Mundo Financiero Seguro
Mundo Financiero Seguro
¿Cómo afrontar los riesgos emergentes en la era digital?
En este episodio, nos adentraremos en las diferentes dimensiones de estos riesgos, analizaremos casos recientes y discutiremos estrategias efectivas para gestionarlos en busca de actualizarnos con el conocimiento necesario para navegar con confianza en esta era digital, protegiendo tanto nuestros datos personales como la integridad de nuestras organizaciones.
Mundo Financiero Seguro hasta las innovaciones en fintech y tecnologías de detección y aprendizaje automático. Descubriremos juntos cómo navegar las regulaciones del mercado y evolucionar en la gestión de riesgos y seguridad bancaria. Únete a nosotros para convertir estas tendencias en herramientas poderosas para un mundo financiero seguro. Hoy vivimos en una era de constante innovación tecnológica, donde herramientas digitales como la inteligencia artificial y el machine learning están transformando radicalmente la manera en que trabajamos, pero además cómo nos comunicamos y vivimos en general. Estas tecnologías, aunque ofrecen numerosos beneficios, también traen consigo una serie de riesgos emergentes que debemos entender y gestionar adecuadamente. Estos riesgos abarcan desde ataques cibernéticos y vulneraciones de datos hasta la desinformación y la pérdida operativa de las empresas. Los desafíos que enfrentan los responsables de gestionar riesgos en todo tipo de organizaciones son simplemente numerosos y complejos. Además, la rapidez con la que evoluciona la tecnología puede hacer que estos riesgos sean difíciles de prever, pero también mitigar.
Speaker 1:Soy Juan José Ríos. Bienvenidos a Mundo Financiero Seguro, el podcast de PlusTI. Hoy nos vamos a adentrar en las diferentes dimensiones de estos riesgos. Vamos juntos a analizar casos recientes y discutiremos estrategias efectivas para gestionarlos, en busca de actualizarnos con el conocimiento necesario para navegar con confianza en esta era digital, protegiendo tanto nuestros datos personales como la integridad de nuestras organizaciones. Hoy nos acompañan Jorge Diegues, gerente de Producto GRC de PlusTI, e Ilian Vasco, vp de Producto y Mercadeo de PlusTI. Ambos gracias por acompañarnos. Tenemos mucho que platicar, pero quiero comenzar contigo, ilian. ¿cuáles consideras, viendo este panorama, que son los principales riesgos emergentes que deberán enfrentar y que deben enfrentar actualmente las empresas en esta era digital?
Speaker 2:Hola, juan José, buenos días También, jorge, buenos días Aquí, participando en este podcast, frente a tu inquietud. Digamos que pueden ser muchos, pero pues voy a tratar de acotarlos. Digamos que ahorita, uno de los más famosos solamente, está todo el tema de ciberataques y la vulneración de los datos. Entre esos están diferentes tipos de ataques, pues no los vamos a mencionar todos, pero está el ransomware, el phishing, el malware, entre otros. Pero digamos que en general estos tipos de ataques se van viendo, digamos, o se van incrementando exponencialmente, obviamente con este tema de la era digital. Está también la parte, digamos, que se ha vuelto muy común hoy en día, que es, por ejemplo, todo el tema de desinformación y noticias falsas. Que eso pues, obviamente, tanto en las empresas como en las personas, pues tiene un impacto en la reputación, la confianza, la toma de decisiones, por ejemplo en medios, en blog, por ejemplo, la gente de cumplimiento, digamos, tiene que estar lidiando con muchas noticias falsas o mucha desinformación que hay en los medios. Entonces los bancos en esa parte están cada vez más expuestos a esa desinformación y pueden obviamente tener impactos negativos obviamente en la reputación, desde la misma institución hasta los mismos clientes que participan nuevamente en un proceso, digamos, de vinculación o de noticia, etc. Entonces eso afecta, digamos, la confianza, la calidad de la toma de las decisiones y obviamente, pues hay diferentes puntos específicos que se pueden trabajar ahí. Está también, digamos, otro gran riesgo que pudiéramos catalogarlo, como es la pérdida operativa, en donde uno pudiera decir que, por ejemplo, esas fallas en sistemas digitales, interrupciones del servicio, todos estos puntos, digamos que tienen diferentes componentes que van afectando, digamos, los puntos de trabajo, por ejemplo, en sistemas digitales.
Speaker 2:En el año 2019, capital On, que es de Estados Unidos, tuvo una brecha de seguridad muy importante, digamos, a una configuración incorrecta de esa infraestructura que tenían ellos en la nube. Entonces expuso, digamos, los datos de, creo yo, más de 100 millones de clientes Y obviamente, pues esto no solamente afectó los costos, obviamente financieros, por multas, por acciones legales, por todo lo que significó ese problema, sino que hubo también una pérdida de confianza, obviamente, de sus clientes, obviamente al tener esa información ahí, y diferentes ataques cibernéticos. También está la alta dependencia de la tecnología que hace que esos riesgos obviamente se intensifiquen. Hace que esos riesgos obviamente se intensifiquen porque los bancos o las entidades, hoy, con todo este tema del boom digital, hace que tengan los riesgos asociados a esos proveedores externos y los errores en los software que soportan las operaciones.
Speaker 2:Por ejemplo, hace poco aquí en Colombia, después de un puente festivo que hay pocos en Colombia, tuvimos la caída de un banco muy importante, creo que por más de 24 horas, con millones de clientes por fuera de servicio.
