¿Cómo proporciona la norma ISO/IEC 27001:2022 ciberseguridad a la industria bancaria?

La cantidad de datos almacenados electrónicamente en la actualidad es abrumadora, y esa cifra no hará más que aumentar con el paso del tiempo. Lamentablemente, el incremento de los datos digitales conlleva un aumento de los ciberataques. Los delincuentes con conocimientos digitales representan una amenaza constante para cualquier sector que haga uso de la tecnología. La norma ISO/IEC 27001:2022 es un estándar de gestión de la seguridad de la información que proporciona a las organizaciones financieras —de cualquier tamaño y tipo— un marco de referencia para salvaguardar y proteger los datos confidenciales y sensibles.

El sector bancario puede beneficiarse enormemente de una certificación ISO/IEC 27001. Los bancos recopilan una gran cantidad de información personal de sus clientes y, con la transición hacia el almacenamiento electrónico de datos, dicha información se encuentra expuesta a un mayor riesgo. Constituye un objetivo evidente para los ciberdelincuentes: una fuente centralizada de información sobre la situación financiera, el historial crediticio, los datos de identidad personal y mucho más. Debido a este riesgo, los clientes exigen que las organizaciones garanticen la seguridad de la información, mostrándose especialmente inclinados hacia aquellas que pueden demostrar su compromiso en este ámbito.

La certificación ISO/IEC 27001 es la prueba que las organizaciones necesitan para diferenciarse de la competencia. Permite identificar y mitigar los riesgos de seguridad de la información, salvaguardar los datos confidenciales y transmitir a los clientes el valor que la organización otorga a su privacidad. Asimismo, ante la probable eventualidad de que en el futuro se impongan nuevas regulaciones al sector bancario, su organización estará mejor preparada para adaptarse si cuenta con la certificación ISO/IEC 27001.

El sector bancario está fuertemente sujeto a regulaciones financieras regionales y nacionales relacionadas con la seguridad de la información.

En el sector bancario existen numerosas regulaciones financieras, tanto a nivel regional como nacional, que los bancos deben cumplir.

Una certificación ISO/IEC 27001 puede facilitar este cumplimiento mediante la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) sólido y estructurado.

América del Norte

Reglamento de Ciberseguridad del NYDFS (23 NYCRR Parte 500)
Esta es una de las regulaciones financieras estatales más importantes de los EE. UU. Exige a las instituciones financieras con licencia en Nueva York mantener un programa de ciberseguridad robusto, el cual incluye mandatos específicos para la autenticación multifactor (MFA), pruebas de penetración periódicas y certificaciones anuales de cumplimiento. El enfoque basado en riesgos de la norma ISO 27001 se alinea estrechamente con estos requisitos, particularmente en lo referente a la gestión de riesgos (Cláusula 6.1.2) y el control de acceso (Anexo A.8.3).

Normas de Divulgación de Ciberseguridad de la SEC
Vigentes desde finales de 2023, estas normas exigen a las empresas públicas divulgar los incidentes de ciberseguridad de carácter “material” en un plazo de cuatro días hábiles, así como presentar informes anuales sobre sus estrategias de gestión de riesgos y gobernanza.

Ley Gramm-Leach-Bliley (GLBA)
Una ley federal que exige a las instituciones financieras explicar cómo comparten y protegen los datos de sus clientes. La norma ISO 27001 ayuda a cumplir con la “Regla de Salvaguardas” (Safeguards Rule) de la GLBA al proporcionar la documentación y los marcos de evaluación de riesgos necesarios.

