La estrategia de Grupo Aval para la ciberseguridad de sus operaciones

El Fondo Monetario Internacional reveló que en los últimos 20 años el sector financiero ha sufrido más de 20.000 ataques cibernéticos que se han convertido en pérdidas que ascienden los 12.000 millones de dólares. Por su parte, el reporte del costo de violación de datos de IBM estima que un ciberataque efectivo a una institución financiera cuesta aproximadamente 5,9 millones de dólares para recuperarse.

Un escenario que ha llevado al sector a revaluar el marco de acción para tener negocios seguros. Grupo Aval, como el conglomerado financiero más grande del país, ha planteado un ecosistema robusto que pasa por la infraestructura, los empleados, los proveedores y los usuarios finales.

Rodolfo Vélez Borda, Vicepresidente Sénior de Tecnología de la Información de Grupo Aval, explica que han implantado en todas las empresas del grupo el estándar internacional NIS, aprobado por la Unión Europea, pero con un nivel de graduación diferente para cada tipo de entidad.

“Las financieras, que manejan recursos del público, tienen requerimientos mucho más altos, por la información crítica de clientes y sus recursos financieros, y una empresa como Hoteles Estelar tiene unos de menor capacidad pues no maneja información transaccional del cliente. Con esto logramos que las inversiones se enfoquen en las instituciones que lo necesitan más. Adicionalmente, trabajamos bajo un árbol de filiales donde, por ejemplo, Banco de Bogotá es dueño de Fiduciaria Bogotá, y asume gran parte de las inversiones que requiere la fiduciaria en ciberseguridad”, comenta Vélez Borda.

Una industria con retos 360°

Vélez revela que los retos vienen en todos los frentes, desde las capacidades para evitar filtraciones a las capacidades humanas, donde hay retos mayúsculos. Grupo Aval es un ecosistema donde conviven múltiples eslabones y para tener una visión más general, han implementado varias acciones según el actor. Por ejemplo, las empresas que trabajan con Aval tienen el mismo estándar de seguridad, lo que minimiza riesgos de los recursos en sus organizaciones.

En cuanto a los proveedores externos tienen dos puntos de control. El primero, es que siempre se hacen contrataciones vía licitación, las cuales tienen unos requisitos puntuales sobre seguridad de la información y ciberseguridad; el segundo, que estos requerimientos van acompañados de auditorías periódicas a los proveedores más críticos para garantizar el cumplimiento de los estándares.

En cuanto a clientes y usuarios, también se hacen capacitaciones, generando documentos y recomendaciones para asegurar que entren a sitios seguros de Grupo Aval los cuales siempre deben empezar con HTTPS. Cabe recordar que las entidades Aval no incluyen links en los correos electrónicos que envían a los usuarios, y no se debe acceder desde redes públicas o café internet a las plataformas del grupo, además se deben aprovechar todas las herramientas de biometría que tienen instaladas las aplicaciones móviles de Aval.

Respecto a los empleados, su apuesta ha sido invertir en un capítulo enfocado en la capacitación continua de juntas directivas, C-levels, empleados de rangos intermedios y personal en general. Desde concientización en temas como no abrir links de correos desconocidos o entrar a sitios poco seguros, ya que es el camino por donde llega la mayoría de los ataques, hasta la capacidad instalada en los computadores con antivirus y antimalware, un bloqueador de páginas de internet prohibidas, así como herramientas de comportamiento de PC y usuario final, que permiten conocer si el usuario o el equipo está inundando la red o intentando saltar los segmentos, ya que la red está segmentada y no todos los usuarios pueden entrar a todos los servicios o servidores.

“Adicionalmente manejamos un Identity Management con un segundo factor de autenticación como clave variable o biometría. También, tenemos un sistema que permite que todas las alertas que se generan, tanto externos como internos, lleguen a un SOC de seguridad central donde se tramitan y verifican por un grupo especializado, es un trabajo de todas las áreas para que la seguridad se mantenga. Este no es un esfuerzo solo de los Bancos Aval es un esfuerzo del sector y de país”, manifiesta el VP Vélez.

El Vicepresidente explica que el grupo tiene un modelo de gobierno que parte de cada entidad donde se cuenta con un grupo de atención de incidentes (Csir), que a su vez está conectado con un Centro de Servicios Compartidos centralizado, que está comunicado directamente con el Csir de Asobancaria y con el de la Policía, lo que crea un ecosistema compartido donde todas las entidades del país, no solo de Aval, reportan ataques o amenazas para evitar que se propaguen.

Sus consejos para empezar a aplicar la ciberseguridad

El primero que da el VP Vélez, es definir un modelo de gobierno con estándares que les permitan crecer a la medida de la empresa. Con eso, pueden identificar los activos de información y las ‘joyas de la corona’ que se deben proteger, por ejemplo, si es el ciclo de producción en caso de una manufacturera, o datos personales sensibles en caso del sector salud.

Después se deben entender los riesgos a los que se está expuesto, de los básicos a los profundos, y allí implementar seguridad básica como antivirus y antimalware. Estas herramientas irán aumentando en la medida que exista una mayor capacidad de inversión o necesidad del negocio.

Luego, orientado a los empleados, se debe procurar un modelo de acceso con doble autenticación para evitar ataques phishing o de ingeniería social. Con eso se logra una seguridad básica, después vendrán inversiones más complejas como IA o ciberresiliencia.

El papel de las nuevas tecnologías

“Nosotros recibimos millones de ataques y alertas que se están presentando en la red. Para gestionar ese volumen necesitamos un sistema de Inteligencia Artificial que pueda procesar esa Data y detectar amenazas proactivamente. Sin duda la IA es el siguiente paso y estará soportada sobre contenedores de información que nos permiten gestionarla”, señala el Vicepresidente Vélez.

Sumado a eso, serán clave los modelos de Machine Learning para generar modelos capaces de detectar patrones dentro de los ataques, que no dependa de la visión de los operadores, sino que se tenga en cuenta toda la información que las empresas financieras van recolectando para poder gestionar eventos adversos de forma más ágil, e incluso preventiva.

Lo que viene para Grupo Aval en ciberseguridad

Por último, el Rodolfo Vélez dice que le apostarán a la Inteligencia Artificial y a la ciberresiliencia. Hoy por hoy un sistema puede estar infectado de malware y pasar desapercibido por meses, por lo que cuando se presenta el daño deben restaurarse copias de seguridad muy antiguas, lo que representa perder data invaluable. Para evitarlo, buscan tener un tercer centro de cómputo con copias inmutables de pocos días de antigüedad para minimizar los daños.

“Pensando en el futuro, debemos tener en cuenta la computación cuántica, que permite desencriptar en pocas horas protocolos que tomaría muchos años hacerlo. Debemos empezar a ver cómo protegernos y proteger nuestra información, que es sagrada. Nos preparamos para los nuevos riesgos, entendiendo que todos tenemos un papel que cumplir en la ciberseguridad, y estamos comprometidos para que el nuestro siempre tenga el mayor estándar de calidad e innovación”, finaliza Rodolfo Vélez Borda, Vicepresidente Sénior de Tecnología de la Información de Grupo Aval.