La digitalización de los medios de pago que se profundizó durante la pandemia, conlleva la necesidad de tomar medidas de seguridad ante posibles ataques y fraudes. Gustavo Aldegani nos cuenta su experiencia como CISO de la empresa GIRE
“Para tener éxito en el mundo digital hacen falta tres capacidades: saber cuidar el dinero de las personas, saber cuidar los datos de las personas y darles una buena experiencia en cuanto al acceso inicial y a su uso diario”, comenta Gustavo Aldegani, Gerente de Seguridad Informática de GIRE.
GIRE es el grupo dueño de Rapipago (el canal de cobranzas extrabancario), Gire Soluciones (la unidad de negocios de outsourcing) y Ducit (la transportadora de caudales). Es una empresa con 30 años de experiencia en el mercado de procesamiento inteligente de información y en el desarrollo de cobranzas y pagos para empresas de todos los tamaños, sectores e industrias.
Para el ejecutivo, para cuidar el dinero de las personas se aplican muchos componentes de Seguridad Informática en cuanto al monitoreo de las transacciones, pero uno de los más importantes pertenece al Área de Riesgo y es el Control de Fraude. “El equipo de Control de Fraude utiliza herramientas que analizan la información de las transacciones y pueden detectar, por ejemplo, cuándo se está utilizando indebidamente una tarjeta de débito, bloquear la operación y avisarle a la persona que se intentó hacer una maniobra fraudulenta con su dinero”, indica.
A lo que agrega que para cuidar los datos de una persona también es necesario contar con herramientas específicas que van desde la encriptación de las bases de datos, a tener un seguimiento y asegurar la información en cada uno de los pasos de una transacción, y sostiene que “Esto se debe realizar de acuerdo con estándares internacionales y a lo que requiere el cumplimiento de la Ley de Protección de Datos Personales. Grupo GIRE fue una de las primeras empresas auditadas por la entonces denominada “Dirección de Protección de Datos Personales” dependiente del Ministerio de Justicia de la Nación, y fue la primera en aprobar la auditoría en una única instancia de revisión”.
“Todo se debe realizar de acuerdo con estándares internacionales y a lo que requiere el cumplimiento de la Ley de Protección de Datos Personales”
Por otro lado, Aldegani comenta:” Lo más complejo es darle una buena experiencia al usuario y en Grupo GIRE lo logramos resolver exitosamente. Para que algo sea simple de utilizar, pero a su vez seguro, la implementación de Seguridad Informática no puede ser sólo la mejor, sino la que, además, agregue la menor complejidad posible a las personas y a la operación de negocio. Esto requiere una alta complejidad en el diseño y la implementación, pero el resultado es justamente “simple y confiable””.
Los riesgos de seguridad en la cadena de pago digital
“Si bien hablamos del mundo digital, no debemos perder de vista que el foco de todo son las personas. Debido a la cantidad de casos que se producen, puede parecer que el riesgo más grande es el de fraude, pero detrás de cada uno de estos delitos puede haber desde un simple robo de un número de una tarjeta de débito, hasta una suplantación de identidad”, señala el ejecutivo, que agrega que, por lo tanto, los riesgos más grandes que se presentan tienen que ver con el grado de Seguridad Informática que se implementa en las plataformas de pago y su posterior procesamiento en los sistemas de la empresa.
Los desafíos de seguridad con códigos QR
Los riesgos informáticos que presentan en la utilización de código QR se pueden dividir en dos: los generados por la suplantación por parte de un delincuente de un código QR y los generados por la aplicación legítima.
Es así que Aldegani señala que los riesgos más comunes generados por la suplantación indebida de un código QR son:
– Instalación de programas dañinos en el dispositivo móvil. Esto ocurre cuando la persona escanea un QR que lleva a sitio que está deliberadamente preparado para ejecutar una infección de malware.
– Robo de Datos. Son los casos en que la lectura del QR lleva a un sitio que le solicita a la persona que complete información en un formulario y ésta se utiliza para acciones fraudulentas. Además, si el sitio fraudulento tiene cierto grado de sofisticación técnica, puede acceder a los datos contenidos en el dispositivo móvil sin la intervención de la persona.
Pero el ejecutivo no deja de lado los Riesgos generados por las aplicaciones: “Si las aplicaciones generadas a partir de una lectura de código QR no fueron desarrolladas bajo el concepto de «Seguridad por Diseño», como el que utiliza el Grupo GIRE, pueden existir vulnerabilidades que un atacante explotará para acceder a la información y a los dispositivos”, recalca.
“La clave es proteger los datos de las personas con las herramientas y controles más adecuados para cada paso de las transacciones”
Por lo que en su experiencia comparte algunos consejos para manejarse de manera segura con códigos QR:
– Utilizar códigos QR que provengan de fuentes confiables. Algunas personas escanean QRs en muchas situaciones como, por ejemplo, los que suelen estar pegados en las mesas de un local gastronómico. Existen casos donde los delincuentes pegaron un QR malicioso sobre el original y las personas los leyeron creyendo que accederían al menú.
– Observar que ocurre entre que se lee un QR y se abre el navegador. Si aparece alguna pantalla extraña o no se llega al sitio esperado, es recomendable interrumpir la acción.
– No escanear QRs que indiquen claramente a donde conectarán y para qué. No es conveniente escanear QRs sólo para ver de qué se tratan.
Lo hecho desde GIRE
Aldegani remarca que el Grupo GIRE se maneja con una estrategia de Seguridad Informática Proactiva y crean sus soluciones bajo el concepto de “Seguridad por Diseño”, por lo que las aplicaciones no tienen vulnerabilidades que puedan perjudicar a las personas o a la empresa, pero agrega: “Además, si se produjera un problema de Seguridad Informática contamos con un equipo de Respuesta a Incidentes altamente capacitado que está disponible las 24 hs. todos los días del año”.
”La implementación de Seguridad Informática no puede ser sólo la mejor, sino la que, además, agregue la menor complejidad posible a las personas y a la operación de negocio”
El trabajo interno y los socios tecnológicos
“Es razonable que una organización recurra a un Partner, cuando no cuenta con suficientes recursos humanos capacitados. En Grupo GIRE contamos con un equipo de Especialistas en Seguridad Informática altamente especializados que se capacitan de manera continua. Nuestras Certificaciones Internacionales como la PCI DSS (Certificación de Seguridad Informática emitida por el Consorcio de Tarjetas de Tarjetas de Crédito) así lo avalan”, denota Aldegani.
Pero revela que su estrategia es trabajar con Socios Tecnológicos, sobre todo al momento de adquirir una herramienta nueva. En estos casos realizan una investigación, seleccionan las dos o tres que consideramos más adecuadas y les solicitan a los fabricantes que los acompañen con una prueba en sus propios ambientes de laboratorio.
“A través de estos pasos logramos, no sólo seleccionar la mejor herramienta, sino que tenemos una idea clara de cómo nos pueden acompañar los especialistas del Proveedor en el desarrollo de una mejor Seguridad Informática”, finaliza el ejecutivo.
No hay comentarios:
Publicar un comentario