Quien hoy se haga esta pregunta es porque o no lee las noticias o porque vive en una burbuja. Es bien sabido, por lo menos de parte de los usuarios de la banca en México, que en estos momentos tanto los bancos privados como el Banco Central enfrentan un grave problema: la falta de disponibilidad del servicio de SPEI que se ha traducido en la afectación financiera a las instituciones de crédito por un monto aproximado de 800 millones de pesos, así como a las empresas que enfrentan la imposibilidad de realizar pagos a empleados, proveedores y, en su caso, clientes.
Ante esta situación, la cual dio inicio desde mediados de abril, Banco de México tras la sesión de su Junta de Gobierno celebrada el 24 de abril del año en curso, aprobó acciones no solo de carácter tecnológico sino a su vez de carácter normativo, realizando para ello cambios al Reglamento Interior del Banco de México los cuales se han dado a conocer el 15 de mayo de 2018 mediante su debida publicación en el Diario Oficial de la Federación.
Los grandes alcances de esta sesión alcanzan a temas importantes: Ciberseguridad, Transparencia, Clasificación de Información y Protección de Datos Personales.
En resumen, la reforma tiene dos alcances para Banxico, uno de caracter interno y uno que afecta a los terceros con quienes se relaciona:
El interno (el cual justo atiende a el “por qué”)
- la creación de un área que es juez y parte (Dirección de Ciberseguridad) encargada de proponer, presentar, elaborar, inspeccionar y evaluar las nuevas reglas del juego en materia de seguridad dentro de la institución y todas sus áreas, para lo cual no solo le dan estas facultades sino el caracter de policía auditor con acceso irrestricto a cualquier tipo de información existente en el Banco.
- ¿excesivo? sí
- ¿inoperable? sí
- ¿inefectivo? sí
- ¿acorde a las buenas prácticas en la materia? no
El externo (el cual invita a reflexionar en el “para qué”)
- la facultad de sancionar a los entes financieros que interactúen con Banxico a través de otra nueva área (Gerencia de Seguridad de Tecnologías de Información) con respecto a los reportes y a la calidad de la información que se intercambie por parte de ellos hacia Banxico
- competir con la CNBV en lo que refiere a la generación de Disposiciones que las entidades financieras deberán cumplir en materia de seguridad de la información. ¿Apenas se dieron cuenta que esto lo debieron haber realizado desde que la Ley de Sistemas de Pagos (Diciembre, 2002) fue promulgada?
A efecto de identificar con claridad cuales son las modificaciones que tienen como finalidad robustecer la estructura de Banxico así como darle atribuciones en materia de Ciberseguridad, cabe destacar los siguientes puntos de esta reforma:
- Modifica las atribuciones de la Dirección General de Tecnologías de la Información (Artículo 15 Bis 1)
- Establece la nueva estructura organizacional de la Dirección General de Tecnologías de la Información, como consecuencia, se crean dos nuevas áreas dentro de la Dirección General de Tecnologías de la Información:
- la Dirección de Ciberseguridad
- la Gerencia de Seguridad de Tecnologías de Información
- Define las atribuciones de la nueva Gerencia de Seguridad de Tecnologías de Información, de las cuales cabe destacar:
- Definir las acciones para fortalecer el desarrollo seguro de sistemas del Banco (15 Bis 1, fr. I)
- Implementar las acciones institucionales en materia de seguridad informática (15 Bis 1, fr. II)
- Administrar el sistema de gestión de seguridad tecnológica de los procesos operativos del Banco (15 Bis 1, fr. III)
- Participar en los procesos de selección de tecnologías y mecanismos de seguridad informática (15 Bis 1, fr. IV)
- Supervisar el cumplimiento de la entrega y veracidad de la información que el Banco solicite o recabe de las entidades y los intermediarios financieros en materia de seguridad de la información, considerando como parte de esta facultad a las correspondientes a vigilancia e inspección (15 Bis 1, fr. V)
- Define las atribuciones de la nueva Dirección de Ciberseguridad, de las cuales cabe destacar:
- Establecer políticas, lineamientos y estrategias institucionales para fortalecer la seguridad de la información así como a los sistemas que soportan la operación y procesos del Banco. (29 Bis, fr. I)
- Presentar al Comité de Tecnologías y Seguridad de la Información, propuestas de normatividad interna para fortalecer la seguridad de la información (29 Bis, fr. II)
- Emitir normatividad en materia de seguridad de la información así como coordinar su implementación (29 Bis, fr. III)
- Evaluar y dar seguimiento de las actividades realizadas por las unidades administrativas en cumplimiento a la normatividad en materia de seguridad de la información así como del impacto que se obtenga en la materia teniendo para ello la facultad de tener acceso a cualquier tipo de información del Banco (incluyendo la reservada o confidencial) con un alcance directo e irrestricto a todas las áreas, registros y sistemas. (29 Bis, fr. IV, V y VI)
- Representar a Banxico ante autoridades en temas relacionados con seguridad de la información (29 Bis, fr. VII)
- Participar en el diseño, elaboración y, en su caso, expedición de disposiciones en materia de seguridad de la información, aplicables a las entidades e intermediarios financieros en el ámbito de sus atribuciones (29 Bis, fr. VIII)
Como tip histórico, la última reforma al Reglamento Interior de Banxico relacionado con el tema de Tecnologías de Información es de Mayo del 2008. Esperemos que no tengan que pasar 10 años más para que el Banco Central tome decisiones en la materia ante la gran responsabilidad que tiene por su rol dentro del Sistema Financiero y los inminentes riesgos que conlleva el uso de las TI en temas bancarios.
Abogada y Maestra en Comercio Electrónico
Dedicada al estudio de la relación entre Tecnología y Derecho desde 1999.
Escribo y también doy clases y conferencias de este tema además de ser consultora y Directora en IT Lawyers SC.
Auditor Líder ISO 27001:2013
Related posts
3 Comments
Deja un comentario Cancelar respuesta
Categorías
Suscríbete
Recibe nuestras noticias e información de forma diaria
¿excesivo? sí
¿inoperable? sí
¿inefectivo? sí
————————————————————–
Porque se convierte en este area en excesiva? Por el intentar abarcar?
¿Inoperable quizás por falta de capacidades?
¿Inefectiva por NO ser un area independiente y con conflicto de interés al seguir bajo el paraguas del área de TI?
Te comento:
Es excesiva porque le están dando facultades de Juez y Parte. Eso no es neutral, aquí surge el ¿quién audita al que audita? Justo esa situación de “confianza” en una sola área es peso fuerte en la génesis del incidente.
Inoperable, en parte por lo que ya comenté, y dado que dicha área sigue supeditada a una Dirección General, lo cual le quita autonomía así como la oportunidad de tener una línea directa con la Presidencia de Banxico,
Inefectivo, justo por lo que comentas.
Saludos Poncio!
La dirección de ciberseguridad no debe depender de la dirección de tecnología… Debe ser independiente…