Ver más entradasEn el Diario Oficial de la Federación del día de ayer 27 de noviembre de 2018 la Comisión Nacional Bancaria y de Valores publica una serie de disposiciones para que las instituciones financieras “estén en condiciones para hacer frente a los riesgos y ataques informáticos que pudieran ocasionar afectaciones a las instituciones de crédito y a la realización de operaciones con los clientes, resulta conveniente fortalecer el marco normativo sobre seguridad de sus sistemas e infraestructuras tecnológicas, así como reforzar los controles internos con los que deberán contar, estableciendo un régimen que procure garantizar la seguridad de la infraestructura tecnológica en que se soportan sus operaciones y la confidencialidad, integridad y disponibilidad de la información, a fin de que cuenten con medidas específicas, tendientes a proteger su información, certeza en su operación y continuidad de los servicios”.
Entre los artículos que vale la pena destacar están (mismos que pueden ver en el DOF y para quienes solo estén interesados en mi análisis pueden saltar a “Analizando las disposiciones …”:
Artículo 168 Bis 11.- El director general de la Institución será responsable de la implementación del Sistema de Control Interno en materia de seguridad de la información que procure su confidencialidad, integridad y disponibilidad. El marco de gestión a que se refiere este párrafo, deberá asegurar que la Infraestructura Tecnológica, propia o provista por terceros bajo una serie de requerimientos.
Artículo 168 Bis 12. – El director general de la Institución será responsable del cumplimiento de una serie de obligaciones en relación con la Infraestructura Tecnológica, entre ellas la de llevar a cabo revisiones de seguridad, enfocadas a verificar la suficiencia en los controles aplicables a la infraestructura en cuanto a autenticación, configuración y controles, actualizaciones a sistemas operativos y software en general e identificar modificaciones no autorizadas al software original, verificación de vulnerabilidades en dispositivos, redes de comunicación, sistemas y procesos asociados a los medios electrónicos y canales de atención al público. Las revisiones deberán realizarse al menos una vez al año. Además de otros temas como calendarización anual para realizar escaneo de vulnerabilidades, así como contratación de terceros con certificaciones especializadas para realizar pruebas de penetración.
Artículo 168 Bis 13.- Las Instituciones deberán contar con una persona que se desempeñe como oficial en jefe de seguridad de la información, conocido como CISO por sus siglas en inglés (Chief Information Security Officer), mismo que deberá ser nombrado por el director general de la institución y reportarle directamente, mismo que no deberá tener conflictos de interés respecto de áreas de tecnologías de la información, auditoría y Unidades de Negocio dentro de la Institución y no podrá realizar las
funciones de las personas encargadas de la implementación y operación de la seguridad de la información de la propia Institución.
Artículo 168 Bis 15.- El oficial en jefe de seguridad de la información de las Instituciones podrá apoyarse para el ejercicio de sus funciones en representantes de seguridad de la información de las diferentes Unidades de Negocio denominados oficiales operativos de seguridad de la información, los cuales serán responsables de la aplicación de las políticas y procesos de seguridad de la información en sus respectivas Unidades de Negocio, coadyuvando en los procesos de gestión, reporte de riesgos, evaluaciones de cumplimiento e inteligencia de seguridad
Artículo 168 Bis 16.- En caso de que se presente un Incidente de Seguridad de la Información que reúna cualquiera de los requisitos a que aluden los incisos a) a d) de la fracción I de este artículo en: (i) los componentes de la Infraestructura Tecnológica de la Institución; (ii) los canales de atención al público, tales como Medios Electrónicos, Oficinas Bancarias o comisionistas de la Institución o, (iii) la infraestructura tecnológica de cualquier tercero que afecte la operación o la Infraestructura Tecnológica de la Institución el director general de la Institución deberá: Prever lo necesario para hacer del conocimiento de la Comisión de forma inmediata los Incidentes de Seguridad de la Información, mediante correo electrónico remitido a la cuenta Ciberseguridad-CNBV@cnbv.gob.mx o a través de otros medios que la propia Comisión señale, debiéndose generar un acuse de recibo electrónico. En dicha notificación se deberá indicar, al menos, la fecha y hora de inicio del Incidente de Seguridad de la Información de que se trate y, en su caso, la indicación de si continúa o, en su caso, si ha concluido y su duración; una descripción de dicho incidente, así como una evaluación inicial del impacto o gravedad. Fracción I Los Incidentes de Seguridad de la Información que deberán reportarse de manera inmediata, serán aquellos que actualicen al menos uno de los siguientes supuestos:
- a) Genere pérdida económica, de información o interrupción de los servicios de la Institución.
