Redacción TekiosPor César Pallavicini, CEO de Pallavicini Consultores.
El 23 de septiembre la Comisión para el Mercado Financiero de Chile (CMF) publicó un documento de innovación para la industria financiera, un reporte que asume que la reactivación económica del país se alcanzará, con una mayor inclusión financiera de la población.
Suscríbete a nuestro newsletter
El apoyo de la CMF a este tipo de servicios financieros tecnológicos no es gratuito. Lo justifica, en parte, porque dentro de América Latina y el Caribe, Chile ya se convirtió durante 2020 en el segundo mercado más importante de la región en cuanto a financiamiento alternativo, acaparando 15% de estos montos. Pero, además, porque los atributos de las fintechs son vastos e innegables: facilitan el ahorro, educan financieramente y simplifican la inversión.
Y como la CMF quiere que la industria crezca, en este documento resume los aspectos de ley vigente que afectan a las fintechs, enfatiza que el mercado de valores no cuenta con un marco adecuado para estas, y destaca algo peor, que la regulación vigente resulta inadecuada para los nuevos modelos de negocios.
Sin embargo, la CMF deja espacio para algo más alentador: el ansiado proyecto de ley Fintech para el país, que entre sus objetivos está resguardar a clientes e inversionistas, fortalecer el crecimiento de las fintechs, aumentar la competitividad de los prestadores ya regulados y facilitar un intercambio resguardado de datos personales.
Ese «intercambio resguardado» se alínea con Basilea II, conjunto de recomendaciones sobre la legislación y regulación bancaria que son emitidos por el Comité de Supervisión Bancaria de Basilea y que buscan resguardar la Gestión de Riesgo Operacional, la que debe proteger 3 pilares: seguridad de la información, continuidad de negocio y calidad.l
La ciberseguridad está dentro de seguridad de la información. Y como es sabido, el crecimiento de los ciberataques hace necesario que el ecosistema fintech visualice este tema como una prioridad.
¿Cómo? Para abordar en forma eficiente la gestión de riesgos de ciberseguridad las fintechs requieren gobernanza y una combinación de múltiples estrategias, siendo fundamental la alineación a la misión y líneas de negocio de la compañía. Entonces, antes de abordar los proyectos que permitirían mitigar los riesgos de ciberataques, es importante desarrollar un plan estratégico que sea aprobado y luego liderado por la alta dirección.
Un buen camino para toda fintech es el Framework NIST, acrónimo de Instituto Nacional de Estándares y Tecnología, dependiente del Departamento de Comercio de EE.UU. Este marco de ciberseguridad ayuda a los negocios de todo tamaño a comprender mejor sus riesgos de ciberseguridad, administrarlos y reducir los riesgos, junto a la protección de sus redes y datos.
¿Por qué es recomendable usar NIST? Primero, por ser un estándar de nivel mundial, nacido en el departamento de defensa de EE.UU. para proteger la infraestructura crítica de la nación y porque la gestión de ciberseguridad parte desde la alta dirección y debe ser analizada de acuerdo al giro y los procesos de negocio de la organización, para luego, involucrar a las gerencias internas y stakeholders.
Las funciones del NIST son identificar, proteger, detectar, responder y recuperar, junto a sus niveles y perfiles, permiten diagnosticar el estado actual, mediante un perfil y generando un perfil objetivo. Ello posibilita diseñar un plan de acción con un adecuado presupuesto de inversión y gasto acorde a las reales necesidades de ciberseguridad de la empresa.
De forma adicional, el marco NIST se relaciona con estándares, directrices y prácticas de las normas ISO 27032, ISO 27002 y Cobit, proporcionando una taxonomía común y un mecanismo para que las organizaciones describan su postura actual de ciberseguridad y también su objetivo deseado, así como para identificar y priorizar oportunidades de mejora dentro del contexto de un proceso continuo y repetible. Todo, al tiempo que se evalúa el progreso hacia el objetivo deseado y se comunica entre las partes interesadas, internas y externas, respecto del riesgo de seguridad cibernética.
NIST complementa y no reemplaza el proceso de gestión de riesgos y el programa de ciberseguridad de una empresa. La organización puede utilizar sus procesos actuales y aprovechar este marco para identificar oportunidades, fortalecer y comunicar la gestión del riesgo de ciberseguridad, asunto que debe estar en línea con las prácticas de la industria, enfatizando que aplica a todo tipo de empresa y de cualquier tamaño. La ciberseguridad es parte de la gestión seguridad de la información que, a su vez, es un pilar estratégico de la gestión de riesgo operacional.
