¿Tiene la Nube seguridad nivel Bancario?

Ley Fintech-1
Tiempo de lectura 6 minutos

La respuesta corta es claro que si, pero queremos explicar los aspectos que se deben considerar y como puedes lograrlo, acompañanos a descrubrirlo en este breve articulo. 
El mundo actual demanda cada vez más hiperconectividad, provocando una continua aceleración en la digitalización de toda clase de servicios para cubrir las necesidades de los usuarios y mantenerse dentro de la competencia del mercado. Uno de los sectores que refleja esto con mayor claridad es el financiero, que se ha fortalecido a partir de la implementación de nuevas ofertas en servicios gracias a las innovaciones tecnológicas, especialmente aquellas con relación a la integración de la nube y las apis, sin embargo, esto ha planteado la duda ¿es la nube lo suficientemente segura?. 

Te puede interesar: Big Data: El mejor aliado para saber qué ocurre en tu negocio

Las empresas BigTech

El servicio de la nube nace como respuesta a la amplia demanda de tener aplicaciones al alcance  de empresas y clientes de forma fluida, rápida y eficiente, así como a las demandas de crecimiento en el volumen de procesamiento de datos de las empresas, siendo su principal característica la amplia disponibilidad y bajo costo. 

Revisa también: Big Data en la nube: ¿En qué etapa se encuentra tu empresa?

Esto es posible a la virtualización de ordenadores, que permite acceder a un ordenador virtual que funciona como si fuera un ordenador físico con su propio hardware; el término técnico para este ordenador es máquina virtual. 

Las máquinas virtuales en el mismo equipo servidor, cuando se  implementan de forma correcta, están separadas entre sí, así que no interactúan entre ellas, y los archivos y aplicaciones de una máquina virtual no son visibles para otras máquinas virtuales, a pesar de estar ubicadas en el mismo servidor físico. 

Ley Fintech (2)

Así mismo, las máquinas virtuales también ejecutan un uso más eficiente del hardware en el que están alojadas. Al ejecutar muchas máquinas virtuales al mismo tiempo, un servidor se transforma en mucho, y un centro de datos  se convierte en una gran cantidad de centros de datos, que tienen la capacidad de servir a muchas organizaciones. Por eso, los proveedores de nube puede ofrecer el uso de sus servidores a muchos más clientes a un coste muy bajo. 

Revisa ahora: Migración de datos a través de BigQuery y Google Cloud

Mientras que en general, para la mayoría de las empresas contar con una infraestructura remotamente similar resulta casi insostenible debido a los amplios costes de mantenimiento, además del continuo embotellamiento en flujos de trabajo; las empresas BigTech se han especializado en ello y al ser parte de su giro de negocios han desarrollado un expertise que permite mantener flujos de trabajo óptimos. 

Esto ya que quitan las cargas de mantenimiento y entendimiento técnico de las empresas, permitiendo que estas se mantengan concentradas en su especialidad, al tiempo que los proveedores de la nube se encargan de mantener una oferta de servidores, segura y eficiente. 

Las Fintech

Por su parte, la digitalización de servicios financieros se ha acelerado de forma vertiginosa, ya que la integración con estas nuevas tecnologías permitió ampliar la cartera de servicios, re-imaginando la banca al tal punto que actualmente las visitas a las instalaciones bancarias son virtualmente innecesarias para una gran cantidad de usuarios. 

Ley Fintech (3)

Esto desencadeno un éxodo masivo a la nube por parte de múltiples instituciones bancarias, lo que alerto a organismos reguladores como la Comisión Nacional de la Bolsa de Valores, quién de inmediato se puso en marcha a realizar un análisis de riesgos, con el fin de garantizar operaciones estables que no perjudiquen a los usuarios finales de estos servicios. 

Te puede gustar: Ciencia, Datos, Nube y Rock & Roll

Esto toda vez que los servicios bancarios competen a sus regulaciones, además de ser un punto de especial interés para no dar paso posibles crisis financieras, bajo la premisa de  averiguar sí, la nube es lo suficientemente grande y segura, es que el organismo regulador dictamino lo siguiente. 

Riesgos de la nube según CNBV

Como punto de partida, se tiene la escasa oferta de los servicios en la nube, ya que los principales proveedores de los mismos son las empresas BigTech, además de tratarse de una tecnología relativamente nueva, esto potencializa los riesgos detectados que pueden categorizarse en cuatro áreas de especial interés: 

  • Continuidad de negocio.
  • Bloqueo de proveedores.
  • Concentración.
  • Riesgos geopolíticos.

