Redbanc: “Hechos delictuales que enfrentamos nos remueven profundamente”

Los últimos meses no han sido fáciles para Redbanc, sociedad de apoyo al giro de la banca que a inicios de junio sufrió el robo de información de más de 40 mil tarjetas de crédito y débito de sus clientes. A mediados de la semana pasada el número creció a casi 300 mil plásticos luego de que la compañía actualizara la cifra ante la Comisión para el Mercado Financiero (CMF).

Eso sí, de ese total sólo se registraron 350 fraudes por un monto de $ 85 millones.

Tras nueve años en Enjoy, Ignacio de la Cuadra arribó a Redbanc a inicios de 2017 y hoy enfrenta el desafío de sortear esta difícil coyuntura. En entrevista con DF, relata cómo se está abordando esta situación al interior de Redbanc y los profundos cambios que está aplicando a partir de este incidente.

“Nos ha hecho reflexionar en muchos sentidos. Para nosotros la seguridad ha sido un pilar fundamental en nuestra operación, una razón de ser, pero el mundo cambió y muy rápido, y Chile apareció en el contexto de los ataques a la información y eso nos hizo abordar el tema en una lógica de rediseño más vanguardista”, señala.

-¿Cómo han sido estos últimos meses para Redbanc?

-Junto con impulsar el proceso de mejora continua en el que nos encontramos, hemos tenido que redoblar los esfuerzos en términos de seguridad y defensa, de manera de asegurar nuestra continuidad operacional y alta disponibilidad.

A pesar de los intentos de ataque que nos ha tocado enfrentar en el último tiempo, no se ha visto comprometida nuestra operación, sin embargo, los hechos delictuales que enfrentamos nos remueven profundamente como organización.

-¿Cuáles son los principales desafíos para hacer frente a estos hechos?

-Lo principal es que este tipo de eventos no vuelva a ocurrir y para eso estamos robusteciendo nuestro modelo de seguridad integral.

Este modelo demanda estar permanentemente analizando nuestros sistemas y operaciones, así como también, implementando inversiones y proyectos que permitan robustecer nuestras herramientas y controles de seguridad, lo que es clave en estos momentos, porque al final todas las industrias, y la financiera en particular, están propensas a ser atacadas.

-¿Qué cambios están aplicando post incidente?

-Recientemente creamos la Gerencia de Defensa, que tiene la responsabilidad de gestionar la operación de ciberseguridad de Redbanc, junto con la seguridad física y la protección de datos, en coordinación con las demás áreas de la compañía, de manera de articular definiciones, controles, estándares, protocolos y prácticas comunes para la compañía.

A su vez, estamos potenciando la segunda y tercera línea de defensa, es decir, el área de riesgo y seguridad de la información y el área de auditoria interna, entendiendo que son partes clave para el control y la definición de los estándares de seguridad necesarios en este nuevo entorno.

Esto se traduce en un cambio cultural, enfocado en temas de defensa y seguridad, que buscamos que se vea reflejado en todos los niveles de la organización.

El semáforo interno

Entre las medidas de seguridad interna que se tomaron en Redbanc, De la Cuadra destaca la diferenciación con colores, rojo, amarillo y verde (en ese orden, de menor a mayor los accesos a información relevante).

“Hemos cambiado la mirada de algunas autorizaciones internas, concentrándolas en áreas más expertas. Separamos a la compañía en tres capas centrados en la sensibilidad del dato o activo de información, y dependiendo de eso, se definen los niveles de acceso, físicos y lógicos, tanto interno como externo, independiente del rango jerárquico.

-¿Qué elementos de seguridad se requieren en la actualidad para enfrentar las diversas amenazas?

-Un tema central, es la implementación de un enfoque integral con una mirada 360°, lo que debe verse reflejado a nivel de procesos, herramientas, cultura, controles y personas.

Lo primero ha sido generar conciencia de que este tipo de ataques es real y que todos estamos expuestos, para en paralelo implementar un plan que no sólo monitoree temas de seguridad, sino que también los ejecute.

₋-¿Además de la separación de tres capas, qué herramientas tiene este plan?

Todo esto esta acompañado, entre otras cosas, con actualizar procesos y controles de seguridad; contar con un monitoreo de información 24 horas, los siete días de la semana; implementar herramientas de gestión y control de riesgos, que tengan una capacidad de visibilidad adecuadas, que permitan adelantar escenarios de riegos; e ₋incorporar nuevas herramientas tecnológicas en la organización, que se adapten a las nuevas formas de ataque, a través de la detección y análisis de patrones anómalos, entendiendo que los controles tradicionales que antes funcionaban, hoy son fáciles de vulnerar.

-¿Cuáles son los planes de negocios futuro de Redbanc?

-Nosotros definimos con nuestros gobiernos corporativos que Redbanc es una compañía que tiene como propósito facilitar la evolución digital de la industria financiera, y hace varios años que venimos invirtiendo en plataformas, equipo y soluciones para que todas las instituciones financieras puedan utilizar nuestras capacidades para establecer sus propios ecosistemas, evolucionando de forma más rápida, manteniendo la seguridad, alta disponibilidad y eficiencia.

Así, por ejemplo, algunos de los servicios que hemos desarrollado, se traducen en parametrización de usos de tarjetas por zona horaria o geográfica, servicios de ON/OFF que permiten que a través de las aplicaciones de los bancos, los usuarios puedan activar o desactivar sus tarjetas de manera inmediata. En lo digital estamos desarrollando servicios que permitan proteger las transacciones, y al mismo tiempo, mejorar la experiencia de uso.