Felipe Gómez: 'El mercado panameño ha crecido en la demanda de servicios de ciberseguridad'

Felipe Gómez, gerente de la multinacional Fluid Attacks para América Latina, conversa con Espacio Gente sobre el incremento de la participación de la banca panameña en la demanda de los servicios de la compañía. Desde Bogotá analiza los retos de la seguridad informática en la región y los resultados del último informe presentado por la Organización de los Estados Americanos y el Banco Interamericano de Desarrollo, en torno a este tema que compromete a países de Centroamérica y el Caribe. El ejecutivo se especializa en asesorar a compañías del sector bancario, financiero y tecnológico, para que logren proteger sus sistemas, de ataques que pongan en riesgo la operación del negocio.

La pandemia nos llevó a la no presencialidad y las organizaciones se vieron en un afán constante de liberar nuevas tecnologías para atender las necesidades de sus clientes. La industria no estaba preparada; yo lo dividiría en dos tipos: la financiera generalmente ha tenido atención por sus canales virtuales, es la que más afectada se ve por ataques cibernéticos y es la más regulada per se; entonces digamos que es la que naturalmente iba a estar más preparada para poder atender el tema; pero el resto de las industrias se vieron volcadas a tener que atender rápidamente los requerimientos de sus clientes y en el momento en el que comienzan a liberar tecnología de forma apresurada y al no tener en cuenta estándares de seguridad, se han incrementado las brechas de seguridad o los posibles vectores de ataques a los que una organización se ha visto expuesta. Dado esto, las organizaciones han ido asumiendo su postura de seguridad. Anteriormente nos veían como una compañía exclusiva para el sector financiero o para empresas de muy alta envergadura, pero en realidad se han ido dando cuenta de que la seguridad es transversal a cualquier tipo de organización. Al inicio de la pandemia, las organizaciones se volcaron a liberar tecnología con vulnerabilidades, pero poco a poco han ido asumiendo la postura de seguridad.

No lo quisiera llevar a un país en específico, sino a lo que requieren los clientes a nivel mundial. Lo que el cliente quiere es sentir que la compañía está cercana, que responde a las necesidades en cuanto a atención, servicio, que se le faciliten los medios para realizar sus pedidos y que se le atienda de forma rápida. El mercado panameño ha venido creciendo fuertemente en la demanda de servicios como el de Fluid Attacks, ya que se ha expuesto a atender mucho a sus clientes de forma virtual. La banca panameña ha venido incrementando su participación dentro de nuestra compañía; actualmente tenemos cuatro o cinco clientes bancarios fuertes en Panamá, pero también hemos tenido clientes del sector real (retail, manufactura) que propendiendo la seguridad de las transacciones hacia sus clientes, han venido incrementando la presencia en compañías como la nuestra. No quisiera llevarlo solo al caso puntual panameño, sino en general, en cuanto a que la imposibilidad de estar en la presencialidad nos ha llevado a que todas las compañías tengan que madurar en el tema de transformación digital y generar valor hacia sus clientes.

Panamá, con base en el reporte de Fortinet, sufrió el año pasado cerca de 232 millones de intentos de ciberataques. La industria de ciberseguridad ha tenido que ir tomando otro rumbo y te lo pongo en un ejemplo: normalmente esta industria te llevaba a comprar muchos artefactos para determinar si un huracán viene o si va a haber un sismo, pero en la medida en que nos hemos dado cuenta de que la amenaza siempre existe y que el huracán siempre va a venir, dejas de preocuparte tanto por saber que viene y empiezas a incrementar tu postura en seguridad o a controlar lo que directamente puedes manejar. Entonces la industria ha ido volcándose a qué pasa si llega el huracán. No solo la panameña, sino la industria en general ha ido cambiando su postura en cuanto a seguridad. La industria bancaria panameña se vio abocada a 232 millones de intentos de ataques el año pasado y el 90% no genera alertas y ni siquiera sabes que te están atacando. Hay que evolucionar, no tanto en monitorear el ataque, sino en cómo lo puedo repeler.

