ION Financiera brinda alternativas de crédito que se adaptan a las condiciones y necesidades de cada persona; desde créditos para adquirir vivienda hasta créditos de liquidez aprovechando una propiedad como garantía. Ante dicho escenario, la Comisión Nacional Bancaria y de Valores (CNBV) exige que las instituciones bancarias cuenten con políticas, procedimientos y controles formales de seguridad de la información, alineados con estándares como ISO/IEC 27001, NIST y la Ley de Instituciones de Crédito.
“Derivado del proceso de transformación de una Sociedad Financiera de Objeto Múltiple (SOFOM) regulada a una Institución de Crédito Múltiple (Banco) de ION Financiera, implicó un cambio estructural profundo que conlleva mayores responsabilidades operativas, regulatorias y tecnológicas. En este contexto, la implementación de un SGSI se volvió una necesidad estratégica y obligatoria para garantizar la protección de los activos de información, la continuidad del negocio y el cumplimiento normativo”, dijo Miriam Mostranzo, CISO de esta institución.
El diseño e implementación de un
Sistema de Gestión de Seguridad de la
Información robusto, alineado con los
requisitos regulatorios bancarios,
garantiza la protección de los activos
de información, la continuidad
operativa y la confianza de los clientes
de ION Financiera.
De acuerdo con los factores que justifican la necesidad del SGSI, se encuentran el cumplimiento regulatorio, así como la protección de datos sensibles debido a que la exposición de la información financiera, personal y operativa de alto valor puede generar impactos legales, reputacionales y económicos. Además de la mitigación de riesgos tecnológicos y cibernéticos, la digitalización de servicios financieros y la exposición a amenazas como ransomware, phishing y ataques a la cadena de suministro requieren una postura de seguridad proactiva y resiliente; y confianza institucional, la seguridad de la información es un pilar para generar confianza entre clientes, reguladores, inversionistas y socios estratégicos, especialmente en el contexto de querer operar como banco.
Miriam Mostranzo mencionó que el proyecto se llevó a cabo considerando las siguientes fases: Fase 1) Diagnóstico y evaluación inicial que identificó el estado actual de la seguridad de la información y las brechas frente a los requisitos bancarios; Fase 2) Diseño del marco de seguridad donde se definió la arquitectura, políticas y controles necesarios para operar como banco; Fase 3) Implementación del Plan Director de Seguridad (PDS) se ejecutaron las iniciativas estratégicas para proteger la información y cumplir con los requisitos regulatorios; y Fase 4) Monitoreo, auditoría y mejora continua para asegurar la efectividad del SGSI y su evolución conforme a nuevas amenazas y regulaciones.
