La Secretaría de Hacienda, el Banco de México, la Comisión Nacional Bancaria y de Valores (CNBV) y la Procuraduría General de la República (PGR), tienen listas las bases de coordinación en materia de seguridad de la información, estrategia conformada a casi un mes de que el sistema financiero mexicano sufriera un ciberataque que hasta el momento ha arrojado pérdidas reconocidas por 300 millones de pesos.
El documento, del cual EL UNIVERSAL tiene una copia y se espera que se firme este jueves por la tarde por las autoridades así como 11 asociaciones de instituciones financieras que operan en el país, define 16 bases de colaboración, donde destaca la creación del Grupo de Respuesta a Incidentes de Seguridad de la Información (GRI), el cual el cual estará integrado por un representante de cada autoridad financiera, quien deberá ser el titular de la unidad administrativa encargada de dar respuesta a incidentes de seguridad de la información.
En el texto se define que el GRI actuará cuando se presente un “incidente sensible de seguridad de la información”, evento que efectiva o potencialmente ponga en peligro la confidencialidad, integridad o disponibilidad de un componente o la totalidad de la infraestructura tecnológica o de la información que se procesa, almacena o transmite.
“Puede representar una pérdida, alteración o extravío de información; o bien que constituye una violación o una amenaza inminente de violación de las políticas de seguridad, procedimientos de seguridad o políticas de uso aceptable; que puede derivar en interrupción del servicio o bien, en daño o pérdida para los clientes de la institución afectada, para el público en general, para sus contrapartes o para la entidad misma”, destaca el documento.
El documento será signando también por la Comisión Nacional para la Protección y Defensa de los Usuarios de los Servicios Financieros (Condusef), la Comisión Nacional del Ahorro para el Retiro (Consar), la Comisión Nacional de Seguros y Fianzas, así como la Asociación de Bancos de México, La Asociación Mexicana de Instituciones de Seguros (AMIS), entre otras asociaciones gremiales que representan a las entidades financieras que operan en México.
En la quinta base del acuerdo, se establece que las entidades, de conformidad con la regulación que les resulte aplicable, quedarán obligadas a crear un equipo interno de identificación y respuesta a incidentes sensibles de seguridad de la información, con roles definidos, que incluya al menos a las áreas de sistemas, comunicación y jurídica, así como a informar sin demora a la autoridad competente sobre la ocurrencia de dichos incidentes.
Por su parte, la PGR colaborará con las autoridades financieras y entidades a través de la Subprocuraduría Especializada en Investigación de Delitos Federales (SEIDF), como ventanilla única en la presentación de denuncias sobre hechos posiblemente constitutivos de delitos del orden federal.
“La SEIDF con el apoyo de la Agencia de Investigación Criminal a través de la Unidad de Investigaciones Cibernéticas y Operaciones Tecnológicas o cualquier otra unidad de esta, practicarán las diligencias necesarias en la investigación para allegarse de todos los elementos probatorios necesarios con la finalidad de comprobar los hechos posiblemente constitutivos de delito de manera pronta y expedita”; detalla el documento.