La figura del Ciso comienza a tomar relevancia en las entidades no reguladas.
La ciberseguridad es un aspecto que ha cobrado relevancia para las entidades financieras, especialmente para las que operan de forma virtual, esto debido a que manejan datos sensibles y realizan transacciones que requieren altos niveles de protección.
De acuerdo con Alfonso Martínez-Bejarano, socio de la firma legal Baker McKenzie, cada vez es más frecuente que las fintech se encuentren adoptando estándares de ciberseguridad, aunque su regulación no los obligue.
Lo anterior toda vez que las fintech, no operan bajo la Ley Fintech, no están obligadas a cumplir dichos estándares.
“En las plataformas que prestan servicios financieros que no cuenten con una regulación tan exhaustiva, es importante que desarrollen controles internos y equipos, porque definitivamente podría haber un riesgo relevante en la información y manejo de datos que no esté supervisado de manera cotidiana”, señaló Martínez-Bejarano.
En este escenario, en un estudio reciente, la firma de ciberseguridad LexisNexis Risk Solutions concluyó que aumentaron los riesgos de que más personas sean víctimas de los ciberdelincuentes, con un incremento de 19% anual en la tasa global de ataques y fraude.
“Los atacantes buscan desarrollar mecanismos para vulnerar la información que resguarda la plataforma financiera. El uso de la tecnología debe desarrollarse a la par de todos los controles y defensas que permitan protegerla contra los terceros que buscan obtener un acceso no autorizado”, dijo Martínez-Bejarano.
Agregó que en la regulación financiera mexicana, se contempla la figura de jefe de seguridad de la información (Ciso, por su sigla en inglés) para las entidades reguladas y es una figura que comienza a adoptarse dentro de entidades no supervisadas.
“Esta persona debe contar con un equipo perfectamente definido que tenga mecanismos y controles para operar dentro del organismo. Por supuesto, debe contar con herramientas suficientes para desarrollar auditorías periódicamente. En el caso de entidades financieras reguladas, esta periodicidad se tiene que comunicar al regulador”, explicó Martínez-Bejarano.
El socio de la firma legal detalló que aun cuando una plataforma financiera no esté obligada a contar con un Ciso, es algo que los inversionistas podrían solicitar a las tecnológicas para proteger la información de sus clientes y realizar monitoreos de transacciones.
“El tema de ciberseguridad, de gobierno corporativo es algo que ha permeado en el sistema financiero, justo por todos estos casos, en donde hubo accesos no autorizados a información para su secuestro, conocido como ransomwere, casos que suceden todos los días y hacen evidente la necesidad de contar con un Ciso”, señaló Martínez-Bejarano.
Neobancos deben adaptarse
A medida que crece el modelo de prestación de servicios financieros digitales, más grupos financieros han obtenido autorización para operar bancos de forma digital.
Los últimos tres en obtener autorización operarán desde plataformas.
Con ello, procesos como el de la incorporación de un cliente (onboarding) será totalmente digital y remoto, como ya lo hacían las fintech, según lo indicado por el socio de Baker McKenzie.Ante ello, los bancos deberán integrar protocolos, mecanismos y equipos necesarios para tener protección contra potenciales vulneraciones.
“Las entidades financieras reguladas están obligadas a establecer estos procesos, pero también será importante que se adapten a su modelo de negocio, a sus casos de uso; no es lo mismo que se supervise cuentas de depósito a que se supervise el otorgamiento de crédito”, indicó Martínez-Bejarano.
Fuente: El Economista