| 22 de julio de 2021
Cómo facilitar el cumplimiento de regulaciones en el sector financiero a través de la protección de los datos
¿Cuáles son las principales normativas sobre protección de datos que afectan a las entidades financieras? ¿A qué riesgos se enfrentan en materia de seguridad? Conozca cinco buenas prácticas para cumplir con estas regulaciones de manera efectiva
Compartir en
El sector de los servicios financieros se enfrenta, según el informe publicado por Allianz, a un periodo de grandes riesgos. La pandemia de Covid-19 ha causado una de las mayores conmociones de la economía mundial, provocando un estímulo económico y fiscal sin precedentes y niveles récord de deuda pública. A pesar de las mejores perspectivas económicas, persiste una considerable incertidumbre en el sector y éste se debe centrar también en los denominados riesgos “no-financieros”. Según este informe, el mayor riesgo no financiero al que se enfrenta este sector son los incidentes de ciberseguridad.
Dentro de las reclamaciones de seguros a las que se ha visto sometido el sector, la principal causa de pérdida de valor se debe a ciberataques. La pandemia generó un amento rápido y no planificado del trabajo remoto, y una digitalización acelerada, que han abonado el terreno para lo ciberdelincuentes. Las instituciones financieras se enfrentan a riesgos de interrupción del negocio, derivados de ciberataques. Por otro lado, un error en la cadena de proveedores puede afectar a la institución financiera, ya que los proveedores de servicios de terceros pueden ser un eslabón débil de la cadena de ciberseguridad de estas instituciones.
Análisis de fugas de datos en el sector financiero
Según el último informe de Verizon DBIR 2021 (Data Breach Investigations Report), el vertical de servicios financieros y de seguros se ha visto sometido a una gran cantidad de cambios en lo que respecta al entorno de ciberseguridad. Desde 2017, las brechas de seguridad o fugas de información en el sector provocadas por actores internos han ido creciendo, llegando en la actualidad al 44% del total. En la mayor parte han sido debidas a emails enviados a destinatarios erróneos. El 56% de las fugas son debidas a actores externos donde el phishing y los ataques de ransomware dominan sobre otros sectores. Las motivaciones de los atacantes son en un 96% financieras y los datos comprometidos son en un 83% datos personales seguidos por credenciales y datos bancarios.
Regulaciones y cambios tecnológicos en el sector
Estas fugas de información e incidentes de ciberseguridad tienen un gran impacto a nivel de cumplimiento regulatorio, siendo este uno de los mayores desafíos para la industria de servicios financieros, con regulaciones crecientes en torno a la ciberseguridad y un entorno tecnológico en constante evolución. Las consecuencias de las filtraciones de datos están teniendo un gran alcance en el sector derivando en mayores multas y litigios. Las nuevas tecnologías como la inteligencia artificial, monedas virtuales, y biometría generarán mayores riesgos y responsabilidades en un futuro próximo y esto incrementará la presión regulatoria en el sector.
Las empresas de servicios financieros trabajan con información altamente sensible que incluye datos personales y registros financieros, de alto interés para un ciber-atacante. Para asegurar que estos datos sensibles se protegen de forma apropiada, instituciones locales e internacionales han establecido regulaciones de cumplimiento a nivel de ciberseguridad para las empresas y organizaciones del sector.
No cumplir con estas regulaciones puede derivar en altas sanciones o multas económicas, pérdidas económicas derivadas de una fuga de datos, litigios, interrupciones de negocio, daño reputacional y pérdidas de clientes. Sin embargo, seguir los requisitos de estas regulaciones ayuda a tener una mayor seguridad sobre la información sensible, gestionar mejor los riesgos cibernéticos, tener una visión más amplia de los sistemas y datos críticos de la organización, y conocer mejor qué técnicas de ciberseguridad priorizar sobre otras.
¿Qué tipo de regulaciones y estándares de seguridad de datos existen en el sector financiero?
A continuación, enumeramos algunas regulaciones de ámbito nacional e internacional que afecta al sector. Algunas más específicas de los servicios financieros, y otras comunes a varios sectores, y que por tanto afectan también a este sector.