Continuidad de negocio, dentro de esta categoría, la CNBV señala que para minimizar el riesgo es necesario el uso de varios proveedores a fin de evitar depender de uno solo. 

Bloqueo de proveedores, en este apartado el organismo regulador resalta la relevancia de que las entidades prestadores de servicios en la nube, puedan revocar el acceso de forma instantánea, para posteriormente, convertirse en un competidor que oferte servicios financieros.

Ahora ve: Machine Learning: ¿Futuro y pilar de las tiendas online?

Concentración, dentro de este lineamiento se detalla que dado al poder de negociación y tamaño de las empresas BigTech estas acaparan el mercado, siendo pocos los proveedores de la nube, mientas que las ofertas alternativas al ser poco conocidas y ser nuevos en el mercado representan riesgos en seguridad y confiabilidad. 

Riesgos geopolíticos, este aspecto tiene que ver con las regulaciones geopolíticas de la región en donde están ubicados los servidores del proveedor. Ya que las interrupciones en servicio pueden causar fallos importantes si se presentan. 

Ahora, como norma general, la mayoría de los proveedores tienen presencia en varias regiones geográficas y varios centros de datos dentro de cada región, esto reduce los riesgos de interrupción, sin embargo, por bajos que sean los riesgos no es imposible que estos ocurran. 

¿Es la CNBV la única preocupada?

Si bien la Comisión Nacional de la Bolsa de Valores nos presenta este panorama, no es el único organismo regulador preocupado por los riesgos de la nube. En distintas partes alrededor del mundo, diversos organismos reguladores han realizado sus propios análisis, como en Reino Unido, los organismos reguladores han hecho públicas sus inquietudes ante los posibles riesgos de la tecnología y han actuado en consecuencia. 

Mira también: El poder del Marketing en la Era Data Driven

Afortunadamente, la mayoría de los organismos reguladores en todo el mundo han reflejado una amplia similitud en lo que respecta a sus inquietudes y el accionar para regular la migración a la nube para mitigar los riesgos y aprovechar los beneficios de la misma. 

Ley Fintech de México 

Se trata de una disposición legal que pretende regular la operación y funcionamiento de las empresas de tecnología financiera con el fin de proteger a los usuarios. 

Las empresas que busquen operar en el mercado financiero requieren apegarse al cumplimiento de las distintas medidas indicadas en esta normativa, trabajo que requiere de un plan de actividades, estrategia de implementación y tiempo. 

Lee también:  Big Data, ¿La clave de los retailers para competir con Amazon?

Aunque hay una buena  noticia es que basta con cubrir los requisitos mínimos (relacionados a finanzas, contaduría, sistemas y seguridad de la información) para contar con la autorización de la CNBV para operar. 

¿Cuál es la normatividad que debe cumplir una institución financiera que desea migrar a la nube?

Las disposiciones de carácter general expedidas por la Comisión Nacional de Valores (CNBV), señalan los procesos de autorización para las instituciones financieras interesadas en contratar servicios terciarios  que tengan como objetivo la realización de procesos operativos y/o  administración de bases de datos y sistemas informáticos.

Existen dos normativas específicas: la aplicable a instituciones de crédito (bancos), así como aquella aplicable a instituciones de tecnología financiera o fintechs. El cumplimiento de las mismas asegura la aprobación de la CNBV para usos de servicios en la nube. 

Ley Fintech (4)

En lo que respecta con la normatividad aplicable a instituciones de créditos tenemos lo siguiente: 

Instituciones de crédito 

  • Capítulo X: Del uso del servicio de Banca Electrónica
  • Sección Cuarta, artículo 316, Bis 10 al 11
  • Sección Quinta, artículo 316, Bis 13–16,18,19
  • Capítulo XI: De la contratación con terceros de servicios o comisiones
  • Sección Primera, artículo 318 tercera sección, artículo 326, 327 y 328
  • Anexo 52: Lineamientos mínimos de operación y seguridad para la contratación de servicios de apoyo tecnológico

Pero, ¿existe alguna guía para cumplir con estas normativas?

