Banxico crea Dirección de Ciberseguridad tras ataque
Algunas jurisdicciones cuentan con iniciativas regulatorias y de supervisión sobre este tipo de eventos
A 17 días de haber sido objeto de ciberataques en el sistema de conexión de bancos al Sistema de Pagos Electrónicos Interbancarios (SPEI), el Banco de México (Banxico) formalizó la creación de una nueva Dirección de Ciberseguridad.
Esta nueva adscripción fue anunciada en el Diario Oficial de la Federación (DOF), donde precisan que se encargará de “definir las acciones para proteger la infraestructura de tecnologías de información y fortalecer el desarrollo seguro de sistemas del Banco”.
Además, implementará la coordinación de acciones institucionales en materia de seguridad informática de conformidad con la estrategia de protección tecnológica institucional.
Esta nueva dirección, y la de Coordinación de la Información y de Sistemas, así como la Gerencia de Seguridad de Tecnologías de la Información, estarán adscritas a la Dirección General de Tecnologías de la Información.
La Gerencia de Seguridad de Tecnologías de la Información tendrá como atribuciones: definir las acciones para proteger la infraestructura de tecnologías de la información y fortalecer el desarrollo seguro de sistemas del banco de conformidad con la estrategia de protección institucional.
Además administrará el sistema de gestión de seguridad tecnológica de los procesos operativos del banco y participará en los procesos de selección de tecnologías y mecanismos de seguridad informática del banco.
Asimismo, supervisará el cumplimiento de la entrega y veracidad de la información que el banco solicite o recabe de las entidades y los intermediarios financieros en materia de seguridad de la información.
La facultad de supervisión comprenderá las tareas de vigilancia e inspección, esta última se ejercerá en coordinación con la Dirección de Regulación y Supervisión.
En las reformas al reglamento interior del Banco de México, divulgadas en el DOF, precisan que las modificaciones fueron aprobadas por la Junta de Gobierno durante una sesión realizada desde el 24 de abril.
Atribuciones de transparencia
Ahí también plantean otorgar nuevas atribuciones a la Unidad de Transparencia del banco central que, entre otras, incluyen: recabar y difundir la información pública que debe darse a conocer en medios electrónicos a que se refiere la Ley General de Transparencia y Acceso a la Información Pública; así como propiciar que las unidades administrativas correspondientes la actualicen periódicamente.
También será encargada de hacer del conocimiento de la autoridad competente la probable responsabilidad de trabajadores del banco por el incumplimiento de las obligaciones previstas en la Ley General de Transparencia y Acceso a la Información Pública, la Ley Federal de Transparencia y Acceso a la Información Pública y la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados.
Tendrá la responsabilidad de mejorar el funcionamiento y operación de los archivos del banco, los criterios específicos en materia de organización y conservación de archivos, datos personales y expedientes que contengan información y documentación clasificada como reservada y confidencial.
Así como aprobar los formatos de solicitudes de acceso a la información y para el ejercicio de los derechos de acceso, rectificación, cancelación y oposición al tratamiento de datos personales que en su caso elabore la Unidad de Transparencia.
Las modificaciones entrarán en vigor al día siguiente de su publicación en el Diario Oficial de la Federación, es decir, hoy miércoles 16 de mayo.
Autoridades cuentan con departamento similar
En agosto del 2017, el Banco de Pagos Internacionales (BIS, por su sigla en inglés), divulgó un documento de trabajo sobre los marcos de ciberseguridad que deberían tener los reguladores de los sistemas financieros.
En el documento, desarrollado por Juan Carlos Crisanto y Jeremy Prenio, se puso de relieve que “tan sólo un puñado” de jurisdicciones cuentan con iniciativas regulatorias y de supervisión sobre ciberataques.
Precisó entonces a la estrategia de ciberseguridad de Singapur; los estándares de ciberseguridad que maneja Canadá; el Departamento Doméstico de Seguridad de Estados Unidos, que tiene diferentes iniciativas para proteger la infraestructura crítica de aquel país; el marco de ciberseguridad nacional de Sudáfrica, y el Departamento de Protección de Infraestructura Crítica de Francia; la del Banco de Inglaterra y la que aplica Hong Kong.
El BIS, que es llamado el banco de los bancos centrales, señala que las pruebas de vulnerabilidad y resistencia a ciberataques son requerimientos comunes en las jurisdicciones detalladas.
Consigna que debe designarse una Oficina de Información y Seguridad a la que tendrán que declarar los bancos requeridos por información.
Destaca que este tipo de regulación para preservar la ciberseguridad puede ayudar a un mejor manejo y gestión de las obligaciones de las autoridades bancarias.
Qué países están blindados y cómo
- En agosto del 2017, el Banco de Pagos Internacionales admitió que “tan sólo un puñado” de jurisdicciones contaban con iniciativas regulatorias y de supervisión sobre ciberataques. En aquella ocasión, el llamado banco de bancos planteó que las pruebas de vulnerabilidad y resistencia a ciberataques son requerimientos comunes en varias jurisdicciones:
- Banco Central de Afganistán. Cuenta con una Unidad de Inteligencia Financiera desde el 2004, su nombre es Centro de análisis y reportes de transacciones financieras de Afganistán. Su principal objetivo es proteger la integridad del sistema financiero afgano. Es un órgano “semiindependiente”, administrativamente hablando, del Banco Central.
- Banco Central Europeo. Adoptó desde el 2013 una estrategia de ciberseguridad para la Unión Europea que pone como prioridad la cooperación internacional para alcanzar la ciberseguridad. Tiene como obligaciones generar los pasos para los operadores de sistemas financieros de infraestructuras críticas para administrar los riesgos de seguridad y reportar incidentes serios.
- Banco central de Inglaterra. Cuenta con una área de certificación profesional de seguridad y ciberseguridad para que los bancos e instituciones financieras puedan tener profesionistas acreditados en sus oficinas de seguridad. Produce un reporte de inteligencia, detección y respuesta.
- Estados Unidos. Cuenta con el Instituto Nacional de Estándares y Tecnología, así como el Consejo Federal de Examinación de Instituciones Financieras.
- Departamento de Ciberresistencia de Hong Kong. Aplica pruebas de estrés a las instituciones financieras, establece guías de implementación y soporte y desarrolla regulaciones. Depende de la autoridad monetaria de Hong Kong.
- Banco Central de Aruba. El llamado AML/CFT ordenamiento estatal se basa en 40 recomendaciones para combate de lavado de dinero y financiamiento al terrorismo. Su objetivo es reportar transacciones inusuales, hacer diligencias por cliente y reforzar la supervisión. Su desempeño alcanza a los proveedores de servicios financieros no regulados que incluyen a brókeres de seguros, brókeres de inversionistas, así como compañías de factoraje y rentas hipotecarias. (Con información de El Economista)