Bajo la misión de crear futuros más prósperos a través de la inclusión financiera, Sacbé Payments de México reconoce que las organizaciones fintech enfrentan diversos retos críticos en materia de Seguridad de la Información, tales como exposición creciente a amenazas cibernéticas avanzadas basadas en inteligencia artificial. Motivo por el cual esta firma decidió diseñar, implementar y fortalecer un enfoque ágil e integral de Seguridad de la Información y Ciberseguridad en la organización, que permitiera anticipar, detectar, responder y recuperar con prontitud.
De acuerdo con Noé Flores Galdámez, gerente de Seguridad de la Información de esta fintech, decidieron hacer frente por capas a las amenazas internas y externas, alineando los controles con estándares internacionales (como ISO/IEC 27001, PCI DSS 4.0.1 y la Ley Fintech), e integrando la gestión de riesgos, cumplimiento normativo y cultura de seguridad en cada etapa del ciclo operativo y de desarrollo tecnológico.
“Como antecedente, la dispersión de soluciones y la falta de orquestación entre herramientas de monitoreo, análisis y respuesta dificultaban la toma de decisiones oportuna ante incidentes o desviaciones operativas”, expresó el gerente, quien agregó que la velocidad de innovación exige incorporar prácticas de seguridad desde etapas tempranas del desarrollo (DevSecOps), evitando abordajes reactivos o manuales que generan fricción con los equipos de tecnología.
La sofisticación de los ataques
dirigidos, el ransomware como
servicio (RaaS) y la explotación de
vulnerabilidades emergentes han
puesto en evidencia la necesidad de
contar con mejores capacidades de
detección y respuesta más ágiles y
proactivas.
Al día de hoy, Sacbé Payments de México ha logrado un fortalecimiento normativo y cumplimiento regulatorio, así como en la implementación de un esquema de respuesta ágil ante incidentes, con roles claros y tiempos de reacción definidos; orquestación entre seguridad, SOC y equipos de infraestructura TI para atención coordinada de vulnerabilidades e incidentes clasificados. Por otro lado, se promovió la concientización y cultura organizacional con el lanzamiento de campañas de capacitación ágiles, incluyendo simulacros de spam, phishing, vishing, e inclusión de módulos de concientización en procesos de onboarding.
Asimismo destaca la creación del Comité DevSecOps y revisiones automatizadas de seguridad en pipelines de desarrollo, además de la validación continua de librerías, configuraciones y componentes críticos mediante herramientas de análisis de código (Checkmarx) y dependencias. Esta fintech inició con trabajos de madurez operativa y control de evidencias.