1. Estándares de seguridad de datos internacionales
1.1 Específicos para el sector financiero
Existen estándares de seguridad de datos internacionales que afectan a las organizaciones en este sector. Algunos de los principales específicos para el sector financiero son:
- PCI-DSS (Payment Card Industry Data Security Standard): El Consejo de Estándares de Seguridad de la Tarjetas de Pago (PCI SSC) supervisa la administración del Estándar de Seguridad de Datos de la Industria de Tarjetas de pago (PCI-DSS). Este estándar aborda los problemas de las tarjetas y garantiza un almacenamiento, procesamiento y transmisión de datos seguros. Aunque se desarrolló en USA, tiene implicaciones globales ya que los proveedores de tarjetas (VISA, Mastercard) operan en muchos países. El objetivo del estándar es reducir el fraude relativo a tarjetas de crédito y mejorar la protección de los usuarios de tarjetas. Cualquier institución o proveedor de medios de pago debe cumplir con este estándar.
- SWIFT CSP (SWIFT Customer Security Programme): El Programa de seguridad del cliente (CSP) de SWIFT ayuda a las instituciones financieras a garantizar que sus defensas contra los ciberataques estén actualizadas y sean efectivas, para proteger la integridad de la red financiera. Cualquier institución financiera que utilice los servicios SWIFT debe cumplir con los requisitos de SWIFT SCP.
1.2 Generales o Multisectoriales
- Un estándar de seguridad de datos internacional, no específico del sector financiero, pero también crítico para el mismo es la ISO 27001. Es un estándar para la seguridad de la información aprobado y publicado como estándar internacional en octubre de 2005 por ISO (International Organization for Standardization) y por IEC (International Electrotechnical Commission). Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un sistema de gestión de la seguridad de la información (SGSI) y afecta además de a otros sectores a las entidades financieras.
Por otro lado, existen regulaciones del sector bancario y de servicios financieros locales. Vamos a destacar algunas de ellas.
2. Regulaciones Europeas
2.1 Específicas para el sector financiero
- PSD2 (Payment Services Directive 2): Es una Directiva de la Unión Europea para regular servicios de pago y proveedores de servicio del pago de la Unión europea (UE) y del Área Económica europea (EEA). Los objetivos claves de la Directiva PSD2 son crear un mercado de pago europeo más integrado, haciendo los pagos más seguros y protegiendo a los consumidores.
- PSD2-RTS (PSD2 Regulatory Technical Standards): La Comisión Europea publicó a finales de 2017 un reglamento delegado sobre Normas Técnicas Regulatorias (RTS) que detalla las responsabilidades y obligaciones de los agentes de medios de pago. El RTS enumera los protocolos específicos para proteger la comunicación y los datos del cliente. El RTS requiere el uso de servicios electrónicos de identificación, autenticación y confianza (eIDAS).
2.2 Generales o Multisectoriales
- EU-GDPR: El Reglamento General de Protección de Datos (RGPD) es el reglamento europeo relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos. Es una normativa a nivel de la Unión Europea, por lo que cualquier empresa, incluidas las de servicios financieros, de la Unión, o aquellas empresas que tengan negocios en la Unión Europea, que manejen información personal de cualquier tipo, deberán acogerse a ella. Las multas por el no cumplimiento del RGPD pueden llegar a los 20 millones de euros.
- Directiva NIS (Seguridad de Redes y Sistemas de Información): Proporciona medidas legales para incrementar el nivel global de ciberseguridad en la Unión Europea asegurando la preparación de los Estados Miembros exigiéndoles que estén debidamente equipados (con equipos de respuesta a incidentes de ciberseguridad – CSIRT, autoridad nacional competente NIS); fomentando la cooperación de los Estados Miembro mediante la creación de grupos de cooperación; incrementando la cultura de seguridad en todos los sectores vitales para la economía y con alta dependencia de las TIC (Energía, Transporte, Agua, Banca, Servicios Financieros, Sanidad e Infraestructura Digital). La nueva estrategia europea de ciberseguridad incluye dos propuestas de Directiva: una para establecer un nivel común de ciberseguridad en la Unión (llamada ‘NIS2’) y la Directiva de resiliencia de entidades críticas.
