En lo que toca al SPEI, Banxico ha fijado un criterio de “ciber resiliencia”, lo que implica que las entidades financieras, a grandes rasgos, deberán documentar su capacidad reflejada en planes de contingencia y recursos para prevenir y superar un ciberataque que comprometa su operación en el sistema, es decir, afectaciones a la infraestructura digital o a la integridad de la información. La disposición, además de demandar informes periódicos sobre ciberseguridad, define conceptos como Data Center, infraestructura de cómputo y telecomunicaciones.
Respecto al SPID, en el que también se determinan diversas medidas de ciberseguridad, como son protocolos de comunicación, monitoreos y detección de virus, se establece que las instituciones vinculadas al sistema deben tener un director de Seguridad de la Información (CISO, por sus siglas en inglés).
Desde su posición, el CISO debe verificar, a través de evaluaciones y reportes periódicos, que la infraestructura tecnológica cumple con los requisitos de ciberseguridad necesarios, lo que incluye a terceros que podrían afectar la operación y contar con un listado actualizado de las personas con acceso a información crítica del sistema.
UNA DECISIÓN POSITIVA Y NECESARIA
Estas disposiciones de ciberseguridad de Banxico representan pasos en la dirección correcta. Aunque en el país aún predomina el uso de efectivo, tanto el SPEI como el SPID están ganando terreno entre la población mexicana, especialmente después de la pandemia de Covid-19, lo que incrementa su atractivo como objetivos de un ciberataque.
De acuerdo con información del banco central, durante 2022 en la plataforma del SPEI se realizaron más de 2,834 millones de operaciones; el año previo se llevaron a cabo poco más de 2,028 millones. En el caso del SPID, Banxico reporta 4.1 millones de operaciones en 2022, superando las 3.6 millones de 2021.
Por otro lado, como parte del sector financiero, ambos sistemas de pago electrónico se ubican en un territorio de alto riesgo. Desde hace varios años, según distintas instancias, en Latinoamérica, la industria financiera como bancos, aseguradoras y casas de bolsa, están entre los 10 ámbitos productivos más atacados por el cibercrimen.
Las instituciones financieras deben integrar a un director de Seguridad de la Información (CISO) como responsable de la ciberseguridad de las transferencias.
Las nuevas reglas implican una mirada más profunda a la infraestructura digital, valorando y documentando la capacidad de dicha infraestructura para prever y sobreponerse de ataques dirigidos a sus operaciones en el SPEI y SPID.
EL ROL DE LOS SOCIOS TECNOLÓGICOS
Para las entidades financieras que operan en SPEI y SPID y que fueron consultadas previamente sobre las disposiciones de ciberseguridad que pondría en marcha Banxico, las nuevas reglas de ciberseguridad, en buena medida, implican una mirada más profunda a su infraestructura digital, valorando y documentando la capacidad de dicha infraestructura para prever y sobreponerse a ataques dirigidos a sus operaciones en el SPEI y, en el caso de los pagos interbancarios en dólares, estableciendo un cargo de responsabilidad (el CISO) que vigile el cumplimiento de los criterios de seguridad digital en la plataforma del servicio.
Esta situación, seguramente, también incidirá en los proveedores de innovaciones tecnológicas, que entregan soluciones de conectividad, nube, ciberseguridad, Big Data y Data Center que apoyan a las organizaciones financieras en la construcción y operación de sus servicios digitales.
Ante las nuevas disposiciones de ciberseguridad de Banxico, las entidades que tienen actividades en los sistemas SPEI y SPID darán prioridad a los asociados tecnológicos que puedan mostrar credenciales como:
1. Experiencia probada en el ámbito de la ciberseguridad. Este factor no sólo conlleva una relación cercana con proveedores de soluciones de seguridad, sino una visión de la protección informática que privilegia la inteligencia de ciberseguridad, entendiendo que la protección digital hoy implica múltiples condiciones de uso como movilidad, una disposición preventiva y experiencia probada en diversas áreas tecnológicas.
2. Entendimiento de la ciberseguridad que demanda el actual ecosistema tecnológico. La protección que necesitan los servicios digitales de las entidades financieras puede involucrar distintas tecnologías y componentes de infraestructura digital; de ahí que las nuevas reglas de ciberseguridad de Banxico especifican, en el caso de las operaciones en SPEI, aspectos puntuales como Data Center. Por eso será vital contar con proveedores que tengan experiencia y conocimiento para proteger infraestructuras de conectividad, nube o Data Center, entre otros escenarios de innovación tecnológica.
FACILIDAD PARA ENTENDER LOS DESAFÍOS DE UN CISO
En el caso de las instituciones que realizan operaciones en el SPID, los CISO optarán por los asociados tecnológicos que tienen, gracias a su entendimiento del entorno de ciberseguridad, una visión más empática de los desafíos y necesidades que vienen con el cargo. Estos proveedores mostrarán solvencia en tareas como diseño de pruebas, análisis de situaciones de riesgo y generación de reportes de protección digital.
Banxico y las instituciones financieras están trabajando para fortalecer la seguridad digital de dos servicios importantes. Los proveedores de soluciones innovadoras tienen que sumarse al esfuerzo y hacer la parte que les corresponde. El esfuerzo conjunto es la mejor arma para enfrentar los desafíos en ciberseguridad.
*CEO en MCM Telecom
Las opiniones expresadas en este artículo son de exclusiva responsabilidad del autor y no representan la opinión del IMEF.
