La Caja de valores del Paraguay avanza en un proceso de inversión e implementación de sistemas de ciberseguridad, enfocado en garantizar la confianza y sostenibilidad de sus servicios en el mercado financiero.
Con inversiones anuales superiores a los USD 250.000, la empresa adopta tecnologías de punta basadas en la nube y trabaja en la certificación ISO 27001:2022, posicionándose como pionera en estándares internacionales de seguridad de la información.
Marcelo Prono, gerente general de Cavapy y Tomás Melgarejo, gerente de seguridad corporativa, destacan el compromiso de proteger activos financieros y fortalecer la confianza de inversionistas.
La Caja de Valores del Paraguay (Cavapy) inició un ambicioso programa de ciberseguridad que no solo busca alinearse con las exigencias locales de la Superintendencia de Valores y el Banco Central del Paraguay, sino también posicionarse como un referente regional, adoptando certificaciones internacionales como la ISO 27001 en su versión más reciente de 2022.
Según resaltaron, este esfuerzo no solo asegura el cumplimiento normativo, sino que también demuestra un compromiso proactivo con la protección de los activos financieros y la confianza de inversionistas locales e internacionales.
En esta entrevista, Marcelo Prono, gerente general de Cavapy y Tomás Melgarejo, gerente de seguridad corporativa, destacan aspectos clave como la inversión anual de más de USD 250.000, el enfoque en tecnologías de punta basadas en la nube, y la integración de procesos, personas y controles para gestionar amenazas tanto físicas como digitales.
- ¿Qué medidas están implementando para garantizar la seguridad de los servicios que ofrecen en el mercado de valores?
Marcelo Prono (MP): Para toda empresa hoy la seguridad de la información es vital, y para Cavapy, podemos decir, doblemente vital. Nosotros ofrecemos un servicio de custodia, pero también integridad y seguridad. Entonces, en ese sentido, es un eje esencial, una energía esencial para construir un ambiente robusto y que nos permita trabajar e ir a dormir, como se dice, tranquilos todos, resguardando el activo financiero de inversión más importante que tiene el mercado de valores. Nosotros hoy estamos decididos a invertir en todos estos proyectos de seguridad de una manera proactiva, llevándolos también a un nivel de estándar mundial.
Tomás Melgarejo (TM): Las inversiones que estamos haciendo en ciberseguridad en Cavapy, desde el punto de vista propio, son muy diferentes a lo que se hace en el mercado local, pero muy similares a lo que se hace en el mercado internacional.
Las inversiones que se están haciendo acá son con tecnología de punta. No es algo que se quede en las oficinas o en un «on-premise,» como se dice en inglés, sino que todo es nube, todo es cloud. Obviamente, las amenazas son muy diferentes. Es muy distinto decir: «Alguien va a entrar a robar en mi Data Center» a «algún hacker de algún punto en el mundo quiere entrar a mis datos y quiere robárselos.» Es mucho más complicado, pero se puede gestionar cuando uno ingresa en tres verticales: la parte de procesos, personas y también lo que tenga que ver con controles.
- ¿Cuáles son los peligros o los riesgos que habrían contra los cuales están previendo?
TM: El riesgo tangible ahora es lo físico. ¿Por qué? Porque los instrumentos que nosotros custodiamos son físicos. Es decir, el tipo de amenaza que puede haber, en realidad, es una persona que ingrese aquí, rompa todas nuestras barreras de seguridad y llegue hasta el lugar donde están almacenados los documentos físicos.
Sin embargo, para poder cuidar lo físico, hicimos una mezcla de lo que se hace en otras partes del mundo, que es empezar a mezclar lo lógico con lo físico. Es decir, las cámaras las tenemos gestionadas inclusive de forma simultánea con un servidor. Es decir, el servidor orquesta de una manera bastante melódica todo lo que está sucediendo ahora mismo.
De hecho, las cámaras que nosotros tenemos no son invasivas, sino que realmente están ubicadas de una manera tal que van con la arquitectura, pero no dejan de proteger. Es decir, las alarmas que están configuradas son por persona, no son por animales, saben distinguir entre lo que es un cambio de foco o un cambio de luz y lo que es realmente una persona que está entrando a hacer un robo físico, la protección que estamos haciendo es mixta. No protegemos lo físico con lo físico, sino que lo físico protegemos también con lo digital.
- ¿Cómo se alinean estas medidas con los requisitos y exigencias establecidos por el Banco Central del Paraguay para los servicios que ofrecen en el mercado local?
TM: Cavapy tiene que cumplir con el regulador que es la Superintendencia de Valores. La Superintendencia de Valores prácticamente está enlazada con el Banco Central del Paraguay. El Banco Central del Paraguay tiene como mayor exigencia, un documento que le llaman «Manual General de Controles de Tecnología de Información,» que es el MGCTI, el nombre corto.
