No hay intención por parte de la Comisión Nacional Bancaria y de Valores (CNBV) de crear una ley de ciberseguridad que abarque a todo el sistema financiero, pues el plan del regulador es generar un marco general en esta materia y, a partir de éste, modificar la normativa para cada tipo de institución. 

Durante un foro organizado por la oficina de Sector Comercial de la Embajada de Estados Unidos y la empresa Tenable, Gilberto Pérez, director general adjunto de Regulación Estructural de la CNBV, explicó que el objetivo de la regulación en ciberseguridad es fortalecer los esquemas de control interno que tienen las instituciones financieras

“El objetivo es que esta regulación sea transversal para las entidades financieras, es decir que algunos controles que tienen que implementar al interior de los bancos, sería conveniente que las casas de Bolsa, las sofipos, las socaps y las fintechs hicieran lo mismo”, dijo.

El funcionario agregó que si bien es más tardado hacer una regulacion caso por caso, también es más sencillo. “Podríamos hacer un marco general y de ahí empezar a hacer tal cantidad de excepciones, entonces preferimos hacerlo directamente en la circular de cada entidad, pero hay cosas que van a estar en todas las circulares”, dijo. 

De acuerdo con el más reciente reporte Estado de la Ciberseguridad en el Sistema Financiero Mexicano, elaborado por la Organización de Estados Americanos (OEA) en colaboración con la Comisión Nacional Bancaria y de Valores (CNBV), el 100% de las instituciones financieras en México identificó algún evento contra su seguridad digital, ya sea que se haya tratado de ciberataques que fueron exitosos o no exitosos. 

El estudio considera 240 instituciones del sistema financiero mexicano, de las cuales 98 son sociedades de ahorro y crédito popular (socaps), 59 pertenecen al sector de intermediarios financieros no bancarios, 33 integrantes de la banca comercial y de servicios múltiples, 17 instituciones de tecnología financiera, 15 sociedades financieras populares, nueve bancos de desarrollo y nueve integrantes del sector bursátil. En 43% de los casos, los ataques resultaron exitosos y supusieron un costo total para las instituciones de 107 millones de dólares.

Gilberto Pérez aseguró que hasta el momento sólo se cuenta con la regulación de ciberseguridad para casas de bolsa, la cual fue publicada en junio del 2017; para bancos, de noviembre del 2018, y para instituciones de financiamiento colectivo (crowdfunding), de marzo pasado. Agregó que está próxima a publicarse la normativa de Instituciones de fondos de pago electrónico y que seguramente habrá una actualización a la de casas de Bolsa.  

“Actualmente, la versión más actualizada de estos controles está en la regulación en materia de ciberseguridad de crowdfunding. Mientras hacíamos esta regulación, nos dimos cuenta de que algunos aspectos de la de bancos habría que mejorarlos”, dijo y añadió que aquellas instituciones sobre las que aún no hay una regulación específica en materia de ciberseguridad, como es el caso de las sofipos y las socaps, pueden revisar las disposiciones sobre crowdfunding para saber qué esperar.

Entre las disposiciones generales dentro de la regulación en materia de ciberseguridad para las instituciones del sistema financiero se encuentran el establecimiento de un modelo de gobernanza; así como de un marco de gestión de riesgos; la realización de revisiones de seguridad periódicas; la creación de protocolos de respuesta a incidentes; la difusión de una cultura informática y la creación de indicadores de riesgo, que permitan conocer el estado de una institución. 

Pérez puso como ejemplo de la flexibilidad de la regulación en materia de ciberseguridad la disposición acerca de que, en el caso de las instituciones de financiamiento colectivo, el director general podrá asumir las funciones del director de seguridad de la información (CISO) durante el primer año de operación de la empresa, ya que la contratación de un CISO es muy costosa para muchas de estas instituciones cuando apenas están iniciando. 

“El caso de las fintech es muy particular, porque a diferencia de los bancos que tienen otros canales de atención, como las sucursales, en el caso de las fintech, su canal de atención son los medios electrónicos, las redes y las aplicaciones, de ahí que nos importe que haya un responsable en el mediano plazo de la seguridad de la información”, dijo.

Sobre la transversalidad mencionada por el regulador, éste expuso el caso del uso de tecnología de nube. Mencionó que mientras que en las circulares que abarcan la regulación de instituciones de financiamiento colectivo hay requerimientos específicos que deben cumplir quienes usen esta tecnología y que lo mismo sucederá en el caso de las instituciones de fondos de pago electrónicos, es necesario realizar una actualización a la circular de bancos, pues en ésta dicha tecnología casi no se menciona.    

[email protected]