Banxico exige un CISO en toda institución que haga transferencias

Banxico-nueva-regulación-CISO
Publicado por Equipo ORCA el 28 de noviembre de 2023

El Banco de México (Banxico) anunció recientemente una actualización más, una regulación más con la cual cumplir, como todas esas que hemos visto surgir y entrar en vigor en ORCA desde hace más de 20 años, camino por el cual hemos apoyado a instituciones del sector financiero (no sólo en México, sino también en LATAM), a superar desafíos de control y cumplimiento.

Y es que, en medio de la más que evidente digitalización acelerada que se vive a partir de la COVID-19, la economía (finanzas y banca incluidas) es, por su naturaleza misma, uno de los ámbitos en los que esta digitalización abre la posibilidad de ocurrencia tanto a nuevas oportunidades de negocio como a sus riesgos inherentes.

Ya sabemos que siempre que se trate de dinero, trataremos con riesgos diversos. No hablamos sólo de las implicaciones para las grandes instituciones, como el reciente caso del hackeo a Las Vegas, sino de afectaciones a los ciudadanos de a pie, como robo de datos, fraudes, extorsiones y muchas ciberamenazas más. Todo esto hace que, desde hace varios años, la figura del CISO (Chief Information Security Officer) u oficial de seguridad de la información, sea cada vez más necesaria en las organizaciones; pues bien, tratándose del sector financiero en México, tal puesto no sólo es necesario, sino que, pronto, también será obligatorio.

Banxico-nueva-regulación-CISO-1

 

Circular 11/2023 de Banxico

Esta circular, emitida por el Banco de México, detalla modificaciones a la Circular 13/2017, centradas en el Sistema de Pagos Interbancarios en Dólares o SPID. Entre los cambios clave se incluyen la introducción del rol de un oficial de seguridad de la información (CISO) en el sistema. Estas modificaciones buscan mejorar el marco de ciberseguridad dentro del sistema de Pagos Interbancarios, alineándose con los resultados de la consulta pública sobre las enmiendas a las Reglas del Sistema de Pagos Interbancarios en Dólares (SPID) descritas en la Circular 4/2016.

Este paso proactivo del Banco de México refleja un compromiso con el mantenimiento de un sistema financiero sólido y seguro, alineándose con mandatos constitucionales y legales. La circular entrará en vigor el 4 de abril de 2024.

Banxico-nueva-regulación-CISO-2

 

Recomendaciones para cumplir con la Circular 11/2023

La banca maneja un doble riesgo por los activos que maneja: el dinero en sí, y los datos mismos, que son “el nuevo petróleo”. Contar con un profesional dedicado a la ciberseguridad es un paso crucial para las instituciones del sector, especialmente ante el creciente número de amenazas cibernéticas y riesgos tecnológicos en general.

Para asegurar el cumplimiento con la circular antes del 4 de abril, considera las siguientes recomendaciones para tu institución participante en SPID:

  1. Nombramiento pronto del oficial de seguridad de la información (CISO):
    1. Si es que no tienes tal puesto aún en tu organigrama, desde luego que designar a un oficial de seguridad de la información es lo más obvio; en caso contrario, deberás comenzar a buscar nuevo talento para incorporarlo.
    2. Notifica al Administrador de las redes y servicios críticos relacionados con el SPID sobre el nombramiento según las normas internas especificadas.
  2. Procesos de verificación:
    1. Establece controles y un proceso sistemático para realizar verificaciones periódicas de las funciones del CISO y garantizar el cumplimiento continuo.
    2. Documenta y reporta estas verificaciones como parte de tus registros internos de cumplimiento.
  3. Gestión de accesibilidad a datos:
    1. Compila y actualiza regularmente una lista completa de personas con acceso a información relacionada con tus operaciones dentro del SPID; esto es parte del cambio objeta de la circular.
    2. Asegúrate de que esta lista incluya tanto entidades y personas nacionales como extranjeras con privilegios de alto nivel.
  4. Evaluación de seguridad de infraestructura:
    1. Realiza evaluaciones periódicas de tu infraestructura tecnológica, incluyendo sistemas de terceros que podrían afectar tus operaciones.
    2. Evalúa periódicamente y asegura el cumplimiento de los requisitos de seguridad de la información.
  5. Capacitación interna y concienciación:
    1. Realiza sesiones de capacitación para el personal relevante sobre las obligaciones y responsabilidades actualizadas establecidas en la circular.
    2. Sensibiliza sobre la importancia de la ciberseguridad en el contexto de las operaciones SPID.
  6. Documentación y registro:
    1. Mantén una documentación detallada de los procesos, verificaciones y medidas de cumplimiento llevadas a cabo.
    2. Asegúrate de que todos los registros estén disponibles para posibles auditorías o revisiones.
  7. Incorporación de un revisor externo:
    1. Considera servicios de consultoría y revisión de controles con un enfoque de riesgo para implementar mejores prácticas e información actualizada sobre seguridad de la información y que te mantenga informado sobre tendencias de la industria y amenazas emergentes a través de canales colaborativos, públicos y privados.