Speaker 2:Entonces eso hace que haya un gran riesgo de la dependencia tecnológica a nivel de proveedores, a nivel de infraestructura de red que es con la que soportan sus servicios y que obviamente esto hace que el riesgo de que los proveedores o las fallas de esos proveedores estén latentes, hace que obviamente los bancos dependan de una variedad de servicios críticos en temas de procesamiento de pagos, como en la parte de inteligencia artificial, que pudieran ser preocupaciones éticas y regulatorias. Muchas instituciones empleados están utilizando la inteligencia artificial para manejar procesos, para optimizar procesos tecnológicos Y precisamente está ese tema de cómo se maneja ese uso de datos, los sesgos algorítmicos, todo lo que tiene que ver con la privacidad. Hace que tenga un riesgo adicional que pudiera estar unido con riesgos de vulneración de datos, en donde pudiera haber pérdida o mal tratamiento de esos datos sensibles, que pudiera finalmente terminar en sanciones legales y pérdida de confianza de los clientes.
Speaker 1:Hemos identificado desafíos comunes, como, por ejemplo, la resistencia al cambio, la falta de habilidades digitales, la integración de tecnologías existentes y, sobre todo, la seguridad de los datos, aunque también vamos a compartir, como siempre, algunas soluciones efectivas. En ese sentido, quiero preguntarte ¿qué desafíos entonces enfrentan?
Speaker 2:los encargados de riesgos en la gestión de estos riesgos emergentes, demanda y lo que significa hoy ese mundo digital. Entonces, cuando lo vemos desde ese enfoque, pudiéramos hablar, por ejemplo, de lo que es la velocidad de la evolución tecnológica, esa dificultad obviamente en lo que esa rapidez en lo que viene y por ejemplo, ahorita, desde que salió el boom de la inteligencia artificial, ha dificultado obviamente más poder predecir y mitigar esos nuevos riesgos. Entonces, por ejemplo, en ese punto está, digamos, yo pienso que es el gran desafío o el desafío más significativo para todas las empresas y especialmente para los bancos, porque esta velocidad hace que primero no pueda predecirlos y tampoco mitigarlos. Hoy, con todos estos temas de inteligencia artificial, en donde ya, por ejemplo, se está viendo que hay programas que en línea, en tiempo real, están modificando, por ejemplo, las caras de las personas, las voces, con una calidad, digamos, asombrosa, pues hace que esas que esos riesgos y esas amenazas y vulnerabilidades que tienen, digamos, emerjan casi tan rápidamente como las nuevas soluciones tecnológicas. Y es donde uno se pone a pensar bueno, si viene creciendo la evolución tecnológica, vienen creciendo también los riesgos con esa evolución tecnológica. ¿cómo hago yo para examinar o evaluar esos impactos a esta velocidad de cambio y que, obviamente, pues pudieran tener diferentes riesgos que hoy ni siquiera tengo mapeados.
Speaker 2:Entonces está ese proceso en donde primero viene la velocidad ligada a la evolución tecnológica, pero también el freno que yo tengo para poder llegar a ese tema. Otro punto importante, por ejemplo, con todo este tema de tecnología, es que pudiéramos decir que hay una falta de conocimiento y experiencia a nivel, digamos, de una escasez, pudiéramos decirlo de personas que sean expertos en temas de riesgo pero que a su vez estén capacitados realmente en todas estas nuevas tecnologías, porque yo puedo estar muy capacitado en temas de gestión de riesgos, de ciberataques y demás, pero digamos que con todo el tema de inteligencia artificial y todo lo que viene ahorita, pues entonces estos profesionales también hacen que conozcan o que tengan que capacitarse y conocer de primera mano cómo pueden trabajar estos temas. Entonces, si estamos hablando de amenazas cibernéticas que vienen evolucionando cada día más, ¿cómo yo puedo tener esos profesionales capacitados con todas las nuevas tecnologías que hoy están significando esos riesgos digitales, por ejemplo? Entonces ese crecimiento tecnológico, ese crecimiento de riesgos, creo yo que no va en línea con el crecimiento, digamos, de la formación, de ese crecimiento, digamos de cómo estamos estructurando a nuestros empleados y en el conocimiento y experiencia de esa gestión de riesgos y esos desafíos que se vienen, digamos, hoy por hoy, en este mundo digital.
Speaker 2:Hay otro tema, por ejemplo en temas de cultura organizacional, en donde pues, también hay un tema y es que, si bien es cierto, venimos trabajando muchos años para una misma línea, para un mismo modelo de negocio, para un mismo, por ejemplo, por dar un ejemplo, lo que viene siendo hoy las cuentas tradicionales, los depósitos a plazo tradicionales.
Speaker 2:Pero digamos que ya hoy ya vienen temas de criptos, de activos digitales, de futuros, de negociaciones mucho más rápidas, mucho organizado, para poder ver que pueda tener una resistencia al cambio y una falta de conciencia sobre esos riesgos de todas las empresas, de todos los bancos, en donde digamos que hay una dificultad para invertir en herramientas tecnológicas más, digamos, en temas de gestión de riesgos o de cumplimiento, que no son la punta de lanza de los negocios, pero que evidentemente se requiere obviamente un tema de inversión, de conocimiento, de una reestructuración de cómo se debe manejar todo a nivel integral y cómo yo puedo llegar a segmentar esas prioridades para poder cumplir con estos puntos. Y finalmente, diría yo que pudiéramos hablar de una fragmentación de ese panorama de riesgos, en donde realmente también es real ver que no vamos a poder atacar todo de un solo. Entonces, si nosotros podemos lograr fragmentar ese panorama de riesgos y ver esa diversidad y esa complejidad de las amenazas, Gracias, ilian.
