El Banco de México (Banxico) anunció recientemente una actualización más, una regulación más con la cual cumplir, como todas esas que hemos visto surgir y entrar en vigor en ORCA desde hace más de 20 años, camino por el cual hemos apoyado a instituciones del sector financiero (no sólo en México, sino también en LATAM), a superar desafíos de control y cumplimiento.
Y es que, en medio de la más que evidente digitalización acelerada que se vive a partir de la COVID-19, la economía (finanzas y banca incluidas) es, por su naturaleza misma, uno de los ámbitos en los que esta digitalización abre la posibilidad de ocurrencia tanto a nuevas oportunidades de negocio como a sus riesgos inherentes.
Ya sabemos que siempre que se trate de dinero, trataremos con riesgos diversos. No hablamos sólo de las implicaciones para las grandes instituciones, como el reciente caso del hackeo a Las Vegas, sino de afectaciones a los ciudadanos de a pie, como robo de datos, fraudes, extorsiones y muchas ciberamenazas más. Todo esto hace que, desde hace varios años, la figura del CISO (Chief Information Security Officer) u oficial de seguridad de la información, sea cada vez más necesaria en las organizaciones; pues bien, tratándose del sector financiero en México, tal puesto no sólo es necesario, sino que, pronto, también será obligatorio.
Esta circular, emitida por el Banco de México, detalla modificaciones a la Circular 13/2017, centradas en el Sistema de Pagos Interbancarios en Dólares o SPID. Entre los cambios clave se incluyen la introducción del rol de un oficial de seguridad de la información (CISO) en el sistema. Estas modificaciones buscan mejorar el marco de ciberseguridad dentro del sistema de Pagos Interbancarios, alineándose con los resultados de la consulta pública sobre las enmiendas a las Reglas del Sistema de Pagos Interbancarios en Dólares (SPID) descritas en la Circular 4/2016.
Este paso proactivo del Banco de México refleja un compromiso con el mantenimiento de un sistema financiero sólido y seguro, alineándose con mandatos constitucionales y legales. La circular entrará en vigor el 4 de abril de 2024.
La banca maneja un doble riesgo por los activos que maneja: el dinero en sí, y los datos mismos, que son “el nuevo petróleo”. Contar con un profesional dedicado a la ciberseguridad es un paso crucial para las instituciones del sector, especialmente ante el creciente número de amenazas cibernéticas y riesgos tecnológicos en general.
Para asegurar el cumplimiento con la circular antes del 4 de abril, considera las siguientes recomendaciones para tu institución participante en SPID:
Además de la 11/2023, también hay que considerar a las 12/2023 y 13/2023. La primera de ellas, también emitida por Banxico, incluye definiciones como "Ciberresiliencia", que se refiere a la capacidad del participante para prevenir, adaptarse, responder o recuperar operaciones frente a ciberataques o incidentes que afecten la confidencialidad, integridad, disponibilidad o continuidad operativa de la infraestructura tecnológica, así como de la información que esta utilice. Su objetivo es mejorar la seguridad, clarificar elementos técnicos e introducir medidas para mejorar la ciberresiliencia de los participantes en el SPEI (Sistema de Pagos Electrónicos Interbancarios).
Esta circular introduce controles adicionales para la seguridad de la información, refuerza los controles de acceso e intensifica la gestión de vulnerabilidades en la TI. Ciertas disposiciones de la Circular 12/2023 entran en vigor a partir del 19 de diciembre. También establece procedimientos de contingencia para participantes con un involucramiento significativo y exige informes periódicos de ciberseguridad.
La Circular 13/2023 modifica reglas en el SPID (Sistema de Pagos Interbancarios en Dólares) para garantizar la seguridad y el buen funcionamiento de los sistemas de pagos interbancarios en dólares. Agrega la definición de "Aplicativo SPID" y exige que los participantes cuenten con procedimientos documentados para la seguridad informática en su infraestructura tecnológica, especificando medidas de seguridad, como el uso de protocolos seguros de comunicación, detección de virus y monitoreo de integridad de la información.
Es importante destacar que la implementación de políticas para el desarrollo seguro del Aplicativo SPID será obligatoria, incluyendo pruebas de penetración y controles de acceso. Algunas disposiciones de la Circular 13/2023 se prevén que entren en vigor a partir del 19 de diciembre, ¡antes de que acabe el año!
Tanto el SPEI como el SPID son sistemas operados por Banxico para transferencias electrónicas de fondos entre los participantes. El SPEI facilita operaciones indicando si un cliente ordenó el pago, mientras que el SPID permite transferencias electrónicas interbancarias denominadas en dólares entre cuentas de depósito a la vista que transaccionan dinero en esta denominación.
Si deseas ayuda con el cumplimiento de esta nueva obligación, nosotros somos expertos en riesgos tecnológicos, así como riesgos de incumplimiento, y podemos asesorarte sobre los controles que necesitas, desde la identificación hasta su evaluación y mejora continua. Haz clic abajo y hablemos de cómo aumentar tu ciberresiliencia.