.png)
¿Qué es la ciberseguridad?
Autores: Carlos David Valderrama Narváez (más información aquí) y Diego Montes Serralde (más información aquí)
Introducción
En la medida en la que nuestras interacciones del día a día se digitalizan en un mundo altamente interconectado, la ciberseguridad cobra mayor relevancia para todo tipo de empresas, sobre todo para los modelos FinTech y sus usuarios. Es por ello que en esta nota veremos qué es la ciberseguridad, cuáles son sus riesgos, cómo funciona la ciberseguridad en México, así como las mejores prácticas en ciberseguridad que las FinTech deberían adoptar.
¿Qué es la ciberseguridad?
De acuerdo con la definición aportada por Christopher T. Carlson, en su libro “How to Manage Cybersecurity Risk”, Ciberseguridad significa las medidas adoptadas para gestionar el riesgo de las amenazas y vulnerabilidades relacionadas con la información o los sistemas de información (“measures taken to manage risk from threats and vulnerabitities associated with information or information systems”).
¿Qué es FinTech y la ciberseguridad FinTech?
Por otro lado, y como se comentó por Carlos Valderrama en el capítulo “Sandbox regulatorio: La piedra fundacional que detonará la innovación disruptiva FinTech en México”, contenido en el libro “Ley para Regular las Instituciones de Tecnología Financiera. Contexto, contenido e implicaciones” (se publicará a finales de este mes.), FinTech puesto en palabras simples es la unión de tecnología y finanzas para la puesta en marcha de nuevos modelos de negocio financieros. Es decir, FinTech abarca más que solo las Instituciones de Financiamiento Colectivo (“Crowdfundings”) o Instituciones de Fondos de Pago Electrónico (“Wallets”) reguladas en la Ley FinTech (más información aquí).
En el contexto anterior, podemos concluir que ciberseguridad FinTech es el conjunto de medidas adoptadas por los nuevos modelos de negocio financieros, que conjuntan tecnología y finanzas, para gestionar y mitigar el riesgo relacionado con su información e infraestructura tecnológica.
Riesgos en ciberseguridad
En un entorno global altamente interconectado, construido por máquinas imperfectas que fueron generadas por humanos imperfectos, el riesgo de ser sujeto de ingeniería social tendiente a vulnerar la información o infraestructura tecnológica es alto.
Es más, de acuerdo con el estudio "2019 Global Cyber Risk Perception Survey" publicado por Microsoft (más información aquí), los riesgos cibernéticos tienen la máxima prioridad entre las compañías.
Riesgos en ciberseguridad FinTech en México
Lo anterior cobra vital relevancia sobre todo para el sector FinTech, ya que:
De acuerdo con el reporte del ecosistema FinTech Mexicano de Legal Paradox (se publicará a finales de este mes.), México cuenta con el ecosistema FinTech más grande de Latam;
De acuerdo con el Banco Mundial (más información aquí), México es la segunda economía más grande de Latam y la onceava a nivel mundial, además de que cuenta con la moneda más transaccionada entre los países en vías de desarrollo;
De acuerdo con el “World Investment Report 2019”, publicado por las Naciones Unidas (más información aquí), México es el doceavo receptor de Inversión Global Extranjera Directa; y,
De acuerdo con Luisa Parraguez Kobek, en su publicación “The State of Cybersecurity in Mexico: An Overview” (más información aquí), México califica como el segundo lugar en Latam en ciberataques.
En el contexto anterior, el sector FinTech mexicano por su relevante economía y ecosistema representa un gran atractivo para ciberataques.
Las estrategias usadas por los delincuentes cibernéticos usan emociones como la ambición, miedo, curiosidad, vanidad y buena voluntad para generar vulnerabilidades y atacar sin piedad mediante técnicas conocidas como phishing, pharming, vishing, smishing, etc.
Ciberseguridad en México para el sistema financiero
Respecto a la regulación en ciberseguridad en el sector financiero Mexicano, en agosto de 2019, la Comisión Nacional Bancaria y de Valores (la “CNBV”) colaboró con la Secretaría General de la Organización de los Estados Americanos (la “OEA”) (más información aquí), para desarrollar un Estudio sobre la Ciberseguridad en el Sistema Financiero en México.
Como se establece en el Comunicado de Prensa 48/2019 (más información aquí), frente a los problemas de ciberseguridad, la CNBV implementó diversas acciones para mejorar la prevención y aumentar la resiliencia del sistema:
Creación de un área específica para la supervisión de ciberseguridad.
Actualización de la normatividad en la materia, que incorpora requerimientos que ayudan a identificar y gestionar los riesgos de seguridad, con un enfoque de protección al cliente.
Adopción de medidas requeridas a las instituciones financieras para fortalecer la seguridad en la CNBV
Encabezar y coordinar el Grupo de Respuesta a Incidentes entre todas las Autoridades Financieras, Asociaciones Gremiales y FGR, para emprender las acciones ante incidentes sensibles de seguridad de la información.
Colaborar con organismos internacionales como la OEA y el Banco Interamericano de Desarrollo, entre otros, para el diagnóstico del sistema financiero en materia de ciberseguridad.