Europa

La Ley de Resiliencia Operativa Digital (DORA) se integra a la perfección en un SGSI certificado bajo la norma ISO/IEC 27001:2022, actuando como una capa regulatoria prescriptiva que se superpone al marco de gestión flexible de dicha norma. Mientras que la ISO 27001 proporciona la estructura de gobernanza de alto nivel —específicamente a través de la Cláusula 4.2, la cual exige identificar los requisitos de las partes interesadas y de los reguladores—, la DORA introduce mandatos específicos y obligatorios para el sector financiero en materia de gestión de riesgos de TIC, notificación de incidentes y pruebas de resiliencia digital. Las organizaciones pueden aprovechar su proceso de evaluación de riesgos de la ISO/IEC 27001 (Cláusula 6.1.2) y los controles del Anexo A (tales como el 5.21 para servicios de terceros y el 5.24 para la gestión de incidentes) para satisfacer los cinco pilares de la DORA. En última instancia, un sistema certificado según la norma ISO/IEC 27001 proporciona la «memoria muscular» organizacional para el cumplimiento normativo y la mejora continua, mientras que DORA aporta los criterios especializados para la resiliencia operativa, creando así un enfoque unificado que abarca tanto las mejores prácticas internacionales como la legislación europea.

Asia-Pacífico

APRA CPS 234 (Australia)
Emitida por la Autoridad Australiana de Regulación Prudencial (APRA), esta norma es de cumplimiento obligatorio para bancos, aseguradoras y fondos de jubilación. Si bien comparte principios fundamentales con la norma ISO/IEC 27001, resulta más prescriptiva en lo que respecta a la rendición de cuentas a nivel del Consejo de Administración, y exige notificar a la APRA cualquier incidente de seguridad significativo en un plazo de 72 horas.

Directrices de Gestión de Riesgos Tecnológicos (TRM) del MAS (Singapur)
Estas directrices establecen expectativas claras sobre la forma en que los bancos y las aseguradoras de Singapur deben gestionar los riesgos tecnológicos y cibernéticos. A menudo se utiliza la norma ISO/IEC 27001 como marco base para la construcción del Sistema de Gestión de Seguridad de la Información (SGSI), el cual se alinea posteriormente con los requisitos más granulares de las directrices TRM del MAS a fin de garantizar el cumplimiento normativo local.

Directrices de Seguridad del FISC (Japón)
Desarrolladas por el Centro de Sistemas de Información para la Industria Financiera (FISC), estas constituyen las normas de seguridad *de facto* para el sector financiero japonés. Incluyen estándares técnicos, operativos y de instalaciones específicos que las organizaciones suelen alinear con sus propios controles basados ​​en la norma ISO 27001.

HKMA SPM TM-G-1 (Hong Kong)
El Manual de Política de Supervisión de la Autoridad Monetaria de Hong Kong (HKMA) establece los principios generales para la gestión de riesgos tecnológicos que las instituciones autorizadas deben tener en cuenta.

Oriente Medio

Marco de Ciberseguridad de la SAMA (Arabia Saudita)
De cumplimiento obligatorio para todas las instituciones financieras con licencia en el Reino, este marco se estructura en diversos dominios, tales como la gobernanza, la gestión de riesgos y la seguridad de terceros. Se basa explícitamente en referentes globales —como la norma ISO 27001—, pero ha sido adaptado específicamente al entorno regulatorio saudí.

Normas de Aseguramiento de la Información de la NESA (EAU)
Una norma nacional centrada en la protección de las infraestructuras críticas de información. A diferencia del enfoque basado en riesgos de la norma ISO 27001, NESA adopta un enfoque basado en amenazas, el cual exige a las organizaciones mitigar amenazas específicas identificadas por la autoridad nacional de los EAU.

Leyes de Protección de Datos del DIFC y el ADGM (EAU)
Las zonas francas financieras, tales como el Centro Financiero Internacional de Dubái (DIFC) y el Mercado Global de Abu Dabi (ADGM), cuentan con sus propios regímenes de protección de datos; estos se alinean estrechamente con el RGPD, pero incluyen requisitos específicos en materia de residencia local de los datos.

América Latina

Brasil: Resolución BACEN 4.893
El Banco Central de Brasil (BCB) establece, con carácter obligatorio, políticas específicas de ciberseguridad y requisitos para los servicios en la nube dirigidos a las instituciones financieras. Las actualizaciones recientes de 2025 (Resoluciones 5.274 y 538) han incorporado requisitos más estrictos en lo referente a las pruebas de intrusión y los mecanismos de autenticación.