Las regulaciones de seguridad TI en el sector financiero

Descarga el PDF
A Finance Spreadsheet Tech Graph Art Background

El alma de una empresa de servicios bancarios o financieros son los datos. Estos incluyen información sensible de los clientes, de cuentas, de titulares de tarjetas y transacciones. Es decir, información personal, no pública. Casi todos son generados o utilizados por una compañía que tiene una buena regulación de seguridad, sea pública o privada.

El cumplimiento a la regulación de seguridad de datos en TI tiene varios desafíos que pueden ser enormes para las empresas financieras y bancarias, por lo que la mayoría opta por contratar un proveedor externo que les apoye en esta tarea.

Cada requisito en la regulación de los datos se suma a la necesidad de proteger los más sensibles, independientemente de dónde residan. Además, las organizaciones deben atender las preocupaciones de seguridad adicionales que resultan de las operaciones diarias, como pueden ser los ataques cibernéticos, entre muchos otras.

NO HAY REGULACIONES DE SEGURIDAD MÁS “CRÍTICAS”

Salvaguardar los datos financieros críticos de las violaciones externas con la máxima rentabilidad y el riesgo mínimo, representa todo un reto.

Satisfacer la necesidad de proteger la información privilegiada y a los usuarios, y al mismo tiempo hacer frente a los riesgos adicionales, es un compromiso que sólo un profesional de las TI puede ofrecer.

Como consecuencia de la reciente aplicación de la Ley de Privacidad de Datos Federales y su Reglamento, casi todas las entidades extranjeras que hacen negocios en México tuvieron que desarrollar o adaptar las normas y políticas de privacidad y seguridad a la información con la que trabajan.

El hecho es que la aplicación de las leyes de privacidad es uno de los muchos pasos iniciales que el marco jurídico de México debía dar para abordar con eficacia la naturaleza cambiante de los sistemas informáticos implicados en el procesamiento de la información, y los problemas prácticos que surgen de dicha transformación.

En el caso particular de las instituciones bancarias, un calendario de cumplimiento paralelo debe ser considerado. Incluso antes de que las leyes de privacidad entraran en vigor, ya se exigía a las instituciones financieras en el país a cumplir con diferentes pautas de seguridad de la información derivados de obligaciones de secreto bancario. Sin embargo, por otro lado, los bancos deben también cumplir con los requisitos de seguridad de datos que se derivan de las leyes de privacidad, las cuales tienen por objeto proteger la privacidad y la información sobre los derechos de autodeterminación de los individuos.

Los principales requisitos de TI para entidades bancarias son abordados por el Boletín de la Comisión Nacional Bancaria y de Valores, y de manera más general, por las leyes de privacidad.

Desde una perspectiva a largo plazo, la ley mexicana y las normas relativas a los sistemas de TI y de seguridad para las operaciones bancarias tienen disposiciones sobre las consideraciones de continuidad de negocio, tales como los requisitos reglamentarios para el mantenimiento de los planes de continuidad, actualización y prueba de planes y de recuperación de la tecnología, la aplicación de análisis de impacto y la realización de ejercicios de recuperación de desastres, para nombrar unos pocos.

De una manera práctica, se abordan los aspectos y consideraciones mencionadas anteriormente mediante la implementación de las mejores prácticas internacionales de gestión de TI y de gobierno, tales como los estándares ITIL (Information Technology Infrastructure Library) y controles de COBIT y directrices. Sin embargo, las mejores prácticas son, por naturaleza, las que realiza el mismo proveedor de tecnología para cuidar no sólo los datos, sino la reputación de su cliente.

Por tanto, aun cuando las disposiciones legales mexicanas sobre seguridad de la información en la actividad bancaria frente a la superficie de los aspectos operativos, escenarios y directrices son incluidos en beneficio de los bancos y sus clientes, contar con planes de riesgo y contingencia es lo mejor en TI.

Un marco jurídico que se ocupa de los aspectos operacionales con suficiente precisión para el procesamiento de sistemas de TI en las instituciones financieras proporcionará seguridad a las instituciones bancarias (como entidades responsables de seguridad de los datos), pero también para los individuos como propietarios de la información procesada.

Disponer de estas regulaciones, ayudará a que aquellas instituciones que no cuentan con la suficiente protección la tomen verdaderamente en cuenta, lo que beneficia a todos.