Ciberseguridad para el Sector Fintech
Por lo que respecta al sector FinTech, la Ley para Regular las Instituciones de Tecnología Financiera (la “Ley FinTech”), y su normatividad secundaria, establecieron el marco regulatorio en relación con los riesgos operacionales, de ciberseguridad y seguridad de la información.
A partir de lo anterior, las FinTech deben contar con documentación e infraestructura importante en el área lo cual se traduce en contar con Planes de Continuidad de Negocio; Planes Directores de Seguridad; la contratación de Oficiales de seguridad, responsables de administración de riesgos, comités (de carácter obligatorio en algunos casos), así como con un equipo de respuesta a incidentes de ciberseguridad, entre otros.
BIS
Para entender por qué es necesario la emisión de regulación en la materia, como la Ley FinTech, es importante referirnos al paper “Operational and cyber risks in the financial sector” publicado por el llamado Banco Central de los Bancos Centrales, el Bank for International Settlements (“BIS”) (más información aquí) en el que se demostró las múltiples amenazas de los diferentes tipos de cibereventos en el sistema financiero global durante 16 años y su decremento relacionado a las políticas públicas que fueron aplicadas al riesgo operacional.
Se describió que un banco se tarda más de un año en verificar el descubrimiento y el reconocimiento de eventos de pérdida, esto varía según regiones, líneas de negocio, tipos de evento y el tamaño del banco, así como que los riesgos operacionales fueron mucho más altos frente a periodos de crisis o de excesiva política monetaria.
En el contexto anterior, queda documentado que una regulación financiera de alta calidad y supervisión se asocian a la reducción del riesgo operacional.
Reporte de mejores prácticas, OCIE
En adición a la regulación emitida en la materia, también resulta importante tomar en cuenta las mejores prácticas de ciberseguridad desarrolladas a nivel internacional.
En esa línea de ideas, el pasado 28 de enero de 2020, fue publicado un reporte (más información aquí) por parte de la “Office of Compliance Inspections and Examinations” (OCIE), organismo perteneciente a la “U.S. Securities and Exchange Commission” (SEC), que desarrolla una lista de las mejores prácticas sobre ciberseguridad y resiliencia que incluye consejos dirigidos a los abogados de empresa y oficiales de cumplimiento.
Esta es la primera vez que se publica un documento de esta naturaleza por parte de la OCIE, la razón de su publicación obedece a la siguiente consideración: “ En un ecosistema en el cual los atacantes cibernéticos se vuelven más agresivos y sofisticados – y en muchas ocasiones financiados por diferentes Estados – las firmas que participan en el mercado de valores, proveedores de la infraestructura de mercados y vendedores deben monitorear de manera apropiada, medir y manejar los perfiles de riesgos cibernéticos, incluyendo su resiliencia operacional.” (más información aquí).
En términos de lo anterior, a continuación, nos permitimos resumir y tropicalizar las recomendaciones aplicables a las FinTech:
1. Gobierno corporativo y administración de riesgos:
a. Órgano de Administración: El órgano de administración de la FinTech (administrador único o consejo de administración) debe tener conocimiento y seguimiento de la documentación relacionada con los programas de ciberseguridad de la FinTech. Incluso, si se trata de Wallets y Crowdfundings regulados, será necesario que dichos documentos sean aprobados por el administrador único o en Sesión de Consejo de Administración, presentando constancia de lo anterior a CNBV como parte del proceso de solicitud de autorización para operar como una Institución de Tecnología Financiera Regulada en términos de la Ley FinTech.
b. Riesgos inherentes a la FinTech: En la construcción de la documentación relacionada, como el Plan Director de Seguridad, Plan de Continuidad de Negocio, Manual para el uso de medios electrónicos, entre otros, se debe tomar en cuenta el modelo de negocio específico de la FinTech, así como la identificación y ponderación de riesgos cibernéticos relacionados con colaboradores remotos o de viaje, riesgos internos, operacionales y geopolíticos, entre otros;
c. Iteración de políticas y metodologías: Será necesario implementar las políticas y metodologías que reflejen lo anterior, dando la posibilidad de probarlas, monitorearlas, evaluarlas y modificarlas en función a los eventos presentados; y,
d. Divulgación: Tener políticas y metodologías de divulgación y notificación de los riesgos y eventos a sus usuarios y a las autoridades financieras involucradas.
2. Derechos de acceso y controles.
a. Principio de minimización: Construcción de la Infraestructura Tecnológica de la FinTech bajo el principio de minimización de la información y legitimidad de conocimiento. Lo anterior, a fin de limitar el acceso a la información y disminuir riesgos relacionados;
b. Acceso de usuarios: Solicitar el uso de contraseñas seguras que se modifiquen constantemente, implementando factores de múltiple autenticación, así como revocando de inmediato credenciales de ex colaboradores o ex proveedores de servicios;
c. Monitoreo: Desarrollar procesos que permitan el monitoreo de intentos fallidos de acceso, cambios de medios de acceso, mejoras en la infraestructura tecnológica, así como investigaciones de cualquier anomalía.