3. Regulaciones Financieras de EE.UU.
3.1 Específicas para el sector financiero
Las regulaciones de EE. UU. Cubren las transacciones, el almacenamiento de datos, el fraude y el blanqueo de capitales. A continuación, se destacan algunas de ellas, sin embargo, existen muchas más leyes específicas en todo el país.
- GLBA (Gramm-Leach-Bliley Act): También conocida como la Ley de Modernización de los Servicios Financieros. Según la ley, las empresas deben informar a los consumidores sobre las medidas de protección de datos y cómo se comparten sus datos. Además, las empresas que cumplen con GLBA deben dar a los consumidores la opción de optar por no compartir datos con terceros. También se realiza un seguimiento de la actividad de la cuenta protegida para garantizar que la actividad fraudulenta se detecte lo antes posible.
- SOX (Ley de Sarbanes Oxley): esta ley describe las prácticas recomendadas que pueden evitar que las organizaciones procesen transacciones financieras fraudulentas. En particular, especifica qué registros financieros deben almacenarse, durante cuánto tiempo y cómo deben protegerse. Esta ley es aplicable a todas las empresas públicas registradas por la Comisión de Bolsa y Valores de EE. UU.
- FINRA (Financial Industry Regulatory Authority): No es una regulación en sí, sino una organización no gubernamental independiente que proporciona pautas y establece requisitos para los corredores de bolsa de EE. UU. Los requisitos clave de FINRA incluyen tener políticas de protección de datos escritas para prevenir el compromiso de los datos del consumidor. FINRA también describe las reglas para detectar y mitigar las amenazas cibernéticas.
- BSA (Bank Secrecy Act): La Ley de secreto bancario es una ley destinada a evitar que las organizaciones financieras se utilicen para ocultar o blanquear dinero mediante la verificación de la legitimidad de las transacciones de divisas. Dado que los ciberdelincuentes utilizan tácticas de manipulación de datos para alterar los registros de divisas, muchos auditores también analizarán el sistema de ciberseguridad de una organización al realizar una evaluación. Además, los auditores revisarán el plan de respuesta a incidentes de una organización para asegurarse de que, en caso de una infracción, se tomen las medidas adecuadas para contener todas las amenazas.
- MOBILE Act. (Making Online Banking Initiation Legal and Easy Act; Derrogación de la Dodd-Frank Act): Permite a los bancos incorporar clientes a través de un proceso de verificación en línea más sencillo. Por ejemplo, los clientes potenciales pueden escanear una forma de identificación (por ejemplo, pasaporte) y utilizar una firma electrónica para la confirmación. Esta nueva ley anula las limitaciones anteriores impuestas por la ley Dodd-Frank.
3.2 Generales o Multisectoriales
Marco de Ciberseguridad NIST (National Institute for Standards and Technology): El NIST creó un marco general de gestión de amenazas para todas las industrias. El marco se puede adaptar a las necesidades de cada negocio. Sin embargo, NIST destacó específicamente las regulaciones para las industrias de atención médica, financiera y minorista. Las instituciones financieras reportan a la Autoridad Reguladora de la Industria Financiera (FINRA) y las pautas del NIST van de la mano con los requisitos de la Autoridad Reguladora de la Industria Financiera (FINRA) de los procesos y controles necesarios para gestionar y mitigar los riesgos cibernéticos. Se incluyen controles de autenticación, evaluaciones de riesgos internos y divulgaciones de vulnerabilidades.
4. Otras regulaciones nacionales
En multitud de países existen marcos de seguridad específicos para entidades financieros (Ej. India – Digital Payment Security Controls, Arabia Saudí – SAMA Cyber Security Framework), Perú – Resolución SBS Nº 504-2021, etc.), o multisectoriales (España – Esquema Nacional de Seguridad, Reglamento de Protección de Infraestructuras Críticas, Francia – CIIP Framework, etc.) que también tienen repercusión directa sobre instituciones financieras públicas además de otras instituciones como infraestructuras críticas.