Speaker 1:Bueno, seguimos abordando las dificultades que existen para lograr la transformación digital. Ahora quiero abordar contigo, jorge, ¿cuáles son, a tu criterio, las principales estrategias que las empresas pueden implementar para anticiparse y mitigar los riesgos estos emergentes en esta era digital?
Speaker 3:Muy bien, buenos días, juan José. Agradezco por la oportunidad que nos da nuestra audiencia de escuchar nuestro podcast de Monitor Plus en esta ocasión. Y bueno, hay que hacer el comentario que, como parte de la experiencia que tenemos al respecto, en estas materias, se puede decir que prácticamente hay que tomar en cuenta de una serie, un conjunto, un grupo de actividades, de planes de acción o de estrategias que pueden ser implementados en nuestras organizaciones, en nuestras entidades, para que nos permita anticiparnos a mitigar cualquiera de los riesgos emergentes que puedan surgir y no nos tome en desprevenidos o no tan desprevenidos del todo, ¿verdad? de recomendaciones que vamos a ir brindando al respecto. Como punto inicial, recomendaría realizar auditorías y evaluaciones constantemente para que podamos identificar las posibles vulnerabilidades en los procesos de nuestras organizaciones.
Speaker 3:Y aquí cabe resaltar la importancia de que contemos con un sistema como el de Monitor Plus para que nos permita efectuar un monitoreo en tiempo real o cercano al tiempo real y que también ayude a detectar y a responder de forma eficaz las nuevas amenazas. Por eso empezamos resaltando la importancia de contar con una solución, con un sistema de alto nivel como el nuestro, idealmente implementar todo lo relativo en el marco de los conceptos innovadores de la auditoría continua. Pero adicionalmente le podemos agregar que podemos hacer inversiones en soluciones de ciberseguridad como los firewalls, como los antivirus, y también en sistemas de detección y de prevención de intrusiones, ya que esto nos da paso y nos permite abrir camino también para asegurar que todos los datos sensibles que tengamos en nuestras organizaciones se encuentren protegidos, se encuentren encriptados, tanto en modo tránsito como en reposo, por igual. Ahora bien, todo esto no estaría completo, no formaría parte de un sistema de defensa completo si no tomamos en cuenta los conceptos relativos a la capacitación de nuestros colaboradores, de nuestros empleados, sobre los conceptos de mejores prácticas de seguridad y cómo identificar las posibles amenazas, ya que esta estrategia de prevención que queremos lograr no debe ser exclusiva de un departamento en particular o de un área en específico dentro de nuestras organizaciones, que pueda formar parte de un sector financiero y de un sector no financiero por igual. ¿verdad?
Speaker 3:Y esto es por lo que debemos establecer, como organizaciones, un conjunto de políticas de seguridad que sean claras, que se puedan considerar para todos los empleados y que la conozcan, sobre todo para que la puedan seguir.
Speaker 3:Otro aspecto muy importante es que debemos desarrollar planes de respuesta que deben de estar completamente probados en su eficacia ante incidentes, para que se pueda minimizar cualquier impacto o cualquier interrupción que pueda surgir y por eso se hace necesario también el hecho de implementar estrategias de recuperación pueda minimizar cualquier impacto o cualquier interrupción que pueda surgir, y por eso se hace necesario también el hecho de implementar estrategias de recuperación ante los desastres que puedan ocurrir, para garantizar la continuidad operativa en nuestras organizaciones.
Speaker 3:Y bueno, es importante mencionar también que debemos hacernos aliados de la inteligencia artificial, muy de moda hoy en día también, especialmente para poder aprovechar los beneficios de estos temas que nos ayuden a predecir, que nos ayuden a identificar en la manera lo posible y razonable los patrones de amenazas emergentes de una entidad como la que tenemos nosotros o en donde estemos trabajando, independientemente también del tipo de industria o del giro de negocio.
Speaker 3:Esta es prácticamente una batalla que no deberíamos de realizar solos, así que se hace muy importante que nos involucremos en redes, en otros canales disponibles de comunicación que nos permitan hacer intercambio de información sobre las amenazas y cualquier otro tipo de riesgo emergente para mantenernos actualizados sobre las nuevas tendencias y sobre las nuevas tácticas de ataque que puedan provenir desde otras regiones. En este último punto, por ejemplo, te va de la mano también con el hecho de colaborar con proveedores externos de seguridad para acceder a diferentes y diversas tecnologías, diversos conocimientos también, que estén especializados, que nos ayuden a esta prevención temprana que queremos lograr, lo que podemos hacer con las herramientas con las que ya contamos, básicas. Por ejemplo, hay que mantener todos los sistemas y software actualizados con los últimos parches, con las últimas actualizaciones de seguridad Y además hay que realizar evaluaciones de seguridad periódicas para precisamente identificar y corregir cualquier nueva vulnerabilidad que pueda surgir.
