Debido al auge de la digitalización de los servicios financieros, mayor interconectividad de los agentes y la masificación en el uso de canales electrónicos, la Superfinanciera actualizó los requerimientos mínimos para la gestión del riesgo de ciberseguridad en las empresas del sector financiero, a través de la circular 007 de 2018.

Algunos de los puntos más importantes que se plantean en este documento son: la actualización permanente en las nuevas modalidades de ciberataques, centralizar la información en una unidad que gestione los riesgos de seguridad de la información, monitorear diferentes fuentes de información como: sitios web, blogs y redes sociales, y tener mecanismos para análisis de incidentes informáticos, entre otros.

Todas las entidades vigiladas por la Superfinanciera deben cumplir los requisitos exigidos en está circular. Sin embargo, para que Colombia tenga un entorno digital más seguro, es necesario trabajar fuertemente no solo en entidades públicas y financieras donde ha estado el máximo esfuerzo del Gobierno, sino ampliar las medidas y lineamientos a empresas privadas como las Pymes, según afirma Julio César Barreto Baena, desarrollador de negocios en Gamma Ingenieros, compañía experta en ciberseguridad.

A pesar de que Colombia tiene políticas y lineamientos de ciberseguridad y ciberdefensa, algunos países latinoamericanos cuentan con medidas mucho más avanzadas. Por ejemplo, Venezuela, que tiene un amplio espectro de ataques cibernéticos, ha desarrollado una fundamentación tecnológica robusta para su monitoreo, alertamiento y control.

Es por esto que Barreto Baena resalta tres pilares fundamentales a tener en cuenta para el fortalecimiento de las prácticas de seguridad de la información al interior de las organizaciones del sector financiero en Colombia.

La base del conocimiento: fundamentar el conocimiento de los procedimientos permite actuar de forma anticipada frente a los posibles ataques cibernéticos o robo de información vulnerable. Se debe entender cómo gestionar un incidente, cómo actuar, qué procesos realizar, a quién recurrir y cómo interactuar con las evidencias al interior de la organización.

El recurso humano es clave: ¿qué hacemos con los procesos y herramientas tecnológicas si las personas no están capacitadas para utilizarlas? Involucrar al personal de seguridad en todos los procedimientos y entrenarlos es vital, teniendo en cuenta distintos estándares como: ISO 27001 para Gestión de la Información y PCI DSS, que es un estándar de seguridad para la industria de tarjeta de pago. Así mismo, deben aprender temas más avanzados como: el análisis inverso de malware, respuesta a incidentes y forense digital.

Estar actualizado: se deben conocer las nuevas modalidades de ciberataques y así mismo apoyarse en guías para crear un modelo de seguridad propio de la organización. Por ejemplo, existe el CONPES 3854, que establece la política nacional de seguridad digital, frente al entorno y los lineamientos para abordar incidentes informáticos. Este documento se enfoca en el análisis de riesgos y tiene como propósito revisar cada uno de los activos de información, evaluando los puntos más críticos donde pueden ser víctimas de ataques cibernéticos.

El objetivo de estos tres pilares es actuar asertivamente ante cualquier riesgo de seguridad de forma anticipada, evitar la desinformación de las políticas de seguridad al interior de las organizaciones y contribuir desde las buenas prácticas de ciberseguridad actuando de forma transversal en el ecosistema financiero del país.

Este es uno de los temas de mayor relevancia que se desarrollarán a profundidad en el marco de ANDICOM, Congreso Internacional de TIC, que tendrá lugar en la ciudad de Cartagena, del 29 al 31 de agosto.