“Es un proyecto de éxito, al grado que ya se vendió con el Consejo de Administración y con el gremio como un tema de valor añadido para la empresa; nos permitió tener la certificación para nuestra aplicación móvil”.
Con la finalidad de salvaguardar los datos de millones de trabajadores que tienen una cuenta Afore, PROCESAR, la empresa operadora encargada de administrar la Base de Datos Nacional del Sistema de Ahorro para el Retiro (SAR) y facultada para brindar servicios a todas las administradoras sobre dichas bases de datos, debía contar con los más altos estándares de ciberseguridad hacia un futuro más resiliente.
Omar Velez, CISO de esta compañía, informó que se dieron a la tarea de poner a la organización al día con la última norma mundial de Seguridad de la Información, de tal manera que era necesario certificarse en ISO/IEC 27001:2022. “Esta transición hacia la nueva versión de la norma generó un enfoque más específico para atender las necesidades probables y futuras en materia de ciberseguridad”, destacó.
El CISO resaltó que al adoptar dicho estándar, se fortalece la postura de seguridad de la información, respalda la estrategia de digitalización, reduce los riesgos de violaciones, genera confianza en la marca y desarrolla la resiliencia dada la evolución de los mecanismos de gobierno de la seguridad.
La obtención de dicha certificación apúntala a PROCESAR como una empresa preocupada por el valor de sus clientes, añadiendo la ciberseguridad desde el principio de cómo se brindan los servicios hacia el trabajador mayor. “Hacer esa transición nos tomó un año seis meses; fue muy complicada porque se reducen controles, pero se amplía un alcance en la gestión de riesgos y procedimientos. No solamente es lo que el papel diga, sino que el papel se ejecuta, el papel se gobierna…”
Por otra parte, y no menos importante, el CISO de esta compañía operadora informó que también se capacitó a toda la organización hacia una cultura proactiva y de innovación, y por supuesto, en seguridad.
Para lograr la certificación ISO/IEC 27001:2022, Omar Velez mencionó que tuvieron que realizar la configuración y aseguramiento de todos los equipos, incluyeron herramientas de monitoreo mucho más estrictas, inclusive llegar a un monitoreo de red puntual de tráfico a tráfico y de punta a punta, además de conceptos de migración SD-WAN alrededor de todo el gremio del sistema para el retiro cambiando las puntas de todos los switches, así como la generación de dashwords para aquellos clientes que deseen consultar cómo están sus enlaces, inclusive aplicaron ejercicios de hackeo dinámicos.
Entre los beneficios que trajo consigo esta certificación, el líder de seguridad hizo hincapié en mantener el título de concesión por los siguientes 30 años, no tener una multa regulatoria, los clientes pueden confiar en la transferencia de información de sus servicios con datos críticos de todos los colaboradores de todo el país. “El impacto es gigante tanto para clientes, accionistas, gremio, inclusive colaborador final; todos pueden estar seguros que cuando menos en estos siete años que estoy tomando la gestión de PROCESAR no ha habido ningún incidente de seguridad de la información cuando sabemos que el mundo está siendo vulnerado constantemente”.
Por último, el CISO adelantó que entre los retos de los próximos cinco años está el evaluar temas de computación cuántica, además de probar motores de IA para generar modelos en contradefensa, es decir, en caso de tener un incidente, este motor de IA deberá reaccionar al incidente haciendo todo lo necesario sin el mínimo de intervención humana.
