Directores, responsables de reacción ante ciberataques

La Comisión Nacional Bancaria y de Valores (CNBV) publicó este martes las nuevas reglas que deberán cumplir, de forma escalonada, los bancos en materia de ciberseguridad.

Entre estas medidas destaca que los bancos deberán contar con un oficial en jefe de seguridad de la información, que estará en los más altos niveles de la organización, sólo por debajo del director general, al cual le rendirá cuentas.

También se establece que el director será el responsable de la implementación del sistema de control interno en materia de seguridad de la información; lo mismo que de aprobar el plan director de seguridad y contratar hackers éticos; además de informar, de forma rápida, cualquier incidencia, entre otras medidas.

Estos cambios se dan luego de los ciberataques que sufrieron los sistemas de conexión de algunos bancos entre abril y mayo de este año, y que derivaron en pérdidas para las instituciones por alrededor de 300 millones de pesos.

“A fin de estar en condiciones de hacer frente a riesgos y ataques informáticos que pudieran ocasionar afectaciones a las instituciones de crédito y a la realización de operaciones con los clientes, resulta conveniente fortalecer el marco normativo sobre seguridad de sus sistemas e infraestructuras tecnológicas, así como los controles internos”, refiere el documento publicado en el Diario Oficial de la Federación (DOF).

En las nuevas disposiciones la CNBV explica que las instituciones deberán contar con una persona que se desempeñe como oficial en jefe de seguridad de la información, la cual será designada por el director general y ocupará el nivel inmediato inferior al de éste, debiéndole reportar de manera directa.

“Será el responsable en materia de seguridad de la información de la institución y deberá responder a los requerimientos formulados por las autoridades y al interior de la institución en dicha materia”, apunta el órgano regulador.

Entre otras tareas del oficial en jefe están: elaborar el plan director de seguridad, gestionar las alertas, así como los incidentes y coordinar y presidir el equipo para la detección y respuesta de éstos, entre otras.

“El oficial en jefe de seguridad de la información podrá apoyarse, para el ejercicio de sus funciones, en representante de las diferentes unidades de negocio”, precisa.

Estrategia desde arriba

Las nuevas disposiciones emitidas por la CNBV refieren que el director general de la institución será responsable también de la implementación del Sistema de Control Interno en materia de seguridad de la información que procure su confidencialidad, integridad y disponibilidad, y que cumpla ciertos requisitos como cifrado de la información, evite accesos no autorizados y otros controles que permitan evitar la filtración.

De igual forma, el director será responsable de aprobar el plan de seguridad, el cual debe estar alineado con la estrategia de negocio de la institución, así como definir y priorizar los proyectos, con el objetivo de reducir la exposición a los riesgos tecnológicos y la materialización de incidentes, hasta niveles aceptables en los términos que defina el consejo, a partir de un análisis de la situación.

“Para la aprobación de dicho plan, el director general deberá verificar que contenga las iniciativas dirigidas a mejorar los métodos de trabajo existentes, y podrá contemplar los controles requeridos conforme a las disposiciones aplicables. El director general deberá informar al consejo el contenido del plan y contar con evidencia de su implementación”.

También tendrá que contratar a un tercero independiente, con personal que cuente con capacidad técnica comprobable mediante certificaciones especializadas de la industria en la materia, para la realización de pruebas de penetración en los diferentes sistemas y aplicativos de la institución, con la finalidad de detectar errores, vulnerabilidades, funcionalidad no autorizada o cualquier código que ponga o pueda poner en riesgo la información y patrimonio de los clientes y de la propia entidad.

“Tal revisión deberá incluir la verificación de la integridad de los componentes de hardware y software que permitan detectar alteraciones a éstos”, refiere.

De igual forma, deberá realizar la búsqueda de alertas de fraude, así como de amenazas, tales como campañas de correos fraudulentos, sitios de Internet falsos, divulgación de bases de datos con información del público usuario, alteración de cajeros automáticos o terminales punto de venta y suplantación de identidad, entre otros.

Informar de manera inmediata

El documento agrega que, en caso de que se presente un incidente de seguridad de la información, el director general deberá prever lo necesario para hacer del conocimiento de la CNBV de forma inmediata. Ahí se deberá indicar la fecha y hora del inicio y, en su caso, la indicación de si continúa o ha concluido.

Los incidentes de seguridad de la información que deberán reportarse de forma inmediata serán aquellos que generen pérdidas económicas, de información o interrupción de los servicios; su modo de operación, incluyendo las vulnerabilidades explotadas que puedan replicarse a otras instituciones; y que puedan representar una afectación a los clientes, a la estabilidad del sistema financiero de pagos, o bien los sistemas centrales de pagos, a sus prestadores de servicios, cámaras de compensación o a las instituciones para el depósito de valores.

También, se deberá llevar a cabo una investigación inmediata sobre las causas que generaron el incidente de seguridad de la información, y establecer un plan de trabajo que describa las acciones a implementar para eliminar o mitigar los riesgos y vulnerabilidades que lo propiciaron.