Cinco buenas prácticas para facilitar el cumplimiento de regulaciones en el sector financiero
Las anteriores regulaciones y estándares imponen sobre las entidades financieras requisitos de seguridad variados y que abarcan a múltiples áreas de la organización. Sin embargo, podremos facilitar el cumplimiento regulatorio en este sector de con las siguientes buenas prácticas:
- Cifrando los datos sensibles: Estas regulaciones no imponen el uso de un determinado producto, pero sí requieren o recomiendan el cifrado de datos como mecanismo efectivo para proteger la información sensible (datos financieros, personales, etc.). Si los datos se roban, exfiltran, se pierden, no serán accesibles si están cifrados. Un cifrado eficiente actúa protegiendo los datos en reposo, en tránsito y en uso. De esta forma puede minimizar el riesgo de fugas de datos sensible.
- Aplicando un control de acceso a cada recurso: Siguiendo el principio de seguridad del mínimo privilegio, sólo debemos dar acceso a los datos sensibles a quien deba tenerlo. Y si es posible, limitando lo que puede hacer con ellos (sólo ver, editar, imprimir, copiar y pegar, etc.). El marco de seguridad Zero-Trust, muy de actualidad en estos momentos, sigue esta misma recomendación de limitar el acceso sólo a los usuarios necesarios sobre cualquier recurso de la organización, incluyendo los ficheros y datos confidenciales.
- Auditando el acceso sobre los datos sensibles: Para poder generar alertas e indicadores de riesgo sobre los datos sensibles es necesario poder monitorizar el acceso sobre los mismos, estén donde estén. Esta trazabilidad sobre la información permitirá saber en todo momento cómo se utilizan los datos, si alguien está intentando acceder sin permisos o desprotegerlos y hay riesgo de fuga de información.
- Controlando la información en terceras partes (proveedores, subcontratas y otros): Como se indicaba al principio de este artículo, un eslabón débil en la cadena de seguridad es la gestión por parte de terceros de nuestros datos. Podemos controlar nuestros sistemas y seguridad, pero es complicado controlar la de un tercero como proveedores o subcontratas. Si existe una fuga de seguridad en los mismos, esto puede afectarnos y estaremos en riesgo de incumplir las regulaciones.
- Educando a los usuarios: Otro de los eslabones más débiles de la organización en cuanto a seguridad de la información son los usuarios finales. Debemos educarlos y formarlos para gestionar con cuidado los datos sensibles de la organización. Es necesario extender una cultura de seguridad dentro de la organización, de forma que los usuarios sepan cuándo están gestionando datos sensibles y cómo protegerlos.
Una solución de seguridad centrada en los datos como SealPath puede ayudar a las Instituciones Financieras en la implantación y cumplimiento de regulaciones, complementando a otras medidas de seguridad. SealPath permite proteger los datos tanto dentro como fuera de las organizaciones. La organización tendrá bajo control sus documentos más importantes, limitando quién puede acceder, con qué permisos (sólo ver, editar, imprimir, etc.), desde qué redes o IPs, en qué marco temporal, etc.
Además, dispone de avanzados controles de trazabilidad y monitorización que pueden ayudar a identificar situaciones de riesgo sobre los datos corporativos. También, a través de sus funcionalidades de revocación puede destruir virtualmente la información cuando sea necesario impidiendo que nadie, o determinados usuarios o grupos puedan acceder a los datos.
SealPath es líder en el ámbito de ciberseguridad centrada en los datos permitiendo a empresas a proteger y tener bajo control sus datos más sensibles allí donde viajen. SealPath ayuda a organizaciones de todos los tamaño y sectores, incluyendo a entidades y multinacionales del ámbito financiero, a mantener sus datos seguros y cumpliendo con diferentes regulaciones de privacidad y seguridad sobre los datos. Para saber cómo SealPath puede ayudarle a proteger sus datos en reposo, en tránsito y en uso no dude en descargar nuestro datasheet aquí.
Puede leer el artículo original aquí.