En Banco del Austro, la seguridad se incorpora desde el diseño de las iniciativas digitales, como parte de un modelo que integra equipos, define riesgos y acompaña el cambio del negocio sin frenar su ejecución.
Puntos de interés
- Integración de la seguridad en la transformación del negocio
- Seguridad aplicada en el ciclo de desarrollo
- Seguridad desde el diseño en iniciativas digitales
En Banco del Austro, la seguridad de la información es parte del proceso de transformación digital de la organización. Paúl Ochoa, vicepresidente de Transformación de la entidad, plantea que la transformación digital debe entenderse como una transformación integral del negocio, centrada en el cliente y apoyada por la tecnología. “Cuando hablamos de transformación, estamos hablando de generación de valor, y ese valor está en el equilibrio entre los beneficios que se entregan, los riesgos que se asumen y los recursos disponibles”.
Advierte que, sin ese equilibrio, la transformación puede derivar en un riesgo sistémico para la organización. “Cada proceso digital debe analizarse desde la perspectiva del riesgo, ya que así se incorpora la seguridad en los flujos que acompañan el cambio del negocio”, señala.
Integración de la seguridad en la transformación del negocio
La entidad ha estructurado un esquema de trabajo que agrupa proyectos de distintas unidades según sus necesidades de tecnología, seguridad y datos. Este esquema se apoya en equipos ágiles que integran negocio, tecnología, arquitectura, desarrollo y seguridad, facilitando la coordinación desde etapas iniciales.
Desde la ideación y la definición del caso de negocio, se establece qué equipos participan y en qué momento, lo que permite contar con visibilidad temprana sobre cuándo debe involucrarse, por ejemplo, el área de datos y en qué iniciativas la seguridad se integra desde el diseño.
La seguridad se incorpora desde el inicio. Ochoa explica que el equipo de seguridad participa de forma integrada con los equipos digitales, aunque orgánicamente pertenezca a otra vicepresidencia. “El equipo de seguridad está junto a los equipos ágiles viendo estos temas, porque la seguridad no puede revisarse al final ni limitarse a auditoría o cumplimiento; debe ser transversal”.
Seguridad aplicada en el ciclo de desarrollo
Este trabajo se apoya en prácticas de DevSecOps, donde la seguridad forma parte de un proceso de mejora continua presente en el diseño, la construcción y el despliegue de las soluciones, lo que permite gestionar y mitigar los riesgos de manera anticipada.
“La seguridad está presente de forma transversal en los procesos. Cuando se incorpora una nueva tecnología, participa el equipo de seguridad y se realiza un análisis de riesgos para definir los controles necesarios, en función de los niveles de riesgo que el negocio está dispuesto a asumir”.
La interacción entre los equipos facilita la coordinación y permite anticipar necesidades de seguridad, tecnología y datos.
Desde esta experiencia, el ejecutivo señala que la seguridad no ha sido un obstáculo para avanzar en los procesos de transformación. Por el contrario, se ha consolidado como un aliado con el que se coordina y se definen las acciones más adecuadas para la operación, los proyectos y el negocio. La definición de planes de acción y medidas de mitigación permite mantener el avance de las iniciativas sin generar interrupciones.
Al plantear procesos de innovación —entendidos como cambios en el negocio y no únicamente en la plataforma—, es necesario incorporar nuevas prácticas. Al digitalizar un proceso, los controles cambian. Sin embargo, mejorar la experiencia del cliente no implica dejar la plataforma sin control, sino ajustar la manera en que se aplican estos mecanismos dentro del entorno digital.
Seguridad desde el diseño en iniciativas digitales
Las iniciativas digitales se han integrado con la seguridad desde el diseño. Se incorporan evaluaciones periódicas, como pruebas de penetración internas y externas, así como análisis de código estático y dinámico antes de pasar a producción, junto con herramientas que permiten identificar vulnerabilidades de forma temprana.
Al igual que la función de seguridad de la información, la de protección de datos se articula con el equipo de transformación, en coordinación con el delegado de protección de datos, para asegurar que las iniciativas se ajusten a los requerimientos y normativas vigentes en esta materia.
Ochoa señala que este mismo espíritu guía la evolución de la Banca Digital del Banco del Austro y el desarrollo de sus productos digitales, como las soluciones de crédito y la billetera digital Sipy. Todas estas iniciativas siguen el mismo principio de generar valor para el cliente a través de experiencias simples, seguras y confiables, integrando la seguridad y la gestión de riesgos desde el diseño. Al tratarse de productos que impactan directamente en la operación y en la relación con los clientes, su evolución se apalanca en equipos multidisciplinarios y en evaluaciones tempranas que permiten innovar de forma responsable, manteniendo el equilibrio entre agilidad, control y cumplimiento normativo, sin sacrificar la experiencia digital.