Como muchas instituciones y empresas en México, el Consorcio Nacional Monte de Piedad, pasó de tener una Seguridad de TI a una Seguridad de la Información (SI) y de Ciberseguridad, por lo surge la necesidad de contar con una figura de Seguridad de la Información para la Financiera Monte de Piedad y adquirir también las mejores prácticas para la Casa de empeño.

Mario Díaz expresó que el proyecto Incremento de nivel de madurez en SI tiene como objetivo implementar las mejores prácticas y controles de Seguridad de la Información alineados a estándares y requerimientos de entidades regulatorias (INAI, CNBV, PROFECO, CONDUSEF, PCI, JAP). “El estándar establece que hay que subir un nivel cada dos o tres años; nosotros arrancamos con lo básico y prácticamente cada nivel lo conseguimos en menos de año y medio. El reto es tener un nivel 3 de Seguridad de la Información para el 2023”.

“El área de negocio tiene muy presente que no somos un stopper, somos un socio para que las cosas salgan bien y reducir la exposición a riesgos. Generamos valor a la institución”.

Mario Fernando Díaz Gómez, CISO de Nacional Monte de Piedad.

De acuerdo con el CISO, el arranque de esta iniciativa fue difícil porque se hicieron los assessment, además se tuvo que involucrar a la alta dirección para conseguir su apoyo. Luego, empezaron a documentar y hacer políticas con la finalidad de que hubiera un marco normativo para todo el consorcio.

Más adelante, Díaz Gómez informó que siguieron el estándar ISO 27000 y la implementación de un Sistema de Gestión de Seguridad de la Información. De igual manera, crearon un Comité de Seguridad conformado por Auditoría Interna, Riesgo, Cumplimiento, Legal, Tecnologías de la lnformación y, desde luego,  el departamento de Seguridad de la Información.

Por otro lado, hicieron una evaluación sobre la tecnología que tenían y determinaron cuál mantener, mejorar o cambiar. Otro aspecto importante fue enganchar la concientización con las políticas, la gente y el proceso que se está haciendo en el momento. Por ejemplo: “si vamos a enfocarnos en Clasificación de la Información tiene que haber una política en clasificación, una herramienta que apoye a los usuarios a clasificar, concientización en clasificación, y si no están clasificando que haya consecuencias. Tener todo eso en conjunto es muy complejo pero da resultados”, explicó Mario Díaz.

También el Consorcio Nacional Monte de Piedad implementó software de prevención de pérdida de datos (DLP), gestión de información y eventos de seguridad (SIEM), así como automatización robótica de Procesos (RPA). En la actualidad está incorporando una gestión Integrada de riesgos (IRM) que ayudará a  realizar revisiones a terceros de manera centralizada.