Nuestra postura es de democratizar la seguridad y que cualquier organización, independientemente del renglón, pueda acceder al servicio. Hemos logrado esto al tener un driver de cobro que vaya directamente ligado a la inversión que realizas en términos de desarrollo. Buscamos que nuestro costo sea directamente proporcional a esa inversión. Esto quiere decir que si es una compañía en una etapa de transformación digital que es severa y está invirtiendo mucho en actualizar todos sus canales digitales y en desarrollo, es natural que tenga que hacerlo también en su postura de seguridad, pero cuando está desarrollando poco o nada es natural que se vea reducida esa cantidad de dinero a invertir, en términos de seguridad. Tenemos mucha presencia en banca porque es el sector que más expuesto está al fraude, pero tenemos clientes del sector transporte, aerolíneas, fábricas desarrolladoras de software, compañías de retail, startups, fintech. A la larga, cuando tienes la postura de un costo proporcional entre el gasto, el desarrollo y la seguridad, cualquier compañía puede adquirir nuestros servicios.

Ha sido un camino que hemos empezado a recorrer de forma dolorosa, pero lo hemos empezado a recorrer y esto parte desde el mito de que 'no me van a atacar'; tenemos la falsa sensación de que al ser una pequeña empresa los atacantes no van a llegar a nosotros, y no hay nada más alejado de la realidad. Hoy los ataques que se ven en internet son automatizados y simplemente van por la red preguntando qué servicios o aplicaciones hay expuestos y cuando encuentran una brecha de seguridad, van directamente por ello. Hemos ido aprendiendo que hay que ser más proactivos que reactivos y normalmente las compañías tienden a tener una postura de seguridad cuando un tercero se los exige, es decir, cuando mi cliente me pide que sea seguro o cuando he tenido algún fraude a lo interno. Las compañías han ido evolucionando a tener una postura en seguridad y saber que es diez veces más económico solucionar una vulnerabilidad desde la fase temprana de la tecnología a cuando está totalmente desplegada. Cuando las compañías comienzan a tomar el sentido de que la seguridad no es un lujo, toman una postura más preventiva.

Este tema es clave. Siempre tiene que haber una regulación a nivel país que permita que las compañías se apalanquen en ella para asumir su postura de ciberseguridad. El gobierno y las entidades estatales deberían asumir una postura para que las organizaciones sean más seguras. En el caso de Estados Unidos, hay regulaciones muy estrictas por industria o por estado que te dicen que si tienes un incidente debes hacerlo público. Entonces, que los gobiernos empiecen a tomar una postura enfocada hacia la transparencia y hacia propender la ciberseguridad apalanca que las compañías también tomen esa postura; recuerda Yandira que generalmente las organizaciones ven la seguridad como algo de lujo y cuando no hay presupuesto lo primero que recortan son los temas de ciberseguridad. Hacia donde deberían empezar a ir los países, en el caso de Panamá y México, es a entender que la ciberseguridad no es un tema de lujo, sino que es algo totalmente necesario para comenzar a ser competitivos a nivel de Latinoamérica y para darle valor a los clientes; que las personas tengan confianza en la industria y puedan hacer sus transacciones tranquilamente por internet.

Lo que buscamos es decirles a las compañías que es mucho más costoso ser inseguros. Normalmente tenemos la falsa sensación de que a nosotros no nos hackean o que no nos va a pasar nada y solamente medimos el impacto reputacional y financiero una vez que somos expuestos. Digamos que el control más sencillo es que desde una postura propia o interna, propendamos a ser seguros. Cuando una compañía, independientemente del tamaño que tenga, pyme, mipyme, fintech o startup tiene una postura proactiva desde el punto de vista de ciberseguridad, va a incorporar dentro de sus gastos renglones específicos como los de ciberseguridad; de hecho, nosotros nunca le decimos a ninguna compañía cuánto se debe gastar en seguridad, porque a la larga va de la mano de la misma necesidad que la empresa tiene; lo que le decimos es que use un criterio de proporcionalidad: si usted para operar se gasta 100 pesos en un año, de esos 100 pesos tome el 10% y dedíquelo a temas de ciberseguridad para que empiece a robustecer su postura y pueda generarle valor al mercado de forma más pronta.