Guía integral de la CNBV para el uso seguro de la nube

En realidad existen una amplia variedad de guías publicadas para apegarse al cumplimiento de las normas generales de este organismo regulador, en su mayoría desarrollada por los propios proveedores de la nube, sin embargo, el organismo regulador hizo lo propio y publico una guía que cubre temas como: 

  • Debida diligencia / Aseguramiento del cumplimiento de requisitos por parte del proveedor de nube
  • Monitoreo del servicio / Aseguramiento de las expectativas operativas
  • Procesos de subcontratación / Aseguramiento del cumplimiento normativo por parte del proveedor de nube
  • Confidencialidad y Seguridad / Aseguramiento de la confidencialidad y seguridad de los datos y aplicaciones en la nube
    Ley Fintech (5)
  • Derechos de Auditoría y Acceso / Aseguramiento del acceso a los datos, y a la rastreabilidad de los mismos
  • Resiliencia y Continuidad de Negocio / Aseguramiento de la continuidad de la operación a través de un Plan de Recuperación de Desastres
  • Portabilidad / Aseguramiento de la capacidad para migrar aplicaciones y datos a otra nube, o a ambientes on-premise.

Requisitos mínimos generales para ser autorizado por la CNBV

Aunque la guía de la Comisión Nacional de la Bolsa de Valores, aborda a profundidad los diferentes aspectos de interés para reducir riesgos, estos son los requisitos mínimos para obtener la autorización operativa de dicho organismo. 

  • Jerarquías de gobernanza y estructura corporativa (es decir, tener definida la alta dirección y una estructura de gerencias claramente definidas). 
  • Infraestructura y controles internos de sistemas operativos, contables y de seguridad, oficinas, y documentación con los manuales respectivos.
  • Plan de negocios.
  • Protocolo y políticas para la gestión de riesgos operativos y de seguridad de la información.
  • Procesos operativos y autenticación de clientes que establezcan criterios consistentes para su evaluación y selección.
  • Políticas de divulgación de riesgos y responsabilidades (para que tus clientes identifiquen los riesgos que asumen al momento de celebrar operaciones con o a través de ellas).
  • Políticas de prevención de fraudes y prevención de operaciones con recursos de procedencia ilícita y financiamiento al terrorismo.
  • Estados financieros anuales dictaminados por un auditor externo independiente.

Documentación básica para apegarse a la normatividad de regulación

Organigrama.

Este documento te ayudará a definir claramente las responsabilidades de cada empleado de acuerdo a su puesto de trabajo y su relación con la seguridad de la información. Y no solo debes considerar las áreas más cercanas de TI, sino también, las de finanzas, recursos humanos, contable, legales, comerciales, etc. 

Política de seguridad de la información

En él se definen todas las medidas de seguridad que se pondrán en práctica para proteger la información en todas sus formas y medios. 

Debe describir los lineamientos de todas las prácticas que se van a formalizar de forma sintética y general, regularmente, se incluyen los criterios de control de accesos, seguridad de RR.HH, criptografía, operaciones de TI, relación con proveedores, gestión de vulnerabilidades, gestión de incidentes, etc. 

Ley Fintech (6)

Debes considerar que se trata de un documento dinámico, ya que se adapta continuamente a las necesidades y cambios de la empresa. 

Plan de continuidad del negocio 

También conocido como Business Continuity Plan o BCP, es un documento en el que se define cómo actuará una empresa para recuperarse y continuar con las actividades críticas en caso de una interrupción. 

Es clave  en materia de seguridad, ya que permite actuar y restablecer las operaciones  en el menor tiempo posible. De esta manera se minimizan los impactos de las pérdidas provocadas por la inactividad. 

Este plan también integra el plan de DRP, plan de recuperación ante desastres, el cual define los pasos a seguir para recuperar el área de TI. 

Política y metodología de evaluación de riesgos

Esta documentación se enfoca en establecer los criterios para documentar la metodología utilizada durante la evaluación de riesgos. Su objetivo es asegurar que todos en la empresa puedan organizarse bajo estos mismos lineamientos al medir y evaluar riesgos. 

Algunos aspectos que esta documentación debe contemplar son los siguientes:

  • Identificación y valorización de activos: cómo se deben identificar y valorar los recursos según su nivel de importancia.
  • Valorización de los riesgos: de que forma se clasificaran los riesgos según su nivel de impacto en la empresa. 
  • Nivel de riesgo aceptable: qué tipos de riesgos se pueden permitir. 
  • Tratamiento de riegos: procedimiento para mitigar los riesgos identificados. 

Oficial de seguridad de información y/o CISO

Se debe nombrar a un Oficial de Seguridad de la Información y/o a un CISO; cuya función debe ser la de alinear la seguridad de la información con los objetivos de negocio y garantizar la protección de los datos de la empresa en todo momento. 