Speaker 1:Ahora, jorge, muchos se deben estar preguntando qué significa todo lo que estamos hablando para su empresa Y, en ese sentido, quiero preguntarte cómo pueden las empresas identificar y gestionar los riesgos operativos específicos derivados de esta integración de nuevas tecnologías digitales?
Speaker 3:no-transcript. Relacionemos. Esto es porque, antes que integremos una nueva tecnología, debemos realizar un análisis integral para evaluar su impacto potencial en los procesos de nuestras entidades y también realizar estudios de viabilidad para entender cómo la nueva tecnología se podrá integrar con los procesos actuales o bien identificar qué cambios serán necesarios. Poder realizar Seguido a este punto sería mapear y documentar todos los procesos operativos actuales que podrían verse afectados con la nueva tecnología, de tal manera que nos permita identificar los puntos críticos o los posibles puntos de falla que son conocidos, así también que pueda haber en los procesos donde la nueva tecnología podría causar algún tipo de interrupción o de problemas. Esto nos permitirá dar paso a realizar evaluaciones de seguridad para identificar vulnerabilidades potenciales en esta nueva tecnología que estamos adaptando, haciendo pruebas de penetración para evaluar la resistencia que recomendar algún tipo de ayuda, pues está también por supuesto que podamos consultar con expertos en las tecnologías específicas para obtener una visión mucho más detallada de los riesgos operativos y recopilar los feedbacks de los usuarios finales para identificar los posibles problemas operativos desde diferentes perspectivas, que es como una combinación de diferentes estrategias.
Speaker 3:Con este marco de gestión establecido, ya podemos desarrollar planes de respuesta o planes de acción ante los incidentes que generen posibles fallas operativas y establezcan procedimientos claros para la recuperación. También nos permitirá crear escenarios de contingencia para diferentes tipos de fallas, porque cada caso puede ser muy diferente, muy diverso uno en comparación con el otro, para que podamos preparar las respuestas específicas para cada tipo de riesgo. Y, sobre todo, remarcar el tema de capacitación. No debemos dejar de mencionarlo porque, al preparar de mejor forma a nuestros colaboradores en el uso de la nueva tecnología y en cómo identificar y manejar los problemas operativos, es esencial en materia de prevención de riesgos operativos.
Speaker 3:Y siempre vamos a destacar la implementación de un sistema que nos ayude en la automatización de la gestión de riesgos operativos, pero también de otros tipos de riesgos, tal como nuestro sistema GRC o RM de Monitor Plus, no solo para mantener la información de manera integral, incluyendo varios tipos de riesgo, sino que también nos ayude a generar las alertas tempranas que nos den un margen de tiempo adecuado para adoptar las medidas de mitigación oportunas.
Speaker 3:Y hay que decir también, con lo anterior, que esto nos va a ayudar a lograr tener de mejor forma una adecuada cultura de gestión, que siempre se ha mencionado desde ocasiones anteriores y que evidencia que la alta dirección esté comprometida con la gestión de riesgos y que apoye las iniciativas de seguridad y de mitigación de riesgo Y como resultado de toda esta estrategia ya para ir concluyendo mi respuesta vamos a lograr el fomento de toda una comunicación abierta en nuestras entidades, que nos facilitarán los canales necesarios de comunicación para que nuestros colaboradores puedan reportar problemas operativos y sugerencias de mejora, o que ayude a fomentar también una cultura de transparencia donde los riesgos y sus posibles causas se pueden revisar abiertamente y se aborden de manera dinámica, como hemos abordado.
Speaker 1:La integración de esta tecnología representa entonces grandes beneficios para las empresas, pero también un gran desafío, principalmente si hablamos de temas como la resistencia al cambio, la dificultad para adaptarse a nuevas herramientas o al desconocimiento de sus funciones y beneficios. En ese sentido, william, ¿cómo pueden las organizaciones equilibrar la adopción de nuevas tecnologías con la necesidad de gestionar los riesgos asociados?
Speaker 2:Voy a tratar de darle un enfoque desde el punto de vista como se habla del equilibrio, de cómo digamos sería la mejor manera, tratando de no tocar varios puntos que mencionó Jorge. desde la parte estratégica, entonces digamos que lo primero que pudiéramos decir, pudiéramos hablar, por ejemplo, de alimentar un enfoque gradual tanto en esto como en todas las tecnologías. considero que cuando uno va a llegar a adoptar esas nuevas tecnologías, debe ser de una manera incremental. ¿paraPara qué? Para permitir, por ejemplo, que se puedan evaluar y mitigar los riesgos de cada una de esas etapas. Entonces, si uno aplica este enfoque, puede permitir que las organizaciones puedan evaluar y mitigar esos riesgos en cada una de las etapas del proceso para poder garantizar, obviamente, una transición más segura y controlada. proceso para poder garantizar, obviamente, una transición más segura y controlada.
Speaker 2:Entonces, ¿qué beneficios esto nos trae? Pues, obviamente, que podamos tener una evaluación continua de riesgos, desde que los podamos identificar y abordar esos riesgos potenciales desde cada fase de la implementación y obviamente, pues, reducir la posibilidad de que sea un fallo catastrófico, porque no estoy yendo a un todo, estoy yendo obviamente a cada uno de esos puntos iniciales. Puedo implementar todo lo que tiene que ver con adaptación y mejores, por ejemplo, porque puedo facilitar obviamente esa incorporación de ese feedback del equipo, la mejora continua, digamos, del sistema o asegurar que las soluciones que voy a implementar sean efectivas y seguras. Y también puedo, por ejemplo, trabajar en todo lo que tiene que ver con la gestión de costos y recursos, en donde, obviamente, pues si uno ayuda a distribuir los costos y recursos de un proyecto de la manera más eficiente, obviamente evitando grandes inversiones iniciales, pues solamente que puedan significar una pérdida significativa si esa tecnología falla, entonces cuando nosotros entramos a ver esos diferentes puntos, estos tres pasos, lo más importante pudiera ser que podamos ir, digamos, desde un punto de vista gradual.
