CNBV: endurecer reglas en ciberseguridad del sistema financiero mexicano

Los ciberataques al sistema financiero cada vez son más sofisticados: las primeras víctimas fueron los usuarios, luego las instituciones, seguido de la funcionalidad de los cajeros automáticos, y recientemente estos eventos han alcanzado los sistemas de medios de pago. Es por ello que el siguiente objetivo natural sería el esquema de compensación interbancaria, donde hay más recursos, por lo que ya se preparan nuevas reglas para fortalecer la ciberseguridad en el sistema financiero mexicano.

De acuerdo con Bernardo González Rosas, presidente de la Comisión Nacional Bancaria y de Valores (CNBV), en las próximas semanas se pondrán a consulta pública diversas modificaciones a las disposiciones en materia de ciberseguridad que aplican para las entidades financieras, las cuales se deberán publicar de manera definitiva antes del cierre de la actual administración.

El funcionario detalló que México es el décimo país más atacado a nivel mundial, con énfasis en el sector financiero; se calcula que el costo promedio de un incidente de seguridad en el 2016 en el país fue del orden de 28 millones de pesos, con un incremento de 25% para el 2017, según un estudio de PwC.

Al participar en el Cyber Security Summit, González Rosas indicó que entre los cambios que se prevén y que forman parte de todo el fortalecimiento en  materia de seguridad que ha implementado la autoridad en los últimos meses, se encuentra la obligación de contar con un oficial de seguridad de la información en todas las entidades financieras, con la finalidad de que sea un ente independiente que evalúe que los controles de ciberseguridad sean efectivos.

“Esta figura ya existe en muchas entidades, pero no necesariamente reportaba al director general o tenía independencia (...) Tiene que ser una área independiente que esté valuando la seguridad de la información y que los controles sean efectivos”, dijo el presidente de la CNBV.

Dentro de las tareas del oficial de la seguridad, se encuentra implementar políticas y procedimientos de seguridad, crear un esquema de control de acceso a la infraestructura tecnológica y establecer los mecanismos para una identificación y validación de los incidentes de ciberseguridad.

Otra de las obligaciones estará encaminada a que las instituciones fortalezcan sus mecanismos de inteligencia cibernética, es decir, que cuenten con servicios que les permitan atender de manera inmediata incidentes de seguridad y que tengan la información de los sucesos que acontecen en el mercado, con el fin de prevenirse de manera rápida.

Se han emitido cuatro alertas

Al respecto, González Rosas indicó que, tras la creación de la Vicepresidencia de Ciberseguridad en la CNBV, se han emitido alertas a todas las instituciones reguladas del sistema financiero cuando hay algún suceso en alguna parte del mundo.

“Tenemos cuatro alertas emitidas en las últimas semanas, son las que tenemos que estar dando sobre metodologías que vemos no sólo en México sino en otras partes en mundo”, añadió el funcionario, al ser cuestionado sobre lo que ha sucedido después del ciberataque relacionado al Sistema de Pagos Electrónicos Interbancarios y que causó un daño a cinco entidades cercano a 300 millones de pesos.

Asimismo, González Rosas informó que, a pesar de que a partir del protocolo de ciberseguridad, que se firmó hace algunas semanas entre autoridades y diversos gremios del sistema financiero, las instituciones tienen la obligación de reportar alguna incidencia en la materia, ahora se buscará que dichos protocolos se cumplan por ley.

“Los cambios que estamos haciendo a las disposiciones buscan que las entidades salgan a proteger realmente al usuario y pensar en términos del usuario. Si cuidan al usuario, evidentemente cuidarán también a las entidades y se tendrá una visión más de sistema”, explicó el presidente del órgano regulador.

Plan de prevención ante un ciberataque

En este contexto, las entidades también tendrán que contar con un plan director de seguridad, donde se les exija un documento que explique el compromiso de cada institución en materia de ciberseguridad consigo misma, así como con sus clientes. “(El documento contendrá) su estrategia tanto de corto, mediano y largo plazos para prevenir estos riesgos y lo tendrán que presentar a las autoridades para su aprobación”.

Otras de las disposiciones que se pondrán en consulta irán en el sentido de obligar a que cada institución conozca sus propias vulnerabilidades, mediante pruebas de penetración y de seguridad perimetral de mayor complejidad respecto a las que actualmente se solicitan.

“(Se pedirán) pruebas de penetración que cumplan con los más altos estándares y que, hay que reconocerlo, hasta hoy las entidades no necesariamente cumplían (...) Son como hackeos éticos (de prueba) que se hacen”, destacó.

Además, las instituciones tendrán que cuidar más la parte de su personal, pues muchos de los ciberataques provienen desde su interior. “Las entidades tienen que conocer e investigar a los candidatos que van a ingresar, ya que van a tener acceso a información sensible de las organizaciones o de sus clientes y proveedores”.

González Rosas indicó que, ante la reciente alerta que emitió el gobierno de Estados Unidos sobre un posible hackeo a los cajeros automáticos, no se detectó ningún intento de ataque a alguna institución mexicana, pero sí se informó sobre la modalidad del mismo a las entidades para que estuvieran alertas.