La Superintendencia de Valores adopta ese documento y lo envía al mercado de valores para que también empiecen a adaptar esa forma de hacer control. Dentro de ese manual existe una vertical bastante interesante que es la ISO 27001. Las ISO empiezan en la 9000 y terminan prácticamente en la 50.000, y la 27.000 es específica de ciberseguridad.
Esa 27.000 es la que Cavapy está gestionando para lograr la certificación. No solamente para cumplir con el regulador local, sino también con las mayores exigencias de que una empresa tercera, americana o inclusive europea, nos diga: «¿Saben qué, señores? Ustedes realmente están cumpliendo de una manera bastante excelente un sistema de gestión de seguridad de la información dentro de su oficina».
- Una vez que tengan esta certificación, ¿pasarían a ser la primera entidad con esta certificación en Paraguay?
TM: Sí, en el mercado de valores vamos a ser la primera e, inclusive, en el país seremos los primeros en implementarla con la nueva versión, que es la de 2022. Actualmente, en el mundo se está utilizando la del 2013. A medida que las certificaciones se van renovando, esas empresas van utilizando y adoptando ya la versión 2022. Pero Cavapy, en Paraguay específicamente, vamos a ser los primeros en adoptarla.
- ¿Esto implica que nacen controles nuevos que son de nube, y dentro del mercado de valores también van a ser prácticamente los primeros?
TM: Correcto. Sí, porque uno tiene que evitar ese sesgo de pensar: «estoy certificado, estoy seguro». No es así. Si bien hiciste la higiene, esto es una rueda de nunca acabar, porque los atacantes siempre van a estar un paso más adelante que vos. Por lo tanto, siempre tienes que seguir mejorando.
- Con relación a las inversiones que están realizando en Ciberseguridad, ¿cómo ven esto desde el punto de vista nacional e internacional?
MP: Creo que el mensaje que estamos dando es el compromiso que tiene Cavapy con el mercado, es implementar un nivel internacional de seguridad en la información y que los inversionistas pueden estar y depositar la confianza de que sus activos están siendo resguardados y que ese valor le puede, además de custodiar, también estar tranquilos por la seguridad que tiene Cavapy como entidad.
El análisis que hizo Tomás sobre las diferentes capas, puedo decir, y quizás Tomás pueda explicarlo más detalladamente, que hemos hecho una planificación que estamos cumpliendo con regularidad, invirtiendo por encima de los USD 250.000 por año para llegar a esta capa máxima de seguridad.
Esto es un proceso orgánico de crecimiento. No es que se pueda hacer todo de una vez, sino que tiene que ser un proceso de evolución. Quizás ahí, Tomás, podrías comentar más sobre esas capas que encontramos.
TM: La inversión en ciberseguridad no es que pongas muchísimo dinero de golpe. Eso tiene que tener un proceso, tiene que tener un camino. De nada sirve que compres muchísimas cosas y al final utilices dos o tres botones. Tiene que ser orgánico, tiene que ser natural.
Por eso, hicimos un proyecto que prácticamente yo llamo «programa,» porque al cruzar el año, al segundo o tercer año, ya se convierte en un programa de ciberseguridad. Deja de ser un proyecto de seguridad. En ese programa, las inversiones no solamente son en herramientas, sino también en procesos, cultura y personas.
Mucha tecnología y pocas personas: algo puede fallar. Poca tecnología y muchas personas: es ineficiente. Pero mucha tecnología, personas capacitadas y procesos adecuados generan un balance ideal.
La inversión está bien pensada para que tenga retorno, que es en el cuidado de la reputación. La ciberseguridad, al final, es reputación. No quiero dejar mi dinero ahí si alguien va a saber cuánto gano, de dónde proviene mi dinero o información que yo confié. Es por eso que la forma que le dimos al programa para que de lo orgánico vamos a lo natural.
Mensaje de CAVAPY
MP: Creo que lo fundamental es el compromiso de instalar y construir un ambiente seguro, un ambiente robusto, que pueda otorgar este valor al mercado, y también al mercado, comentar que el equipo de Cavapy está comprometido en lograr estos objetivos durante el 2025, que es el siguiente año que nos toca desarrollar. Así que, satisfechos con eso, orgullosos de poder hoy ser parte de esta construcción y comprometidos con lograr estos niveles que van a los estándares internacionales.
TM: Somos la primera empresa en Paraguay que está en nube, nacimos nube, somos nube. Prácticamente casi no tenemos nada acá adentro, y esa construcción de lo nuevo es lo que enorgullece a uno en presentar eso en el mercado, más allá del compromiso del Ejecutivo de que, efectivamente, la ciberseguridad es algo que ni siquiera se discute. Es algo que se tiene que hacer. Es la construcción de lo nuevo y eso, al fin y al cabo, le demuestra al inversionista y al cliente que las inversiones fueron realmente bien dirigidas.