Los bancos y seguros están inmersos en cambios radicales donde su entorno de negocios, cultural y tecnológico ha alterado la forma en la cual operan. Esta ola de cambios tiene una base importante en las tecnologías digitales, las cuales son adoptadas con el propósito de mejorar la experiencia de los clientes y mejorar los niveles de eficiencia de las organizaciones.
En la actualidad las tecnologías móviles crecen en su uso, estando cada vez más cerca del nivel de uso de las PC. Las organizaciones implementan Robotic Process Automation (RPA) como una alternativa de reducción de costos y aumento de eficiencia, con tiempos de implementación cortos y a bajos costos. Existen nuevos jugadores en la industria (Ej.: Fintech o Insurtech) que cambian radicalmente la forma de prestar servicios.
El paradigma de blockchain está cada día más presente y obliga a organizaciones con procesos o servicios tradicionales a replantear la forma en cómo operan. Todos estos cambios desafían a las organizaciones a cambiar rápidamente y adaptar sus modelos operativos al nuevo normal.
La realidad es que este cambio no es una opción para los bancos y seguros, sin embargo, los programas de adopción de estas tecnologías digitales no transparentan de forma integral cuáles son los riesgos a los que se exponen las organizaciones. Uno de los aspectos más importantes a considerar es la ciberseguridad.
Durante los últimos meses hemos sido testigos de una ola muy grande ciberataques en la región y Ecuador no es ajeno a este fenómeno. A pesar de esta situación, un estudio global de PwC sobre delitos económicos indica que el cibercrimen ocupa el segundo lugar en los delitos económicos reportados.
El mismo estudio muestra que a 61% de los CEO les preocupa la ciberseguridad de sus empresas, sin embargo, solo 37% de ejecutivos indica que sus organizaciones tienen un plan de respuesta ante un cibercrimen. Las cifras son claras, los incidentes relacionados con ciberseguridad están presentes y confirman ciertas tendencias: el origen de los incidentes de seguridad los realiza principalmente colaboradores y exempleados; el principal objetivo de los ataques es el robo de correos corporativos, ataques a dispositivos móviles, etc.
Ante esta situación, las organizaciones se ven expuestas a estos riesgos y tienen la necesidad de dar respuesta mediante un esquema de protección apropiado. Este esquema debe tener la aprobación de la Alta Dirección, la cual necesita tener confianza sobre los programas de ciberseguridad de sus organizaciones con base en una adecuada evaluación de riesgos. El programa debe considerar: la preocupación sobre la ciberseguridad y privacidad, los cambios organizacionales, la presión regulatoria y la disrupción digital. Con esta evaluación se podrán establecer de forma eficiente y efectiva, las contramedidas que deben implementarse.
Foto: Freepik.
Al respecto, PwC a través de su experiencia en distintos proyectos en el sector financiero, ha establecido los siguientes componentes que deben cubrir un programa de ciberseguridad efectivo:
- Estrategia, estructura y gobierno: se debe establecer un programa de ciberseguridad alineado a las iniciativas del negocio y que defina de forma clara los elementos fundamentales para su gestión. Esto incluye determinar con claridad las responsabilidades de las partes interesadas y definir cómo la ciberseguridad va a ser incorporada dentro de las tres líneas de defensa.
- Reconocer los límites de la organización: Existen muchos actores que participan en los procesos críticos como proveedores, socios de negocios, clientes, etc., a donde se extienden los límites sobre los cuales se debe proteger la información. Esto implica tener claridad de las interfaces para interconexión y cómo son gestionadas.
- Identificar los procesos y activos críticos: con la finalidad de enfocarse en lo relevante bajo una óptica de riesgos es fundamental tener esta identificación.
- Identificar las amenazas cibernéticas: esto permite entender cuáles son las situaciones que pueden, y por ende deben, tener mayor claridad para establecer las contramedidas.
- Evaluar las medidas de seguridad implementadas: es importante evaluar la madurez de los procedimientos y controles existentes a fin de determinar su efectividad y poder plantear controles nuevos que respondan a los riesgos identificados. Hay varias medidas que el sector financiero están considerando en la actualidad, por ejemplo: monitoreo de cuentas privilegiadas, detección de código malicioso, estrategia de ciberseguridad en la nube, autenticación basada en riesgos, esquema de gestión de privacidad, definir rol de CISO, etc.
- Gestión de crisis y respuesta a incidentes: este componente es un pilar fundamental en caso de un ciberataque ya que permitirá definir los protocolos de respuesta.
*PwC ofrece servicios de consultoría tributaria y consultoría organizacional a empresas públicas y privadas, con enfoque en la industria.
Revista Gestión no se responsabiliza por las opiniones ni comentarios publicados por sus colaboradores en este espacio, quienes son los responsables del contenido difundido. Si va a hacer uso de este artículo, por favor cite la fuente original. Artículo de información (I).
Encuentre contenido relacionado en nuestro archivo histórico:
Enfóquese en el cliente para un 2019 de mejores ventas
¿Quiere emprender? No lo haga aún si presenta una de estas señales
Ser ecológico es un buen negocio: las empresas privadas se unen contra el cambio climático
¿Cuál es la mejor red social para una microempresa?
El derecho sobre una marca en la Comunidad Andina
Last modified on 2019-01-11