Speaker 2:Entonces, si lo vemos, digamos para aterrizarlo en un ejemplo, pudiéramos decir que si voy a entrar en un proyecto, por ejemplo, de inteligencia artificial para la detección de fraude o la detección de lavado, pudiéramos hablar desde un contexto de que lo primero que tengo que hacer, obviamente como un proyecto, un todo, es aplicar esa inteligencia artificial para los patrones de fraude, patrones de lavado de activos, para que los pueda medir más rápidamente, con mayor precisión, a un método tradicional, digamos tecnológico.
Speaker 2:Pero si lo hago, digamos, gradualmente, pues entonces puedo empezar ese proyecto de inteligencia artificial, obviamente, por ejemplo, iniciando su conjunto de transacciones de tarjeta de crédito, o puedo verlo desde un conjunto de transacciones, de, digamos, de una cuenta de ahorros específicas, y ya después, cuando vaya a ir viendo y probando los modelos a nivel de seguridad, de implementación, de capacitación, pues entonces ya puedo aplicar este enfoque o ajustarlo a esos algoritmos, a todos los demás, obviamente, procesos o transacciones de la compañía. Eso digamos en un primer punto, ya viéndolo desde una perspectiva general, ahorita bien, como todo proyecto. por ejemplo, si vamos a hablar, digamos, de ese equilibrio de adopción de esas tecnologías, pues podemos hablar de que siempre debe haber o existir una evaluación de la relación costo-beneficio¿. Qué traduce esto, que esa evaluación de ese costo-beneficio, qué traduce esto Que esa evaluación de ese costo-beneficio? pues, primero debe ser crucial, obviamente para cualquier organización que considere la implementación de nuevas tecnologías, pero especialmente, por ejemplo, para el sector bancario, que podamos implementar un proceso o un análisis exhaustivo de los beneficios potenciales en comparación de los costos y los riesgos asociados. Entonces, por ejemplo, si yo voy a ver cuáles son de mi proceso, mi proyecto, la identificación de esos beneficios potenciales, pudiera estar hablando, por ejemplo, que entonces tengo que ver la mejora de la eficiencia. Si yo aplico algo dentro de un proceso, una tecnología, pues se supone que yo, o se supondría que yo debería tener un aumento de la velocidad y precisión, por ejemplo, de las operaciones o del control que quiero establecer.
Speaker 2:Reducción de costos operativos Si estoy implementando tecnología, pues debería disminuir obviamente esos costos a largo plazo mediante automatización, optimización de esos procesos. Ver, por ejemplo, como en un todo y como todo negocio, por ejemplo, ver si esa implementación o esas tecnologías están mejorando o al menos están equilibradas con la experiencia que tiene el cliente desde, obviamente, lo digamos, a ayudar a que tengamos una provisión de servicios más rápidos y personalizados, o que no haya una fricción frente a los controles que estoy implementando y la experiencia realmente del cliente. Y pues, digamos que pudiera ser un tema final y es ver la ventaja competitiva, por ejemplo, adopción temprana de tecnologías innovadoras o qué me puede diferenciar mi institución financiera frente a los competidores, digamos, adoptando una tecnología en particular. digamos que eso pudiera ayudar a que tengamos, digamos, una mayor, digamos, cobertura y obviamente, pues tengamos claramente el panorama de sus beneficios potenciales. pudiéramos hablar también de esos análisis de riesgos potenciales que varios los tocó ahorita, jorge, desde seguridad, desde cumplimiento, desde operativos, que hemos mencionado hoy en los diferentes temas.
Speaker 2:Yo me iría e incluiría otro más, por ejemplo, en donde pudiéramos hablar de lo que tiene que ver con fomentar realmente esa cultura de innovación y seguridad, cómo nosotros, a nivel de institución, podemos promover esa cultura organizacional que valore la innovación pero a su vez también la seguridad. Entonces, ¿cómo podemos asegurar que en esos procesos en donde se está digamos creando o co-creando esa innovación, en los procesos, en los productos, en los servicios, cómo se puede integrar en todos los niveles el modelo de seguridad? Entonces digamos que ese es uno de los puntos que considero bien importantes porque normalmente o comúnmente estas áreas que están digamos fomentando esta innovación, pues digamos que a veces no van de la mano con el tema de seguridad, entonces que vaya, la innovación y la seguridad es crucial obviamente para las organizaciones. la innovación y la seguridad es crucial obviamente para las organizaciones, obviamente especialmente para el tema, digamos, financiero, bancario, donde esa adopción de esas nuevas tecnologías pues debe ir acompañada de unas medidas obviamente muy robustas de seguridad o completas de seguridad, que acompañen nuevamente que vaya a haber una afectación con todas las implicaciones que hemos venido hablando.
