ÚLTIMAS NOTICIAS

ARTÍCULOS RECIENTES

Publicado el 6 abril 2021

Seguridad de la información en el sistema financiero mexicano

El sector financiero es pionero en implementar medidas preventivas y de contención en materia de seguridad cibernética y seguridad de la información. Este liderazgo, es ejercido tanto desde el ámbito tecnológico como desde la generación de un marco regulatorio como consecuencia de la cantidad de ataques cibernéticos que este tipo de instituciones reciben.

En este contexto, la regulación y sanciones contribuyen a mitigar riesgos y salvaguardar a empresas y usuarios. De acuerdo con el Banco de México, las entidades e instituciones financieras enfrentan los siguientes tipos de amenazas:

  1. Disrupciones en las tecnologías de información que utilizan e indisponibilidad de los servicios a causa de estas.
  2. Afectación de la integridad, disponibilidad y confidencialidad de la información de que disponen, incluyendo la de sus clientes.
  3. Pérdidas económicas para la institución o los usuarios de servicios financieros.

Aunado a lo anterior, debe considerarse el daño a la reputación de las instituciones afectadas, con la consecuente pérdida de confianza del usuario.

Seguridad de la información en el sistema financiero

Partiendo de lo anterior, la seguridad de la información en el sistema financiero está dada por las estrategias que velan por la información sensible de instituciones y usuarios en el ámbito cibernético. Esto a través de la prevención y detección del robo de datos o fraudes que se ejecutan de forma digital.

Para ello, las empresas pueden partir de una estrategia generada de manera interna para la organización, o gestionar la ciberseguridad por medio de una compañía especializada.

En ambos casos, es importante tener en cuenta las siguientes medidas generales que la mayoría de las regulaciones menciona para reforzar la protección de datos en el sistema financiero:

1. Desarrollar mecanismos robustos para la protección de datos

Sin importar que estos se almacenen en medios físicos o electrónicos, además de procurar la administración de riesgos de seguridad a través de un apartado de medición y gestión específico. De acuerdo con un estudio de la OEA, se calcula que el 73% de las instituciones de la Banca Comercial o Múltiple ya han establecido planes de seguridad en este apartado.

2. Mantener el control de los puntos de acceso

Garantizando que únicamente el personal autorizado tenga contacto con la información y que los accesos estén limitados por claves, permisos y roles. Por otra parte, las actividades relacionadas con la consulta y el uso de estos deberán estar monitoreadas a través de soluciones tecnológicas para este propósito.

3. Identificar la exposición a riesgos asociados con terceros

Las instituciones financieras tendrán que asegurarse de que sus proveedores de tecnología y aplicaciones cumplen con las normas de seguridad estandarizadas y operan dentro del marco regulatorio vigente en el país.

4. Generar protocolos de respuesta a incidentes críticos

Ante alguna situación que vulnere la seguridad, debe aplicarse el protocolo que sea establecido para mitigar el impacto dentro y fuera de la organización. Según el Banco de México, estos protocolos deben comprender cinco fases:

  • Preparación: se refiere a tener los elementos necesarios para responder a un evento crítico. Esto es, bases de datos de contacto, respaldos de información, medios para comunicación y conocimiento de los activos informáticos que se deben monitorear para detectar anomalías.
  • Detección: en esta fase se identifican las incidencias, ya sea por el reporte de algún usuario o mediante los sistemas de monitoreo con que cuenta la institución.
  • Análisis: se establece si la atención a algún incidente debe ser escalada de forma externa a la entidad o si debe llevarse a cabo un seguimiento interno.
  • Contención, erradicación y recuperación: en esta etapa se ponen en marcha acciones correctivas y se emite una declaración de inicio y término del incidente.
  • Análisis post incidente: se estudia en detalle lo ocurrido, se documenta y determina qué es necesario corregir para prevenir futuros eventos críticos.

5. Desarrollar políticas de protección

Orientadas a salvaguardar la infraestructura de cómputo y telecomunicaciones, así como de las aplicaciones, sistemas y bases de datos.

