Redacción
Ciudad de México, 24 mayo 2018.- Autoridades financieras y la Procuraduría General de la República (PGR) acordaron la creación de un Grupo de Respuesta a Incidentes de Seguridad de la Información (GRI), una iniciativa a la que se sumaron todos los intermediarios financieros que operan en el país, que tiene como uno de sus propósitos establecer protocolos de actuación ante ataques cibernéticos por parte de la delincuencia organizada.
A partir de la creación del GRI, que será anunciada esta tarde, todos los intermediarios financieros quedarán obligados a crear un equipo interno de identificación y respuesta a incidentes sensibles de seguridad de la información, con responsabilidades definidas.
El equipo de respuesta de los intermediarios financieros debe incluir, al menos, a las áreas de sistemas, comunicación y jurídica.
Los intermediarios financieros estarán obligados a informar sin demora a la autoridad competente sobre la ocurrencia de incidentes relacionados con la seguridad de la información a su resguardo.
En particular, deberán comunicar a la autoridad los servicios que hayan sido interrumpidos, así como el tiempo estimado para recuperar la operación; las operaciones no reconocidas y la pérdida económica con el monto estimado; el tipo de recursos o información alterada, robada o perdida; las situaciones que pongan en riesgo la seguridad de los clientes, empleados o las instalaciones; y la clasificación del impacto del incidente con base en la información que la propia entidad tenga disponible.
De acuerdo con el documento de creación del GRI, la autoridad financiera respectiva evaluará si el incidente tiene el nivel de impacto informado por la entidad y, en caso de que se trate de un incidente sensible de seguridad de la información, dará aviso de inmediato a los miembros del GRI a través del mecanismo de comunicación que establezcan al respecto.
Los intermediarios también deberán informar a la autoridad competente la ocurrencia de cualquier evento que vulnere los controles o implique una violación a las políticas de seguridad, sin que represente una afectación a sus operaciones o bien, que genere afectaciones parciales a sus operaciones, que impida o dificulte la atención de sus clientes o represente accesos no autorizados a información, sin generar pérdidas económicas pero que de continuar pudiera representar un incidente sensible de seguridad de la información. Dichos eventos podrán comunicarse al GRI en caso de que la Autoridad Financiera competente lo considere pertinente.
En la iniciativa participan, por parte de la autoridad, la Secretaría de Hacienda y Crédito Público, el Banco de México y las comisiones nacionales Bancaria y de Valores, de Seguros y Fianzas, para la Defensa y Protección de los Usuarios de Servicios Financieros y del Sistema de Ahorro para el Retiro.
Del lado de los intermediarios financieros: las sociedades controladoras y subcontroladoras de grupos financieros, instituciones de crédito, casas de bolsa, bolsas de valores, fondos de inversión, sociedades operadoras de fondos de inversión, sociedades distribuidoras de acciones de fondos de inversión, instituciones de seguros, instituciones de fianzas, administradoras de fondos para el retiro, empresas operadoras de la base de datos nacional SAR, almacenes generales de depósito, uniones de crédito, casas de cambio, sociedades financieras de objeto múltiple reguladas, sociedades financieras populares, instituciones para el depósito de valores, instituciones calificadoras de valores, cámaras de compensación, instituciones de tecnología financiera, sociedades de información crediticia, sociedades financieras comunitarias, así como las sociedades cooperativas de ahorro y préstamo.