3. Prevención de pérdida de datos.
a. Pentest. Tener políticas y metodologías para la realización de pruebas de vulnerabilidades sobre el código de la infraestructura tecnológica, la aplicación web, servidores, bases de datos, estaciones de trabajo. Lo anterior, cubriendo la infraestructura interna y externa (de proveedores relevantes).
b. Seguridad perimetral. Implementar capacidades para controlar, monitorear e inspeccionar el tráfico de datos hacia y desde la FinTech como firewalls, sistemas de detección de intrusos, encriptación, bloqueo de bases de datos compartidas en la nube, redes sociales, así como puertos.
c. Antivirus. Tener sistemas de antivirus y antimalware.
d. Inventario de la infraestructura tecnológica. Tener claro los componentes de la infraestructura tecnológica de la FinTech, incluyendo aquella crítica para la prestación de su servicio y cómo está protegida.
e. Encriptación y segmentación. Encriptar datos en uso y reposo en todos los componentes que forman parte de la infraestructura tecnológica, implementando segmentación de sistemas.
f. Monitoreo de riesgos internos. Creación de programas de monitoreo de actividades sospechosas internas, así como escalamiento de dichas actividades a los Comités u órgano de administración, incluyendo el bloqueo de transmisión de información sensible.
4. Seguridad de equipos móviles.
a. Políticas y procesos. Establecer políticas y procesos para el uso de equipos móviles que incluyan el acceso a correos, calendarios, datos almacenados.
b. Medidas de seguridad. Bloquear el acceso a equipos personales de los colaboradores de la FinTech, así como al acceso de equipos móviles a información sensible.
5. Respuesta a incidentes y continuidad de negocio.
a. Plan de continuidad de negocio. Desarrollo del plan que prevea diferentes escenarios como ataques al servidor, desinformación maliciosa, ransomware, sustitución eficiente del personal, así como mecanismos de notificación y respuesta a los eventos en los que los comités y órganos de administración de la FinTech tomen parte.
b. Notificar a autoridades. Hacer del conocimiento de las autoridades financieras las vulnerabilidades presentadas, así como las acciones de remediación.
c. Responsables. Asignar al oficial de seguridad de la información, responsables de administración de riesgos, comités y equipos de respuesta a incidentes incluyendo su segmentación y responsabilidades particulares.
d. Iteración. Calibrar e iterar el plan de manera constante en relación con los incidentes presentados.
e. Mecanismos adicionales. Generar back-ups en sistemas diferentes y fuera de línea, así como contratar seguros.
6. Proveedores de servicios.
a. Controles. Establecer controles para asegurar que los proveedores de servicios cumplan con estándares de ciberseguridad, incluyendo procedimientos para auditar sus servicios y en casos extremos mecanismos para sustituirlos.
b. Contratos. Generar contratos con derechos y obligaciones claros, incluyendo mecanismos para mitigar riesgos.
7. Capacitación.
a. Guías. Preparar guías y capacitación para el personal de la FinTech.
b. Entrenamiento. Entrenar al personal con situaciones ficticias en ambientes controlados para ejemplificar casos de vulnerabilidades.
Conclusiones
Como se puede observar, uno de los principales retos de las FinTech es la ciberseguridad por lo que en la medida en que dicha institución desarrolle modelos eficientes para controlar y mitigar los riesgos que se pudieran generar, podrá presentar un mejor servicio a su usuario.
Por otro lado, solemos pensar que los ciberataques son aislados o inusuales, sin embargo, como podemos apreciar en el mapa de ataques digitales (más infomración aquí), de hecho son muy frecuentes y cada día hay nuevos ataques desde distintos orígenes con diferentes destinos, por lo que es fundamental contar con una estrategia integral de ciberseguridad, prevención de ataques y capacitación de personal.
En Legal Paradox hemos tenido el gusto de representar a alrededor del 30% del ecosistema FinTech mexicano, preparando sus estrategias legales de ciberseguridad y capacitando a su personal en la materia.
Asesoramos a alrededor del 10% de las FinTech que presentaron su solicitud de autorización para la constitución y operación de una Institución de Tecnología Financiera bajo la Ley FinTech, así como a alrededor del 36% de las plataformas de Crowdfunding, estando en cercanía y constante comunicación con las autoridades financieras.
En Legal Paradox, nos encontramos en constante capacitación a fin de buscar siempre las mejores soluciones para nuestros clientes y la implementación de las mejores prácticas reconocidas a nivel internacional.
Legal Paradox, S.C. es el único despacho legal en México enfocado solo en el modelado, desarrollo, implementación y ejecución de negocios FinTech, BlockChain y CrowdFunding.
El uso de los nombres, marcas, imágenes y links de terceros, contenidas en el presente artículo, son propiedad de dichos terceros y se usan únicamente para efectos meramente ilustrativos.
El presente y su contenido no podrán interpretarse como asesoría legal, por lo que recomendamos contratar a su asesor de preferencia.
Todos los derechos reservados®.