La Caja de Valores del Paraguay (CAVAPY) se consolida como líder al obtener la certificación ISO 27001 en ciberseguridad, posicionándose como pionera en el mercado de valores local. Además, es la quinta entidad en Latinoamérica, entre las Cajas de Valores, en alcanzar esta certificación.
De esta manera, tras un año de trabajo y significativas inversiones en tecnología en la nube, la entidad adopta y certifica estándares internacionales que garantizan la seguridad de sus operaciones, reforzando su compromiso con la innovación y la ciberseguridad.
Tomás Melgarejo, gerente de Seguridad Corporativa de CAVAPY, destacó que esta certificación establece un marco para implementar, mantener y mejorar continuamente un SGSI, asegurando que se gestionen los riesgos relacionados con la seguridad de la información de manera efectiva.
En un escenario actual donde el mercado bursátil local está experimentando un crecimiento significativo y con proyecciones prometedoras, el sector sigue apostando por la innovación. Esto no solo busca brindar tranquilidad a inversionistas y emisores, sino también mantenerse a la vanguardia y cumplir con estándares internacionales.
La Caja de Valores del Paraguay (CAVAPY) es un claro ejemplo de esta tendencia. A finales del año pasado, anunció una alianza estratégica para modernizar integralmente la infraestructura del mercado de capitales del país, incorporando la tecnología de última generación de Montran. Como parte de esta colaboración, se adquirieron las soluciones más avanzadas de Montran para Depósitos Centrales de Valores (CSD).
Sumado a esto, en este mes de enero, CAVAPY obtuvo la certificación ISO 27001:2022, convirtiéndose en la primera entidad del mercado de valores en implementar un marco internacional de Ciberseguridad. Esta certificación refuerza la protección de los procesos más preciados del mercado, como la admisión, recepción y custodia de títulos valores-físicos.
Tomas Melgarejo, Gerente de Seguridad Corporativa de CAVAPY explicó que esta certificación representa que la entidad cuenta con un sistema de gestión sólido.
Comentó que, en el caso de la ISO 27001:2022, el sistema esta basado en el ciclo de Deming, siguiendo un ciclo de cuatro pasos: primero, se planifican las actividades y se establecen los objetivos; luego, se ejecuta lo planeado para implantar las mejoras propuestas; después, se audita o chequea lo ejecutado verificando el correcto funcionamiento; y finalmente, se implementan mejoras o actualizaciones basadas en la auditoría, estudiando los resultados y comparándolos con el funcionamiento de las actividades antes de haber sido implantada la mejora. Este ciclo se repite continuamente, lo que garantiza una gestión constante y fundamentada.
Melgarejo detalló que la mencionada certificación proviene de una empresa inglesa, y a diferencia de la ISO 9001, que es ampliamente adoptada por las empresas paraguayas, la ISO 27001 se enfoca específicamente en Seguridad de la información, Ciberseguridad y Protección de la privacidad estableciendo que la empresa debe proteger sus activos frente a los riesgos detectados mediante un sistema de gestión automatizado.
Recordó que desde Cavapy decidieron ir más allá de lo local y optar por buscar esta certificación respaldada por un marco internacional. De esta manera, incorporan este sistema dentro de la entidad, asegurando que sea este marco internacional el que determine si el activo que están protegiendo presenta algún riesgo. “Si se detecta un riesgo, lo evaluamos y, si es aprobado, trabajamos con él, y esto no significa que no se trabajen en todos los riesgos, sino mas bien identificamos cada riesgo, verificamos los tratamientos adecuados por cada uno de ellos y priorizamos la ejecución”.
El gerente de seguridad corporativa de Cavapy también recordó que el proceso para obtener la certificación fue desafiante pero gratificante, y aclaró que aún no termina, ya que consta de tres años. En este punto dijo que la organización que otorga la certificación ISO 27001 vela por asegurar que el sistema de gestión no solo se implemente en el primer año, sino que se mantenga a lo largo del tiempo realizando dos vigilancias durante el período de 3 años.
“En Cavapy, la certificación en sí misma tomó un año, pero la empresa certificadora realiza una vigilancia en el primer año y otra al siguiente, para asegurar que el sistema no pierda efectividad. Solo después de estas dos vigilancias se procede a la re-certificación, confirmando que la empresa ha integrado de manera seria y sostenible el sistema en su cultura organizacional”, refirió.
La inversión realizada para alcanzar este objetivo ha sido significativa, reflejando nuestro compromiso con la excelencia. La implementación de tecnologías de vanguardia, programas de capacitación especializados y consultorías expertas ha sido determinante para esta inversión no solo fortalezca nuestra infraestructura de seguridad, sino que también mejore la confianza de nuestros clientes y socios en nuestra capacidad para proteger sus datos.
Por ejemplo, según comentó Melgarejo, las cámaras con las que cuentan utilizan inteligencia artificial para diferenciar entre personas y vehículos, y las licencias de software que utilizan, como las de Microsoft, son las más recientes lanzadas el año pasado. “Estas inversiones tecnológicas fueron clave para adaptarnos a los estándares exigidos por la certificación”.
El profesional también comentó que esta certificación se alinea con los estándares más recientes, ya que la versión 2022 de la ISO 27001, que incluye la ciberseguridad en la nube, es algo que la versión anterior de 2013 no cubría, y al ser Cavapy una empresa completamente en la nube, los riesgos ya no están “localizados”, sino “en la nube”.
Añadió que al trabajar con las últimas tecnologías y con un marco de trabajo robusto, el riesgo de ciberataques se reduce. “Si llegamos a enfrentar uno, sabemos cómo manejar la crisis de manera efectiva”, aseguró.
Por otra parte, volvió a reiterar que el proceso de certificación sigue un camino establecido, que incluye la certificación inicial, un período de vigilancia y luego una recertificación. Al finalizar el tercer año, en 2028, se exige una expansión del alcance, lo que significa que no solo se debe mantener, sino también aumentar el alcance de las operaciones, sin reducirlo.
“En Cavapy, nuestra intención es seguir expandiendo, no quedarnos estáticos. Además, como ya contamos con la tecnología más avanzada, estamos aprovechando al máximo las herramientas disponibles, sacando el mayor provecho de lo que ya tenemos”.
Melgarejo resaltó que ser la primera entidad bursátil en Paraguay en contar con esta certificación le otorga a Cavapy un valor agregado único, ya que garantiza que los instrumentos están completamente asegurados, tanto en el ámbito bursátil como extrabursátil.
“Contamos con un sistema robusto y auditoría externa internacional que certifica que todo lo custodiado cumple con las normas internacionales, asegurando una gestión del riesgo que ninguna otra entidad del mercado de valores en Paraguay puede ofrecer”, acotó.
Por último dijo que pocas no todas las cajas de valores en la región certifican este marco de trabajo, más bien lo adoptan. A nivel nacional son los pioneros en la industria del mercado de valores, y en Latinoamérica, se ubican como la quinta entidad, entre las Cajas de Valores, en alcanzar esta certificación.
