen que centrarse definitivamente en un balance entre nubes públicas, privadas o mixtas; inversión OPEX y CAPEX, para lograr equiparar capacidades y por medio de la innovación y el aprovechamiento de procesos más simples desarrollar ventajas competitivas.