En las bases de coordinación en materia de seguridad de la información que suscribieron este jueves autoridades y entidades financieras,  destaca la creación del Grupo de Respuesta a Incidentes de Seguridad de la información (GRI) conformado por funcionarios y, por parte de las instituciones, equipos internos de identificación y respuesta a incidentes sensibles.

Ayer fueron signadas estas bases por la Secretaría de Hacienda y Crédito Público, el Banco de México; las comisiones nacionales Bancaria y de Valores, de Seguros y Fianzas, del Sistema de Ahorro para el Retiro, para la Protección y Defensa de los Usuarios de Servicios Financieros, y la Procuraduría General de la República (PGR). Por parte de las entidades financieras, se sumaron las asociaciones de bancos (ABM), de instituciones bursátiles, de fondos para el retiro; además de los sectores de ahorro y crédito popular, y las llamadas fintech, entre otros intermediarios.

El documento señala que en las bases se establecen las acciones para atender los incidentes de seguridad de la información que pudieran tener las diversas entidades que conforman el sector financiero con medidas como: conocer, clasificar y evaluar los sucesos que se puedan considerar como incidentes; analizar las causas, consecuencias y efectos de éstos; contar con información oportuna y relevante que permita a los sujetos clave resolverlos; asegurar que esta sea precisa y completa, y coordinar la comunicación entre autoridades.

Entre estas bases destaca que las autoridades financieras acuerdan mantener una coordinación efectiva, con el fin de determinar los principios en materia de seguridad de la información que cada una podría implementar mediante la regulación que le corresponde emitir en el ámbito de sus respectivas competencias.

De igual forma, las autoridades acuerdan crear el GRI, mismo que estará integrado por un representante de cada una de éstas, quien deberá ser el titular de la unidad administrativa encargada de dar respuesta a incidentes de seguridad de la información. “Podrán ser invitados los representantes de las asociaciones gremiales y de las entidades”.

Asimismo, se establece que las entidades financieras, de conformidad con la regulación que les resulte aplicable, quedarán obligadas a crear un equipo interno de identificación y respuesta a incidentes sensibles de seguridad de la información, con roles definidos, que incluya al menos a las áreas de sistemas, comunicación y jurídica, así como informar sin demora a la autoridad competente sobre la ocurrencia de dichos incidentes.

La información que debe contemplarse para ello es la siguiente: los servicios que hayan sido interrumpidos, así como el tiempo estimado para recuperar la operación; las operaciones no reconocidas y la pérdida económica con el monto estimado; el tipo de recursos o información alterada, robada o perdida; las situaciones que pongan en riesgo la seguridad de los clientes, empleados o las instalaciones; y la clasificación del impacto del incidente con base en la información que se tenga disponible.

Dicho equipo deberá establecer una estrategia de comunicación para proveer información clara, oportuna y relevante a sus clientes y usuarios. Por su parte, la autoridad financiera respectiva evaluará si el incidente tiene el nivel de impacto informado por la entidad y, en caso de que se trate de un incidente sensible de seguridad de la información, dará aviso de inmediato a los miembros del GRI.

También las entidades deberán informar a la autoridad competente la ocurrencia de cualquier evento que vulnere los controles o implique una violación a las políticas de seguridad, sin que represente una afectación a sus operaciones o bien, que genere afectaciones parciales a sus operaciones, que impida o dificulte la atención de sus clientes, o represente accesos no autorizados a información, sin generar pérdidas económicas, pero que de continuar pudiera representar un incidente sensible de seguridad de la información.

Las bases refieren que en el caso de que una autoridad informe al GRI sobre la ocurrencia de un incidente, los integrantes del grupo coordinarán las acciones a implementar por parte de las autoridades financieras en el ámbito de su competencia.

“Podrán acordar la información que se deba dar a conocer al público bajo los principios de máxima publicidad a que están sujetos, así como salvaguardar la estabilidad del sistema financiero y protección de los intereses del público”, se lee.

Ventanilla única

En el caso de la PGR, se señala que ésta colaborará con las autoridades financieras y entidades a través de la Subprocuraduría Especializada en Investigación de Delitos Federales (SEIDF), como ventanilla única en la presentación de denuncias sobre hechos posiblemente constitutivos de delitos del orden federal, para dar inicio a la investigación respectiva.

“La SEIDF, con el apoyo de la Agencia de Investigación Criminal a través de la Unidad de Investigaciones Cibernéticas y Operaciones Tecnológicas o cualquier otra unidad de ésta, practicarán las diligencias necesarias en la investigación para allegarse de todos los elementos probatorios necesarios con la finalidad de comprobar los hechos posiblemente constitutivos de delito de manera pronta y expedita”.