CNBV aprieta controles de ciberseguridad para bancos
• Entre los cambios está la asignación de director de seguridad de la información
La Comisión Nacional Bancaria y de Valores dio a conocer nuevas disposiciones en materia de ciberseguridad que deben de aplicar los bancos que operan en el país.
Lo anterior, luego del hackeo de abril y mayo pasado a cinco instituciones financieras en su conexión al Sistema de Pagos Electrónicos Interbancarios (SPEI) y las seis alertas que ha emitido la autoridad mexicana ante riesgos de ciberataques.
De acuerdo con lo publicado en el Diario Oficial de la Federación, a partir de hoy, en primera instancia, destaca que el director general de la institución financiera será el responsable de la implementación del sistema de control interno en materia de seguridad de la información.
El director general de la institución financiera deberá autorizar el plan director de Seguridad, el cual debe estar alineado con la estrategia de negocio de la firma, así como definir y priorizar los proyectos en materia de seguridad de la información, con el objetivo de reducir la exposición a los riesgos tecnológicos y la materialización de incidentes de seguridad de la información.
En tanto, también deberá elaborar un calendario anual para la realización de pruebas de escaneo de vulnerabilidades de los componentes de la infraestructura tecnológica que almacenen, procesen o transmitan información en la institución.
Las nuevas disposiciones destacan también que las instituciones financieras deberán contar con una persona que se desempeñe como oficial en jefe de seguridad de la información, conocido como CISO por sus siglas en inglés (Chief Information Security Officer).
“El oficial en jefe de seguridad de la información deberá ser designado por el director general y ocupar el nivel inmediato inferior al de este debiendo reportar de manera directa. Será el responsable en materia de seguridad de la información de la institución y deberá responder a los requerimientos formulados por las autoridades y al interior de la institución”, explica la CNBV.
A la par, los bancos estarán obligados a reportar interrupciones de duración de sesenta minutos en caso de que se presenten fallas en la infraestructura tecnológica que soportan los servicios de las sucursales y banca electrónica, y cuando generen afectación en los componentes de la infraestructura tecnológica.