Juriquilla, Qro. Ante la importancia que ha tomado la ciberseguridad en México y en el mundo, los reguladores mexicanos han creado áreas para reforzar este tema en el sistema financiero, el cual es el más atacado respecto a otros sectores. Hace algunos días, la Junta de Gobierno de la Comisión Nacional Bancaria y de Valores (CNBV) aprobó la creación de la vicepresidencia de Supervisión de Ciberseguridad y Riesgos, que encabeza Luis Arias Osoyo.

En entrevista, en el marco de su participación en la cuarta convención de la Asociación Mexicana de Sociedades Financieras Populares, Arias Osoyo habló con este medio sobre la visión de la autoridad al crear esta nueva área, además de si el reciente ciberataque en Chile, que expuso los datos de tarjetas de crédito, puso nervioso al sistema financiero mexicano y de los estándares que se buscará permear en todas las instituciones financieras para reforzar su ciberseguridad.

—¿Cuál es la tarea de esta área y cuáles serán las primeras acciones que llevará a cabo?

La vicepresidencia con este nombre es algo nuevo, pero muchas de las acciones ya las veníamos haciendo desde antes, con la vicepresidencia técnica, que tenía dentro de sus áreas la dirección general de Riesgos Operacionales y Tecnológicos, que está encargada de revisar la seguridad de información de las instituciones supervisadas.

Con este cambio se fortalece (y transforma) a la vicepresidencia técnica dándole una nueva dirección general con expertos en tema de ciberseguridad. Que tenga, por un lado, el equipo que se requiere, que se puedan hacer las interpretaciones correctas (de la ley), ayudar a las instituciones de la manera más adecuada y, por otro lado, darle más  facultades para hacer más investigaciones.

Es muy importante trabajar en la regulación, tenemos mucho avance de lo que serán las disposiciones secundarias, en las cuales estamos metiendo muchos nuevos controles. La instrucción es que esos principios tienen que ser para todos los sectores por igual, no es posible que unos tengan un estándar (...) Tiene que haber un nivel de seguridad parecido.

Respecto a proyectos, con ayuda del Banco Interamericano de Desarrollo, se trabaja en un diagnóstico para entender mejor dónde estamos parados en la materia de ciberseguridad (...) El informe tiene que estar listo este año, el banco contrató a un consultor de Israel y tienen que entregarnos toda la información antes de noviembre.

—¿Entonces esta vicepresidencia tendrá facultades de corrección cuando haya un evento de esta naturaleza?

No le corresponde a la CNBV decir exactamente cómo corregir un problema de ciberseguridad, lo que nos corresponde es ver que las instituciones estén preparadas, que tengan las inversiones correctas, los protocolos, el gobierno corporativo adecuado y los controles internos para poder defenderse.

En la CNBV, trabajamos un tema más preventivo y, si las instituciones no están preparadas, si había algo que tenían que hacer y no lo hicieron ante un ataque, entonces pueden ser sujetas a sanciones.

—Recientemente hubo un ciberataque en Chile que expuso los datos de 14,000 tarjetas de crédito, ¿esto puso nervioso al sistema financiero mexicano?

No puso nervioso a nadie, simplemente nosotros como autoridad estamos al pendiente en todo momento de cosas que ocurren y que pudiera pasar en México, nuestros protocolos nos indican que hay que compartir la información entre todos y vamos a analizarla (...) Siempre estamos en contacto y estamos compartiendo información todo el tiempo de lo que se considere necesario informar.

—En materia de ciberseguridad, ¿cabe el concepto de regulación diferenciada?

Yo diría que no necesariamente, porque las instituciones no llevan a cabo el mismo tipo de transacciones (...) pero los principios que se tienen contemplados tienen que aplicar a todas las instituciones, aunque cada una tiene características distintas.

—¿Es obligatorio tener grupos de respuesta ante ciberataques en todas las instituciones?

No debemos esperar a que la regulación esté lista para actuar, porque eso nos deja a todos vulnerables, entonces, no está la regulación hecha para sancionar y más allá de sancionar tenemos que pensar cómo trabajar en defendernos.