6. Implementar programas de capacitación

Las instituciones deberán educar a su equipo humano en materia de seguridad informática y más concretamente, en el uso de las herramientas con que cuenta la entidad o institución para estos fines. Si se busca una mayor especialización, una excelente alternativa es capacitar a los profesionales mediante un programa de certificación en ciberseguridad.

7. Concienciar al usuario 

El cliente no solo debe conocer el funcionamiento de las tecnologías de seguridad provistas por las instituciones, también debe asumir responsabilidad en cuanto a las prácticas de ciberseguridad que le corresponden. 

Ciberseguridad en instituciones financieras

De acuerdo con un informe de incidentes cibernéticos y brechas de seguridad, en 2018 se reportaron más de dos millones de eventos críticos, traducidos en pérdidas que superaron los 40 mil millones de dólares a nivel global.

En México, la actual regulación sobre ciberseguridad financiera está basada en el documento Cinco Principios para el Fortalecimiento de la Ciberseguridad para la Estabilidad del Sistema Financiero Mexicano (Secretaría de Hacienda, 2017) y en una estrategia de ciberseguridad nacional.

Sin embargo, la implementación de estas medidas en la práctica está siendo, a la par con la transformación digital, uno de los mayores desafíos para las empresas. 

Algunas de las razones por las que es conveniente desarrollar una estrategia de seguridad de la información con asesoría especializada y dentro de un marco regulatorio son las que a continuación se analizan:

Incremento en el número de incidencias

A la mayoría de las compañías les toma un periodo importante de tiempo detectar una falla de seguridad de la información, sin embargo, la mayoría de los ataques tienen éxito en menos de un día.

Necesidad de gestionar el acceso a la información

Otro punto en el que hay que prestar atención, es el número de filtros por los que deberá pasar la información que es recabada, esto es, si algún equipo o persona autorizada tendrá acceso a las métricas y datos de seguridad. 

De acuerdo con un estudio de Organización de los Estados Americanos, en el 58% de las instituciones financieras mexicanas existía un nivel jerárquico entre el CEO y el máximo responsable de la seguridad digital. Con relación a las áreas que se encargan de esta función al interior de una empresa, se encontró que el 70% de entidades de la Banca Comercial o Múltiple contaba con una sola área encargada, lo que lleva a pensar no solo en la necesidad de procesos más minuciosos, sino en equipos más robustos para atender las demandas de ciberseguridad.

De acuerdo con la misma medición, el 68% de las entidades e instituciones financieras consideró adecuado que el equipo a cargo de esta tarea creciera en el corto plazo, lo que a su vez lleva a pensar en los beneficios de tercerizar estas funciones.

Importancia del cumplimiento normativo

Más allá de que la estrategia responda a las necesidades de una organización para dar cumplimiento puntual a las regulaciones y marcos normativos a fin de evitar sanciones, es fundamental plantearlas como una posibilidad de innovar y generar ventajas competitivas que las y los usuarios buscan al momento de elegir a su proveedor de servicios financieros

En Cynthus ponemos a disposición de las entidades e instituciones financieras, soluciones integrales que van desde servicios de diagnóstico e implementación de sistemas de gestión de seguridad de la información, análisis de vulnerabilidades y hackeo ético, hasta certificaciones para profesionales y programas de concienciación.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Artículos Relacionados

Privacidad de Datos

Consideraciones para una Estrategia de Cumplimiento de Privacidad de Datos

Consulta algunas de las Consideraciones para una Estrategia de Cumplimiento de Privacidad de Datos

Leer Más
Seguridad de la información y Ciberseguridad

Octubre, mes de la ciberseguridad

Conoce las iniciativas de los países para promover la importancia de la ciberseguridad.

Leer Más
Capacitación

La Incursión femenina en la ciberseguridad

En la actualidad, las organizaciones buscan ser más competitivas, rentables y estar a la vanguardia

Leer Más

¿CÓMO PODEMOS APOYARTE?
CUÉNTANOS MÁS

Nos agradará saber más de ti y de tus proyectos. Completa el siguiente formulario y muy pronto nos pondremos en contacto contigo.

0