Grupo Pichincha se encuentra en constante transformación e innovación, adoptando nuevas tecnologías emergentes como la computación en la nube, la inteligencia artificial y el uso de nuevos canales digitales. Armando Castillo, Gerente Corporativo de Seguridad de la Información y Ciberseguridad, señala que la seguridad de la información y la ciberseguridad se integran desde el inicio de cualquier proyecto, implementando frameworks y metodologías ágiles y seguras que garanticen la confidencialidad e integridad de los datos, así como el cumplimiento legal y regulatorio.
Armando Castillo menciona que la adopción de nuevas tecnologías y procesos puede representar nuevos riesgos y amenazas cibernéticas que la organización debe identificar y gestionar. «Por lo tanto, es importante realizar una evaluación de riesgos (Risk Assessment) antes de adoptar, adquirir o incorporar nuevas tecnologías, con el fin de implementar los controles que realmente mitiguen los riesgos.»
Además, la implementación de nuevas tecnologías y procesos puede requerir cambios en la arquitectura de IT e implica la recopilación y el procesamiento de nuevos tipos de datos. Por ello, es importante que la organización integre la ciberseguridad en el diseño de los nuevos sistemas, cuente con políticas, directrices y controles adecuados para garantizar la protección adecuada de la información. Esto siempre relacionándolo con la cultura, capacitación y educación en seguridad de la información y ciberseguridad, las cuales deben ser periódicas y acordes con los procesos evolutivos del entorno y de la entidad.
Armando Castillo señala que la implementación de políticas y procedimientos para proteger la información de la organización es esencial. Menciona acciones realizadas para robustecer la gestión de la nube y el relacionamiento con proveedores y terceros, la adopción de nuevas tecnologías para la prevención y detección de amenazas, sistemas de prevención de intrusiones y descubrimiento de malware, así como soluciones de gestión de identidad y acceso que permitan identificar de manera proactiva los riesgos y fortalecer los controles existentes o implementar nuevos.
También comenta que todas las implementaciones se coordinan de principio a fin con el área de tecnología y con otras áreas importantes como legal, operacional, fraude y financiera. Las pautas que sigue la entidad antes de implementar las nuevas tecnologías siempre deben tener un análisis de riesgo previo, el cual determina el tipo de arquitectura, las soluciones tecnológicas y las capas de seguridad a implementar, ya sea a nivel de endpoint, servidor o red.
Cada iniciativa de seguridad y ciberseguridad en la institución permea a toda la organización, por lo tanto, es responsabilidad de todos los colaboradores participar activamente desde su rol en el diseño y construcción de estas. Por ello, es necesario desarrollar una fuerte cultura en seguridad de la información y ciberseguridad, trabajando colaborativamente y construyendo un modelo de CiberResilencia para estar preparados ante cualquier evento o suceso inesperado.
Armando Castillo, en base a su experiencia, menciona algunas buenas prácticas en la implementación de iniciativas de seguridad y ciberseguridad:
Es importante tener un inventario de terceros críticos para identificar, mitigar y controlar las amenazas informáticas, y para monitorear la evolución en seguridad del proveedor, de manera que se pueda controlar el flujo de los datos.
Es necesario contar con una buena gestión de la identidad, mantener los sistemas actualizados y hardenizados para protegerse contra vulnerabilidades y ataques de malware, con el objetivo de prevenir accesos no autorizados, fugas de información, filtraciones o hackeos.
Es fundamental desarrollar políticas y procedimientos para establecer un gobierno de ciberseguridad hacia los terceros, acompañado de la educación y capacitación hacia empleados, proveedores y terceros, para que todos los empleados entiendan los riesgos y sepan cómo proteger la información.