Por Carlos Silva, encargado CSIRT de Gobierno
De acuerdo a las últimas cifras, hasta el 2021, el ecosistema fintech tenía un crecimiento anual del 38%. En ese mismo año, en nuestro país operaban 179 emprendimientos de este tipo. Y desde enero de este año, en Chile ya contamos con un marco regulatorio, gracias a la promulgación de la Ley Fintech y Open Banking (N°21.521).
Y es que este boom de las fintech, y su exitosa proyección, están asociados a distintos factores, como el rápido acceso a servicios financieros innovadores, mayor flexibilidad y más accesibilidad, entre otros. Obviamente, nada de esto sería posible sin las tecnologías digitales, y es aquí donde debemos plantearnos distintas preguntas: ¿Cómo se desarrollan las fintech de la mano de la protección de la seguridad de nuestra información? ¿La consideran realmente? ¿Qué aspectos relacionados con la ciberseguridad deben considerar las fintech?
Es en este contexto que las fintech tienen el gran desafío de incorporar la ciberseguridad para, por una parte, proteger sus sistemas y activos ante ciberataques; y, por otro lado, manejar adecuadamente de los datos de sus clientes, para proteger y resguardar su confidencialidad, ambos aspectos indispensables en la industria.
Así, lo primordial es cumplir con los tres principios que permiten proteger la información, disminuir los riesgos y mitigar las amenazas que ponen en riesgo la seguridad de la información, es decir, asegurar la confidencialidad, integridad y disponibilidad de los datos.
Junto con esto, deberán considerar las regulaciones de ciberseguridad que establezca la Comisión para el Mercado Financiero (CMF), su ente regulador, cumpliendo con los estándares de gobierno corporativo y gestión de riesgos, adoptando medidas para cumplir con los estándares mínimos de seguridad de información e implementar las necesarias políticas de gestión de riesgos y control interno.
Por ese motivo, es indispensable que los directorios incorporen a los equipos de ciberseguridad y TI en su proceso de negocio desde su inicio, para que así comprendan de mejor forma los activos de la empresa que se deben proteger.
En cuanto a los riesgos, las fintech deben conocer cuáles son las amenazas del negocio y las que pueden perjudicar e involucrar a sus usuarios y trabajadores, entre ellas, las transacciones no autorizadas, el robo de identidad, las intrusiones a los sistemas informativos, que pueden involucrar fuga de información no autorizada (como los datos financieros de los clientes y de la empresa) y los ataques de ransomware, phishing y whaling, también conocido como ataque al CEO, entre otros.
Los métodos y técnicas que utilizan los delincuentes son variados y mejoran permanentemente, por eso es importante conocer los tipos de ataques existentes, identificar, como empresas, nuestra superficie de ataque, y estar atentos a las vulnerabilidades que podemos estar sufriendo y las brechas de seguridad que se abren. Todo lo anterior, ya que una mala configuración, una actualización que no se realizó oportunamente o una vulnerabilidad desconocida por la empresa, pueden desatar una verdadera catástrofe, tanto para las personas como para las organizaciones, ya sean clientes, las propias fintech, y en el peor de los casos, a la industria completa.
En vista de lo anterior, las fintech deben trabajar en un marco de ciberseguridad integral que involucre a las distintas áreas de la compañía y que considere el panorama de las amenazas y la gestión de los riesgos, contemplando además el correcto procesamiento y almacenamiento de los datos.
Otra arista relevante es generar sistemas de monitoreo y de vigilancia de los procesos, centrándose en tres puntos: la seguridad interna para establecer políticas, protocolos y controles que garanticen una armonía de ciberseguridad dentro de la institución; la seguridad externa, relativa a otras compañías, socios y clientes que interactúan con la empresa, y establecer comunicaciones seguras entre los puntos de acceso; y, por último, la seguridad tecnológica que corresponde en poder detectar, prevenir y responder a los incidentes informáticos.
Finalmente, quiero destacar la importancia de contar con un estándar base de ciberseguridad e ir mejorando y adoptando nuevas medidas de protección a medida que vayan adquiriendo mayor madurez, además es imperativo cumplir con las obligaciones que establece la Comisión del Mercado Financiero para proteger los activos y los datos de las personas en toda la cadena de transacción.
Cabe destacar que, gracias a la tecnología, las fintech hoy son una industria con mucho potencial y con una demanda en aumento por sus servicios. Pero no deben nunca olvidar que su crecimiento futuro, y la confianza y credibilidad que logren a ojos de la población y el mercado, son inseparables de la correcta implementación de los protocolos y políticas de seguridad de la información de sus clientes.
