CIUDAD DE MÉXICO (apro).- Este martes entraron en vigor modificaciones en materia de ciberseguridad y tecnologías del Sistema de Pagos Electrónicos Interbancarios (SPEI), anunciadas por el Banco de México el pasaso 22 de noviembre.
El banco central publicó en el Diario Oficial de la Federación los cambios en el sistema de transferencias bancarias con el fin de aminorar riesgos, mejorar la seguridad y proteger los intereses del público usuario.
Una de estas medidas, que entró en vigor el pasado 19 de diciembre, es la incorporación del término ciberresiliencia, en beneficio de usuarios de bancos, casas de bolsa y otras entidades financieras, el cual consiste en implementar procesos de contingencia sobre seguridad informática que mejoren la infraestructura y el centro de datos, con el objetivo de que quienes hagan transferencias tengan una experiencia más segura y eficiente.
“El Banco de México, con el propósito de continuar promoviendo el sano desarrollo del sistema financiero, proteger los intereses del público y propiciar el buen funcionamiento de los sistemas de pagos, ha resuelto modificar los marcos de ciberseguridad aplicables a las Reglas del Sistema de Pagos Electrónicos Interbancarios (SPEI)”, dice la circular del Banco de México publicada en el DOF.
Esta medida es “con el propósito de dotar de mayor claridad respecto al elemento de infraestructura tecnológica sobre el cual se debe observar el cumplimiento de los referidos marcos y precisar los elementos obligacionales que los participantes en el SPEI deben cumplir respecto a los requisitos de seguridad informática actualmente incluidos en las Reglas”.
Asimismo, añade, se incluyen elementos adicionales que permiten reforzar el marco de ciberseguridad y de ciberresiliencia de los participantes del SPEI.
Quienes se involucren en el SPEI, señala Banxico, deberán contar con instrumentos tecnológicos y un marco de políticas y procedimientos que prevengan, respondan, adapten, y recuperen operaciones ante posibles ciberataques o incidentes similares.
También para quienes llevan a cabo una gran cantidad de transferencias se implantarán métodos de contingencia especializados, que aseguren la continuidad operativa ante contextos de emergencia, sin poner en riesgo la estabilidad del sistema.
Asimismo, en la Infraestructura de Cómputo del SPEI se establecerán herramientas que impidan la ejecución de archivos no autorizados, para mejorar la seguridad en el flujo de datos y acceso a la información.
De igual manera, otra medida a destacar es que a partir del 4 de abril del próximo año el sistema requerirá que las entidades financieras nombren a un Oficial de Seguridad de la Información (CISO), el cual se responsabilice de garantizar el cumplimiento de tareas específicas, y evalúe periódicamente los requisitos de seguridad.
Los objetivos del Banco de México, también se centran en mitigar las amenazas de malware (software malicioso que puede robar datos).
SPEI es el sistema desarrollado y operado por el Banco Central que se ha constituido en una columna vertebral para el sistema financiero del país, y permite al público en general realizar de forma instantánea pagos electrónicos, a través de la banca por internet.
¿Qué es el Centro de Datos?
Se denomina así al sitio de alojamiento físico de equipos de cómputo, telecomunicaciones y almacenamiento de información empleados por el participante para operar con el SPEI.
¿Qué es ciberresiliencia?
La circular de Banxico la define como “la capacidad del participante de prevenir, adaptar, responder o recuperar su operación en el SPEI ante ciberataques o incidentes que puedan afectar a la confidencialidad, integridad, disponibilidad o continuidad operativa de la Infraestructura Tecnológica, así como de la información que esta utilice. Lo anterior, a través de la implementación de herramientas tecnológicas, controles, estructuras, estrategias, políticas, procesos y prácticas”.
Requisitos de seguridad informática para participantes en SPEI
- Utilizar en la Infraestructura de Cómputo protocolos seguros de comunicación utilizados en la Infraestructura Tecnológica y prescindir de aquellos que se consideren inseguros
- Utilizar herramientas tecnológicas y contar con procedimientos para llevar a cabo la detección de virus informáticos y códigos maliciosos en la Infraestructura de Cómputo, así como mantener actualizadas dichas herramientas y procedimientos.
- Utilizar herramientas tecnológicas y contar con procedimientos para la detección y gestión de vulnerabilidades informáticas en la Infraestructura de Cómputo.
- Inhibir tanto la activación de cualquier servicio, así como la instalación de aplicaciones o software en la Infraestructura de Cómputo, que no sean indispensables para la operación con el SPEI.
El detalle de las medidas incluidas en la circular de Banxico que entraron en vigor este 19 de diciembre está disponibles en el siguiente enlace.