La cultura, la estrategia de negocio, la información, la arquitectura tecnológica, la construcción de marca, la integración con el negocio, la innovación y utilización de machine learning, y la dependencia de proveedores externos, son los elementos claves para una organización.
Hasta el 10 de noviembre del 2023, se encuentra en consulta la propuesta normativa sobre prestadores de servicios financieros de la Comisión para el Mercado Financiero. La propuesta establece en un único cuerpo normativo, requerimientos de gobierno corporativo y gestión integral de riesgos, definición de riesgo operacional, y temas de ciberseguridad, entre otros.
Para José Lagos, director académico del diplomado de Ciberseguridad de Educación Ejecutiva (UEjecutivos) de la FEN U. de Chile, “los principales desafíos que enfrenta una fintech en comparación con la banca tradicional se asocian con la necesidad de atraer nuevos clientes, la innovación en el uso de datos, le gestión adecuada del riesgo, la construcción de una experiencia nueva con los clientes, el análisis de los datos, el marketing digital y la agilidad necesaria para sobrevivir en el ecosistema financiero”.
Considerando que las amenazas existentes en el ciberespacio son las mismas que enfrenta un banco tradicional y una fintech, el nivel de exposición marca la diferencia entre ambos. En ese aspecto, el negocio de una fintech tiene una mayor exposición a internet, y sus activos críticos pasan a ser datos, pero también algunos algoritmos desarrollados y almacenados en la nube, explica Lagos.
Ciberseguridad y Fintech
Ante la materialización de un incidente de ciberseguridad que podría afectar la continuidad operacional de una fintech y su sobrevivencia, ¿cómo se debiera reenfocar la ciberseguridad?
“El propósito de la ciberseguridad en una empresa fintech debe ser lograr una ventaja competitiva. Esta debe colaborar en la obtención de nuevos clientes, protegiendo los datos, siendo resiliente y manteniendo la reputación de la empresa en el tiempo”, asegura Lagos.
Si no se presta atención a ello, un problema que se puede generar es que “la fintech cederá terreno a sus competidores, ya sea por desconfianza de los clientes o pérdida reputacional. En este caso, la ciberseguridad será la disciplina para asegurar la confianza del mercado y la reputación de la empresa en el tiempo, y el habilitador que finalmente otorgará una ventaja competitiva”, agrega Lagos.
La función de ciberseguridad debe ser gestionada, generando capacidades dinámicas que impliquen mirar constantemente el mercado, el ecosistema, nuevas amenazas y el entorno en general, adaptando los recursos internos, según los cambios del mercado, aclara el académico.
Capacidades dinámicas
Estas tienen que ver con la capacidad de la empresa para integrar, construir y reconfigurar las competencias internas y externas, que permitan enfrentar un entorno cambiante. Desde el punto de vista de ciberseguridad, “necesitamos mirar que está sucediendo en el entorno, en el ámbito regulatorio, tecnología, innovación, amenazas y otros, para efectos de reconfigurar las capacidades o el modelo operacional de ciberseguridad para hacer frente a estos cambios”, explica.
Ocho son las capacidades dinámicas más necesarias que deben ser desarrolladas por el responsable de ciberseguridad de la Fintech. En este tipo de empresa, la ciberseguridad debe estar en la estrategia de negocio, lo que ayudará a obtener nuevos clientes, mejorar la confianza, reputación y mantener una ventaja competitiva en el tiempo. Lagos comenta que esta debe estar integrada con el negocio, proteger los datos y los algoritmos, al tiempo que no perjudica el time to market, para lo cual la eliminación de silos y construcción de filosofías DevSecOps debe ser una prioridad.
Considerando el ecosistema de Fintech, la dependencia en proveedores externos debe ser un punto de control, por lo que es necesario asegurar los datos y los algoritmos, incluso cuando estos no están almacenados en dispositivos de propiedad de la fintech, asegura.
La información también es un aspecto clave. “Esta implica tener la capacidad de generar la información adecuada de ciberseguridad y protección de datos, a los diversos grupos de interés, como clientes, reguladores, industria, competidores, entre otros. De igual manera, la cultura es relevante. Es necesario crear las capacidades para avanzar en una cultura digital, con énfasis en ciberseguridad y protección de datos”, sostiene.
Por otro lado, también es importante la arquitectura tecnológica, que es una capacidad crítica para seleccionar la tecnología de protección adecuada. “Esta se relaciona con el entendimiento de la arquitectura tecnológica existente en el mercado y el direccionamiento de la misma en el corto y largo plazo”, señala.
La ciberseguridad debe ser innovadora en la incorporación de tecnología o el desarrollo de mecanismos de protección, utilizando herramientas de machine learning. “Esta herramienta permite implementar modelos predictivos, los cuales pueden estar orientados, por ejemplo, a determinar el nivel de riesgo que cada colaborador pueda ser víctima de phishing”, indica.
Finalmente, un aspecto importante también es la construcción de marca. La ciberseguridad debe apoyar en ello, ya sea para mejorar la confianza de los clientes y la reputación de la empresa, puntualiza.
Equipo Prensa
Portal Innova