Así mismo, será responsable de supervisar el cumplimiento normativo en materia de seguridad de la información y de generar e implementar políticas adecuadas para el área. 

Protocolo de gestión de incidentes

Este debe describir el paso a paso para documentar, analizar y resolver los incidentes de seguridad que pudieran detectar en una empresa, facilitando el contar con: 

  • Un registro de incidencias, impacto y frecuencia
  • Estadísticas de comportamiento de respuesta ante incidentes. 
  • Información para mejorar las acciones de control y políticas. 

Protocolo para la gestión de vulnerabilidades

De forma similar con el documento anterior, establece un paso a paso de como identificar, evaluar y corregir las vulnerabilidades detectadas en los sistemas y aplicaciones de una empresa. Este documento también categoriza los recursos críticos y clasifica las vulnerabilidades acorde con su nivel de riesgos. 

La gestión de vulnerabilidades es un proceso continuo en TI que ayuda a mantener protegidas las plataformas e infraestructura tecnológica ante posibles ataques informáticos. 

Informe de Ethical Hacking

Una forma de brindar mayor rigor  a los puntos anteriores es realizar pruebas de intrusión, que constan de simulaciones de ciberataques a las redes, sistemas y apps de una empresa con el finde encontrar y explotar sus vulnerabilidades. 

Al finalizar, se reportan las vulnerabilidades con el fin de remediarlas y reforzar la seguridad existente; igualmente se realiza un informe de resultados detallado. Para que estas pruebas mantengan su vigencia se deben ejecutar en periodos no mayores a un año. 

Diagrama de infraestructura

Este debe reflejar los componentes, sistemas, apps, redes, bases de datos, máquinas virtuales y contenedores que componen la infraestructura, desde la capa externa hasta la más interna. 

Revisa también: Inteligencia Artificial: ¿La nueva amenaza para la Nube?

De igual forma, también debe mostrar cuáles son las medidas de seguridad que se han establecido en cada capa de la infraestructura. 

Informes de auditorias del proveedor de nube

Tu proveedor de servicios cloud, debe demostrar que posee alguna certificación de seguridad de la información como son:  ISO 27001, SOC 2, PCI DSS o GDPR, que avale que es auditado permanentemente por un tercero y cumple con las mejores prácticas de la industria. 

¿Cómo Google Cloud & Amarello  pueden ayudarme a cumplir con esta normatividad? 

Google Cloud, cuenta con un proceso de soporte para apoyar los clientes que buscan implementar servicios financieros en la nube. Así mismo, el equipo de expertos de Amarello está altamente capacitado y especializado para asesorarte en tu transición a la nube, asegurándose de cumplir a cabalidad los requerimientos propuestos por los organismos reguladores, nacionales e internacionales.

Nos alineamos a las mejores prácticas del mercado, e innovamos, para garantizar que mantengas una operatividad, segura, sustentable, sostenible, escalable y accesible. 

Revisa ahora: Cloud gaming, innovaciones y posibilidades...

Estos son solo algunos de los ejemplos de las muchas empresas de servicios financieros que utilizan Google Cloud para acelerar su transformación digital y modernizar sus negocios.

HSBC

Esta institución financiera emplea Google Cloud para innovar sus productos y servicios, al unificar datos y permitir un uso más inteligente de su Big Data. 

Scotiabank

Utiliza Google Cloud para crear experiencias predictivas y personalizadas para sus clientes. 

Max Life

Desarrollaron un chatbot con tecnología de Google Cloud para responder las preguntas de los clientes y generar clientes potenciales más sólidos.

ANZ

Mejora sus procesos integrales de generación de informes regulatorios y de riesgos financieros, usando un modelado de datos avanzado con Google Cloud.

KeyBank

Implementa soluciones de IA y data para generar experiencias de banca digital flexibles y personalizadas. 

En México, Banorte ha confiado en Google Cloud estableciendo una alianza para acelerar la transformación digital del banco; mientras que PROSA estableció un acuerdo con Google Cloud para mejorar su infraestructura. 

Así mismo, Actinver fue de los pioneros en modernizar su  infraestructura con Google Cloud contando con el apoyo de Amarello, es solo uno de nuestros múltiples casos de éxito

Google Cloud es la plataforma perfecta para organizaciones de servicios financieros, gracias a su infraestructura segura, escalable y confiable, para ayudarte a cumplir los requisitos normativos para la seguridad de datos, junto al equipo de Amarello puedes desplegar tu solución en la nube de forma ágil, fácil y segura. ¡Contáctanos!

Leave a Comment