Modelo integrado de evaluación de madurez en ciberseguridad y cumplimiento normativo para PYMEs proveedoras del sector financiero en el Perú

Las PYMEs tecnológicas que prestan servicios al sector financiero en el Perú enfrentan crecientes exigencias en ciberseguridad y cumplimiento normativo, pero muchas no cuentan con herramientas prácticas para evaluar su nivel real de madurez ni su alineamiento con la normativa aplicable. Esta situación dificulta la identificación de brechas, la priorización de inversiones y su participación como proveedores confiables dentro de la cadena de suministro financiero. El trabajo presentado propone un modelo integrado que combina el NIST Cybersecurity Framework 2.0 para medir madurez, CIS Controls v8.1 para orientar la implementación de controles y la normativa peruana, incluyendo la Ley N.º 29733 y disposiciones de la Superintendencia de Banca, Seguros y AFP. Con un enfoque cualitativo y aplicado, el modelo permite diagnosticar brechas, relacionarlas con obligaciones regulatorias, estimar el impacto económico del incumplimiento y construir un roadmap progresivo ajustado a la realidad de las PYMEs. Los resultados evidencian que esta integración facilita la toma de decisiones, la priorización de controles y el fortalecimiento de la confianza de estas empresas como proveedoras del sector financiero.