Banxico-nueva-regulación-CISO-3

 

Circulares 12/2023 y 13/2023

Además de la 11/2023, también hay que considerar a las 12/2023 y 13/2023. La primera de ellas, también emitida por Banxico, incluye definiciones como "Ciberresiliencia", que se refiere a la capacidad del participante para prevenir, adaptarse, responder o recuperar operaciones frente a ciberataques o incidentes que afecten la confidencialidad, integridad, disponibilidad o continuidad operativa de la infraestructura tecnológica, así como de la información que esta utilice. Su objetivo es mejorar la seguridad, clarificar elementos técnicos e introducir medidas para mejorar la ciberresiliencia de los participantes en el SPEI (Sistema de Pagos Electrónicos Interbancarios).

Esta circular introduce controles adicionales para la seguridad de la información, refuerza los controles de acceso e intensifica la gestión de vulnerabilidades en la TI. Ciertas disposiciones de la Circular 12/2023 entran en vigor a partir del 19 de diciembre. También establece procedimientos de contingencia para participantes con un involucramiento significativo y exige informes periódicos de ciberseguridad.

La Circular 13/2023 modifica reglas en el SPID (Sistema de Pagos Interbancarios en Dólares) para garantizar la seguridad y el buen funcionamiento de los sistemas de pagos interbancarios en dólares. Agrega la definición de "Aplicativo SPID" y exige que los participantes cuenten con procedimientos documentados para la seguridad informática en su infraestructura tecnológica, especificando medidas de seguridad, como el uso de protocolos seguros de comunicación, detección de virus y monitoreo de integridad de la información.

Es importante destacar que la implementación de políticas para el desarrollo seguro del Aplicativo SPID será obligatoria, incluyendo pruebas de penetración y controles de acceso. Algunas disposiciones de la Circular 13/2023 se prevén que entren en vigor a partir del 19 de diciembre, ¡antes de que acabe el año!

Tanto el SPEI como el SPID son sistemas operados por Banxico para transferencias electrónicas de fondos entre los participantes. El SPEI facilita operaciones indicando si un cliente ordenó el pago, mientras que el SPID permite transferencias electrónicas interbancarias denominadas en dólares entre cuentas de depósito a la vista que transaccionan dinero en esta denominación.

Si deseas ayuda con el cumplimiento de esta nueva obligación, nosotros somos expertos en riesgos tecnológicos, así como riesgos de incumplimiento, y podemos asesorarte sobre los controles que necesitas, desde la identificación hasta su evaluación y mejora continua. Haz clic abajo y hablemos de cómo aumentar tu ciberresiliencia.

Habla con un especialista 

Temas: Finanzas, Compliance, Seguridad informática, Ciberseguridad

Suscríbete al blog

Publicaciones Recientes

Publicaciones por etiqueta

Ver todo
orcaBlanco

Producto

Descripción General del producto

Complementos

Casos de éxito

Precios

Software de Gestión de Riesgos

Software de Control de Cumplimiento normativo

Software de Control de Proveedores

Soluciones

Gestión de Riesgos

Control de Cumplimiento normativo

Control de Proveedores

Control de riesgos y cumplimiento medioambiental (ESG)

Digitalización del proceso de control de residuos

 


Automatización de Procesos de auditoría

Gestión de Incidentes

Automatización del Plan de continuidad de negocio

Gestión de la Seguridad de la información

Recursos

Blog

Guías gratuitas para la gestión y control de riesgos

Empresa

¿Por qué ORCA?

Premios y reconocimientos

Bolsa de Trabajo 

 

Certificaciones-2

 

Contacto

phone-call (1) Teléfono:
55 5234-2565
clock (3) Horario de oficina:
Lunes a Viernes de 9:00 a.m. - 6:00 p.m.

     
logoGCP

 

linkedin (1)   facebook    youtube

Aviso de privacidad

Copyright© 2024