Speaker 2:entonces creo yo que es parte del proceso que ayuda a que tengamos eso y que eso pudiera ir acompañado, por ejemplo, de temas de reconocimiento y de recompensa donde las entidades y hay algunos ejemplos de industria en donde hay entidades que crean estos programas disentidos y recompensas a los empleados que propongan innovaciones seguras o que identifiquen y mitiguen riesgos dentro de nuevos procesos organizacionales, que es un tema, digamos, que va asociado no solamente también al negocio o, obviamente, a hacer más, pero también cómo yo protejo lo que tengo hoy.
Speaker 2:Y finalmente, pues pudiéramos hablar de cómo yo puedo tener ese monitoreo de actualización continua, hablando desde qué punto de vista viéndolo, por ejemplo, desde el mantener un monitoreo constante de esas nuevas tecnologías y actualizar esas estrategias de gestión de riesgos en función de nuevas amenazas o nuevas oportunidades. Entonces, ¿esto cómo se traduce? Que, por ejemplo, si yo tengo hoy un proceso, digamos tecnológico, pues yo pueda ver si estamos hablando de la rapidez del crecimiento exponencial y de todo lo que venimos hablando, pues en teoría, yo debería tener una evaluación o un monitoreo de esos riesgos en tiempo real. Sería como lo más lógico.
Speaker 2:Entonces, desde eso, pudiéramos estar hablando de que nuestros sistemas hoy, entonces, desde eso pudiéramos estar hablando de que nuestros sistemas hoy, tanto de prevención de lavado, prevención de fraude, prevención, digamos, de riesgos, control interno, etcétera debería contar con sistemas y herramientas que permitan esa evaluación continua de riesgos, obviamente en función de sus amenazas y vulnerabilidades, pero con un enfoque de tiempo real que haya mayor oportunidad.
Speaker 2:Eso es, digamos, desde un frente, y el segundo frente, obviamente sin llegar a ser un tema de una analítica avanzada, pero sí debería haber un análisis predictivo. ¿Por qué un análisis predictivo? Porque la idea es que podamos anticipar, no solamente que lo pueda detectar, digamos lo más pronto posible o en el mismo momento en que se realiza, sino cómo yo puedo anticiparme a esas posibles amenazas y tomar las medidas preventivas para que no me pase. Entonces digamos que pudiéramos emplear, por ejemplo, algoritmos de machine learning para analizar grandes volúmenes de datos transaccionales, de clientes, etcétera, y poder detectar patrones anómalos que puedan identificar fraudes o temas de los activos. Digamos que, con esos puntos, creo que uno pudiera estratificar o emplear un modelo que ayude a que tengamos, que las organizaciones tengan un equilibrio en esa adopción de esas nuevas tecnologías.
Speaker 1:Luego de esto, Jorge, ¿de qué manera la colaboración entre diferentes sectores y entidades puede fortalecer Pues hablo de nuestra capacidad para enfrentar los riesgos emergentes en esta era digital?
Speaker 3:Bueno, esto tiene un poco de relación con una de las preguntas a las que le dimos respuesta en esta oportunidad de nuestro podcast, que le demos respuesta en esta oportunidad de nuestro podcast, ya que hablamos también de establecer esto como una estrategia de compartir información o experiencias similares, en donde nuestras entidades puedan compartir información sobre los ciberataques recientes, tácticas empleadas por los atacantes o cómo las vulnerabilidades han sido descubiertas o cómo fueron detectadas, lo que nos permite también tener una respuesta que sea mucho más rápida y mucho más efectiva. Así que una de las mejores formas de hacerlo es compartir las mejores estrategias y las mejores prácticas implementadas que nos hayan dado los mejores resultados en la gestión de estos tipos de riesgos, considerando que pueden ayudar también a otras empresas a fortalecer, a mejorar y a robustecer sus propias defensas, a hacer también pruebas sobre posibles ataques y detectar en qué puntos se encuentran mucho más vulnerables. Hay que decir también que el hecho de colaborar en la creación de estándares de seguridad o normativas, mejor dicho, también puede ayudar a garantizar que en nuestras entidades se pueda cumplir con un mínimo de protección. Ese debería ser como un estándar a partir del cual deberíamos empezar a validar nuestro nivel de protección como entidades, por lo que debemos trabajar juntos para poder desarrollar y también hacer cumplir las regulaciones, las diferentes normativas que han surgido que toquen las amenazas digitales emergentes, pero de manera integral.
Speaker 3:Ahora bien, otro resultado que podemos tener en esta estrategia de colaboración entre entidades para verla fortalecida y que se mejore, se vea mucho más robustecida la protección que queremos tener ante los riesgos emergentes, ocurre cuando logramos compartir los recursos tecnológicos, como los centros de datos y las herramientas de ciberseguridad, ya que esto obviamente puede ser mucho más eficiente y nos ayuda, sin dejar de mencionarlo, a que aumente la resiliencia de todos los que se vean involucrados. Una idea práctica para lograrlo, pues, podría ser que organicemos y se defina en conjunto programas de formación y simulacros para mejorar precisamente las habilidades de los equipos de seguridad que tengamos implementados en nuestras empresas. Como resultados que también podemos esperar de esta colaboración y que le da mucha importancia a estos temas que estamos mencionando, es el fortalecimiento a la resiliencia, aunque es posible que nosotros ya la tengamos adquirida con algún grado de madurez como producto de hechos pasados. Pero tanto para escenarios como este como para otros, también es importante y muy estratégico también que desarrollemos planes de continuidad del negocio, tomando en cuenta las recomendaciones del estándar ISO 22301, y también planes de recuperación ante desastres, que incluyan colaboraciones para asegurar una recuperación mucho más rápida y mucho más eficiente. Y, como también habíamos mencionado anteriormente, es muy recomendable que realicemos simulacros en conjunto para que podamos probar la efectividad de nuestros planes de resiliencia y que después nos puedan apoyar a mejorar las capacidades de respuesta.