- b) Su modo de operación, incluyendo las vulnerabilidades explotadas, pueda replicarse en otras Instituciones.
- c) Pueda representar una afectación a los clientes de las Instituciones, a la estabilidad del sistema financiero o de pagos, o bien, a los sistemas centrales de pagos, a sus prestadores de servicios, cámaras de compensación o a las instituciones para el depósito de valores.
- d) Cualquier otro que se considere grave a juicio de la Institución
Artículo 168 Bis 17.- Las Instituciones deberán llevar un registro en bases de datos, de los incidentes, fallas o vulnerabilidades detectadas en la Infraestructura Tecnológica, que incluya al menos la información relacionada con la detección de fallas, errores operativos, intentos de ataques informáticos y de aquellos efectivamente llevados a cabo así como de pérdida, extracción, alteración, extravío o uso indebido de información de los Usuarios de la Infraestructura Tecnológica, en donde se contemple la fecha del suceso y una breve descripción de este, su duración, servicio o canal afectado, clientes afectados y montos, así como las medidas correctivas implementadas. Se deberá conservar esta información por al menos 10 años.
Además, establece los plazos máximos para que entren en vigor estas disposiciones.
Analizando las disposiciones es mi opinión que estas definen el marco bajo el cual la seguridad de información se debe realizar en las instituciones financieras y la rendición de cuentas, sobre todo al público y al regulador. Podemos debatir al respecto de la estructura y sobre quienes tienen las responsabilidades sobre la seguridad de información, pero al final del día el tema importante es que otorga a la seguridad de información un rol de primer nivel. Tal vez se podría haber establecido que el área de riesgos de las instituciones manejase parte del tema, pero al final del día la seguridad de información es un tema que atañe a toda la organización, otra perspectiva es que el rol fuera uno de auditoria que reporte a algún comité del Consejo de Administración de la institución. El principal reto es que la complejidad es el principal enemigo de la seguridad y cada día tenemos soluciones y organizaciones más complejas, además de una mayor necesidad de ser más rápidos para sacar al mercado nuevos productos y esto conlleva experimentación e incertidumbre, además de riesgos.
El tema de infosec bajo mi óptica es uno de filosofía y forma de vida. La administración de riesgos puede ser la guía, recordemos que tener un negocio es administrar riesgos (pero se hace de forma inconsciente). La seguridad de información es una cadena: Personas, Procesos y Productos, no solo es un tema de tecnologías, del CIO o de informática y sistemas y no existen balas de plata, solo mucha disciplina. El enfoque utilizado por las disposiciones es uno que se orienta a atender los efectos, pero no las causas de las vulnerabilidades. Es allí donde está el reto. Colocamos en nuestras organizaciones productos, personas y procesos que tienen vulnerabilidades, es por ello por lo que el enfoque de administración de riesgos tiende a hacer más sentido. En este mundo no existe la seguridad al 100% y esto pone nerviosos a más de uno. Recordemos que seguridad es un tema de calidad y mejora continua.
Por una parte un aplauso, por otra tengo un tema con las pruebas de penetración y la estructura que definen las disposiciones, lo de las pruebas de penetración es un tema que cubre mejor Bruce Schneier. Lo de la estructura es sujeto de análisis (y debate) en la comunidad de infosec. Anticipo una gran actividad para el próximo año en el tema de la seguridad de información y capacitación en el área. También una escasez de profesionales en esta área.
Conectando puntos ahora entiendo por que algunas organizaciones se pusieron a trabajar en esto lo anunciaron ayer mismo Después de 30 años de estar en Internet y 24 años de alguna manera estudiando el tema de seguridad de información, cual Yoda digo: Tarde al baile van, pesimista y crítico la seguridad de información hecho me ha.
Que tengan un muy buen día.
BitCasting es posible gracias a Insight Level y CITI Value in Real Time.
El número del día de hoy es patrocinado por CoSpace.
Imagen de unsplash
