Vexi, emisor de tarjeta de crédito registrado ante la Comisión Nacional Bancaria y de Valores (CNBV), decidió implementar un Sistema de Gestión de Seguridad de la Información basado en la gestión de riesgos, que incluyó la implementación de capacidades tecnológicas de seguridad para detectar, monitorear y remediar las ciberamenazas que se presentan a diario.
Los resultados obtenidos consolidaron
un modelo de seguridad integral que
transformó la forma en que la
organización gestiona sus riesgos,
protege sus activos y cumple con sus
responsabilidades regulatorias.
“Al inicio del ciclo 2024, lideré la definición de un Plan Diirector de Seguridad de la Información, estructurado como una estrategia integral para elevar la madurez en ciberseguridad y reducir la exposición de la organización, que se encontraba en un nivel de riesgo superior a su apetito definido. La necesidad de fortalecer los controles era evidente, tanto para responder a amenazas internas y externas como para asegurar el cumplimiento de los marcos regulatorios y normativos del sector fintech”, expresó Carlos Chan Pacheco, CISO de Vexi.
Esta iniciativa se construyó sobre un diagnóstico inicial que evidenció brechas en gobernanza, procesos, cultura y tecnología, y a partir de ahí se estructuraron distintos ejes de gestión que guiaron su desarrollo. Por otro lado, se establecieron cambios estratégicos para habilitar el monitoreo continuo, proteger activos en todo el ciclo de vida, eliminar la obsolescencia tecnológica y alcanzar mayor eficiencia operativa y económica. Adoptaron un modelo híbrido que integró soluciones open source con tecnologías adquiridas, optimizando el retorno de inversión y evitando duplicidades, asimismo se implementaron soluciones para la protección integral y contexto frente a amenazas actuales, mejorando la capacidad de detección y respuesta.
Como parte de los resultados, Carlos Chan destacó que lograron establecer un marco operativo que conecta con la gestión de riesgos institucional, en un proceso que continúa madurando y generando valor; además la introducción de KPIs que evolucionaron desde la visión de madurez deseada hasta indicadores medibles y accionables. “Como eje transversal, se fortalecieron los canales de comunicación con todas las áreas de la organización, consolidando la idea de que la seguridad no es un obstáculo, sino un valor agregado que impulsa la operación y la confianza en el negocio. Si bien, los pilares de la seguridad están ampliamente documentados en metodologías y estándares, el verdadero reto consiste en saber cuándo implementarlos, a quiénes involucrar, cómo comunicar los avances y en qué momento impulsar los reportes estratégicos”, opinó Chan Pacheco.
Adicionalmente, el CISO de Vexi mencionó que se obtuvo por primera vez la certificación PCI-DSS, un logro que aseguró el cumplimiento de un estándar clave del sector y marcó un cambio en la forma en que negocio, tecnología, riesgos y seguridad trabajan de manera integrada. También se fortaleció la relación con proveedores a través de un marco contractual con controles de seguridad, evaluaciones y un modelo de calificación de madurez.