Speaker 3:Otro de los aspectos claves que quisiera mencionar en nuestro podcast es que debemos promover toda una cultura de seguridad para que el tema quede socializado y que todos lo entendamos muy bien y que sea mucho más fácil ponerlo en práctica, como el hecho de colaborar en campañas de concientización para capacitar a nuestros colaboradores directos e indirectos Porque también se pueden presentar riesgos digitales en estas áreas, ¿verdad?
Speaker 3:Y de esta manera implementar las medidas de protección. Esto nos da paso a una formación continua que nos permite ayudar y fomentar también toda una cultura de aprendizaje continuo y de adaptación, también ante nuevas amenazas, apoyándonos en programas de formación con nuestros colaboradores. Y, como último punto, quisiera hacer hincapié en el tema de la creación de redes y de alianzas que podemos lograr con nuestras organizaciones, mejor dicho, pero también entre las instituciones académicas, entre los organismos internacionales, para que podamos enfrentar las amenazas digitales de manera coordinada. Y, por último, les podría hacer participar en foros, asistir a conferencias, y tomar nota de todos estos tipos de eventos que están generándose mucho hoy en día, en donde se puedan discutir los desafíos comunes y las estrategias que nos ayuden a enfrentarlos, tales como nuestros webinars, que desarrollamos también acá a lo interno, por ejemplo interno, por ejemplo.
Speaker 1:Muchas gracias. Bueno, llegamos al momento de recalcar los puntos más relevantes que se han tocado y se han hablado y de alguna forma investigado a lo largo de este podcast, así como, por supuesto, pedirles, solicitarles las razones de por qué es importante tomar en cuenta lo dicho hasta el momento. Así que, Ilian y Jorge, voy a pedirles enseguida que nos brinden y compartan con todos nosotros sus recomendaciones. Comenzamos contigo, Jorge.
Speaker 3:Considero que debemos mencionar que esta tarea de afrontar los riesgos emergentes en nuestra era digital definitivamente requiere de un enfoque proactivo y que se acople de manera integral y, sobre todo, debe ser una gestión adaptable ante los cambios imprevistos que puedan ocurrir. Porque la mayoría de las empresas debe de contar con una sólida base de conocimientos y aplicación de los temas de ciberseguridad, empezando porque se aseguren que todos sus aplicativos, todos los programas, software y sistemas y dispositivos que posean y que utilicen para el desarrollo de sus actividades estén actualizados, estén protegidos contra amenazas comunes. Importante que destaquemos que los temas que se mencionaron, como la capacitación y la concientización de todo nuestro personal, son elementos claves en esta gestión de riesgos de manera preventiva, y también hacer mención que nuestros colaboradores deben de estar continuamente formados, actualizados en temas de mejores prácticas de seguridad, especialmente en el tema de phishing, que recientemente ha tenido mucho auge en muchos países de nuestra región, lo que es importante. Que se destaque la identificación de estos tipos de correos electrónicos que provienen de dudosa procedencia y que aparentan ser inofensivos. Electrónicos que provienen de dudosa procedencia y que aparentan ser inofensivos. De la misma forma. Hay que recordar que las políticas de seguridad deben de ser claras en su alcance y, una vez establecidas, se deben de comunicar con respecto a las responsabilidades que cada miembro tiene que tener como parte de su equipo en este conjunto de estrategias para que, precisamente, ayude a crear una cultura organizacional de seguridad. Este es, como que, uno de los elementos muy importantes que quisiera brindar como recomendación, pero otra conclusión importante que quisiera incluir es el tema del apoyo tecnológico que debemos buscar, porque esto pues también ocupa, y hay que decirlolo, un papel muy importante que nos permite y nos permitirá alcanzar los propósitos que estamos hablando en esta oportunidad de nuestro podcast.
Speaker 3:Adecuadas como los servicios en la nube o como las herramientas de código abierto, porque pueden ser muy efectivas sin tener que recurrir a una inversión muy alta, ¿verdad?
Speaker 3:También debemos de hacer énfasis en realizar, porque se habló de evaluaciones frecuentes de riesgos que nos permitan identificar y además priorizar las amenazas más críticas, mientras que los planes de continuidad de negocio y de recuperación ante desastres nos va a ayudar a garantizar que podemos estar mejor preparados para minimizar el impacto de los posibles incidentes que puedan ocurrir en cualquiera de nuestras organizaciones.
