En el Perú cada vez más personas hacen pagos, transferencias, reciben préstamos, cambian monedas de manera digital. Vivimos un verdadero boom en el uso de servicios financieros digitales, que se ha acelerado en la pandemia. Este avance digital hace necesario que, en paralelo, las empresas del sistema financiero cuenten con altos estándares de seguridad para proteger las cuentas de sus clientes y defenderse de los ciberataques.
Según Ljubica Vodanovic, líder del área de Regulación Financiera y Fintech de EY Law Perú, en el actual entorno digital cuidar la seguridad de la información es fundamental para todas las empresas, especialmente en los servicios financieros. “La ciberseguridad permite a las empresas tener políticas, procesos y recursos para mantener protegida la información, tanto en el almacenamiento y privacidad de los datos, como en su procesamiento”, apuntó.
Señaló que, en el Perú, la Superintendencia de Banca, Seguros y AFP ha publicado un proyecto para regular la Gestión de la Seguridad de la Información y la Ciberseguridad, a fin de que las entidades financieras cuenten con un sistema de ciberseguridad y así elevar los estándares de seguridad, lo cual es bastante positivo.
Agregó que adoptar estas políticas tendrá un impacto en tres frentes: Primero, en los productos que desarrollan pues tendrán que ser adaptados a los nuevos requerimientos (por ejemplo, factores más exigentes de autenticación); segundo, al interno de las entidades, que implementarán sistemas de seguridad que respondan a las exigencias de la norma, con responsabilidades por ello. Y, en tercer lugar, en los terceros que contratan o tienen alianzas con las entidades, por ejemplo, las FinTech, deberán cumplir los requerimientos de seguridad exigidas a las entidades financieras y que ellas, a su vez, les exigirán a ellos.
Por su parte, Alejandro Magdtis, socio de Consultoría para la Industria Financiera de EY, sostuvo que la seguridad de la información y la ciberseguridad es un tema de negocio muy importante para la operación, reputación y sostenibilidad de las empresas, más aún en un entorno digital.
Sostuvo que en la actualidad el Talón de Aquiles en las políticas de ciberseguridad, son las personas que laboran en las empresas que, por diversas razones, no entienden a cabalidad las amenazas existentes ni el grave impacto que puede tener estos incidentes en la operación, la reputación o en la sostenibilidad de su empresa y sus clientes.
“Los mayores problemas por ataques de los devastadores Ransomware a varias empresas en el mundo, se han originado porque los empleados caen en el engaño a través del correo phishing permitiendo la acción del malware, el cual se introduce en la red de datos y en los sistemas para obtener inteligencia de la infraestructura y sistemas de información de la empresa, para luego atacar, complicando seriamente la operación”, apunta.
Respecto de qué deben hacer las empresas operativamente para prevenir, detectar y responder a un ciberataque, Magditis recomendó tres pasos claves, (1) identificar la información crítica a ser protegida, (2) identificar las amenazas y las vulnerabilidades de la empresa desde el punto de vista de la operación, los sistemas de información, y la cultura empresarial y (3) resolver estas brechas y desarrollar una estructura que permita la sostenibilidad del control para la prevención, detección y respuesta.
“En algunas empresas la gerencia sigue pensando que los temas de seguridad de la información y ciberseguridad son un problema técnico que debe ser resuelto por el área de sistemas de información o por el responsable de la seguridad de la información. En otras empresas hacen lo mínimo necesario por temas presupuestales, conviviendo con riesgos sobre los cuales ejercen algún grado de monitoreo y control”, puntualizó.
Señaló que otras empresas en cambio desarrollan planes en un esfuerzo para estar al día con la seguridad de información y la ciberseguridad, “pero descuidan o no tienen en cuenta que la tecnología evoluciona en el tiempo, propiciando nuevos modelos de negocio”, apuntó.
El experto de EY señaló que lo más recomendable frente a las amenazas, es tener copias de seguridad. “Si tuviera que escoger una sola cosa, escogería las copias de respaldo, que son backups, con las copias de varias componentes que me permitirían seguir trabajando en el peor de los escenarios”, apuntó.