Speaker 3:Y finalmente, y ya para ir cerrando mis conclusiones y mis recomendaciones, recordemos que la adaptabilidad y la innovación continua son dos elementos claves para mantenerse al día con las amenazas que se encuentren en constante evolución, tanto para prevención de riesgos como para prevención de fraudes, tal como lo estaba mencionando William en una de sus respuestas, y también cualquier otro tipo de operaciones inusuales que no queremos tener en nuestras organizaciones. Por eso es que las empresas deben estar actualizadas en las últimas tendencias de ciberseguridad y deben de participar de forma continua o hacer ajustes regularmente en sus estrategias de seguridad, incluyendo y recalcando la adopción de tecnologías avanzadas, como la recomendación que damos o que parte de las respuestas que dimos sobre el aprovechamiento de la inteligencia artificial y de machine learning, porque nos ayudan a precisamente a identificar y a prevenir estos tipos de riesgos, amenazas futuras que puedan ir surgiendo también, y que nos ayuden también a asegurar que las defensas que se van a implementar zonas correctas, que la medida de mitigación que vamos a implementar también, están evolucionando junto con el panorama de todo este tipo de amenazas.
Speaker 1:Gracias, jorge. Ahora regresamos hasta Colombia para solicitar de Ilián tus recomendaciones al respecto.
Speaker 2:Gracias, juan. Mira realmente este tema de la importancia realmente crítica, esta adición de riesgos y estos riesgos emergentes en toda esta era digital y especialmente, digamos, para uno de los enfoques bancarios en donde obviamente esta adopción de estas tecnologías lleva oportunidades como desafíos. considero que pudieran ser cuatro los grandes puntos. El primero, ¿cuál es? Es esa intersección que hablábamos entre la innovación y la seguridad. Definitivamente, es primordial poder encontrar ese equilibrio entre poder fomentar la innovación, ir en línea con la innovación, incluyendo, como mencionaba Jorge ahorita, que la innovación vaya acompañada obviamente de tecnología, pero que podamos garantizar la seguridad. Entonces, las organizaciones, la idea es que puedan y deban promover esa cultura que valore tanto la creatividad como la protección de datos, los activos, la vulneración de los sistemas y todo lo que tiene que ver nuevamente con seguridad. segundo, pudiéramos hablar de la necesidad de la actualización continua.
Speaker 2:entonces y tema que también mencionaba Jorge ahorita la tecnología obviamente cada vez va evolucionando más rápidamente y la gestión de riesgos y todo lo que tiene que ver nuevamente hablando de riesgo, de lavado riesgo, digamos, de fraude, pues debe ir en línea o adaptarse solamente en consecuencia. Entonces ese monitoreo constante y la actualización de los sistemas y los sistemas frente a las políticas, los sistemas frente a los procedimientos, los sistemas frente al personal, pues son fundamentales para mantenerse al día con esas nuevas amenazas y oportunidades que se van generando. El tercero, pudiéramos hablar de la colaboración y la educación, que es muy importante y que mencionamos en este, en donde pues, primero pudiéramos ver cómo, pues, para no entrar mucho en la educación que mencionamos en varios puntos, y es primero, pues tenemos que tener personas que estén educadas o que mejoren esa educación en todos los temas emergentes, pero también pudiéramos estar buscando colaboraciones entre industrias, participando en foros o tener esa capacitación continua, no solamente en temas, obviamente, de riesgos, pero también mantenerse informados sobre las últimas tendencias tecnológicas y cómo se pudiera compartir esas mejores prácticas en la gestión de riesgos tecnológicos como tal, viéndoles de la actualización, digamos, de este boom tecnológico que viene dando. Y, finalmente, pudiéramos hablar de que podamos implementar un enfoque holístico, que muchas veces lo vemos y lo tratamos, de cómo podemos ver de una manera holística el monitoreo de operaciones, la prevención de fraude, prevención de lavado, pero cómo podemos ver desde una manera holística toda esa gestión de esos riesgos digitales que obviamente no se limita únicamente a prevención de lavado y fraude, se limita, digamos que va mucho más allá, desde aspectos como la ética en el uso de datos, la contigüedad del negocio que menciona ahorita Jorge, por ejemplo, la conformidad normativa, en donde tengo N normativas que cumplir, como voy cumpliendo obviamente, frente a esa innovación, esa seguridad y ese cumplimiento, y si aplico ese enfoque holístico, pues pudiera ser necesario abordar todos los aspectos de riesgos digitales de una manera más efectiva.
Speaker 2:Digamos que, para cerrar en conclusión con los temas también que aportó Jorge, el abordar esos riesgos emergentes en esta era, pues requiere primero esa combinación de vigilancia constante, colaboración estratégica, ese enfoque equilibrado que mencionábamos entre innovación y seguridad, y yo creo que la organización que pueda adoptar este enfoque de la mejor manera pudiera estar mucho más posicional para enfrentar obviamente todo este proceso y minimizar los riesgos que una compañía que vaya obviamente como por islas y que vaya trabajando de una manera, como se dice, independiente. Yo creo que con eso pudiéramos cerrar conclusiones y ese enfoque que trabajamos hoy.
Speaker 1:Muy bien de esta forma. Agradecemos las exposiciones tanto de Jorge Diegues. Muy bien de esta forma. Agradecemos las exposiciones tanto de Jorge Diegues, gerente de Producto GRC de Plus T, y también a Ilian Vasco. En esta era de innovación tecnológica y cómo estos pueden afectar a nuestras organizaciones y también a nuestras vidas personales. Hemos también discutido estrategias y soluciones efectivas para gestionar estos riesgos y proteger nuestros activos más valiosos. Gracias por escuchar este episodio de Mundo Financiero Seguro, el podcast de PlusTI. Soy Juan José Ríos y recuerden mantenerse seguros en el mundo digital es una responsabilidad de todos. Hasta la próxima.