[vc_row][vc_column][vc_column_text]
A partir del 9 de marzo del 2018 entró en vigor la nueva Ley para regular a las Instituciones de Tecnología Financiera o la bien conocida Ley Fintech, el motivo por el cual hasta el momento le seguimos llamando Nueva Ley es porque situaciones como la pandemia parece restar importancia ante lo que esta ley observa y regula.
A su vez esta ley viene acompañada de las Disposiciones aplicables a las instituciones de fondos de pago electrónico,completando la lista de requisitos a los que se debe tener apego, estas entraron en vigor a partir del 28 de enero del 2021, y contienen no uno ni dos sino tres capítulos dedicados a la Seguridad de la Información y la Continuidad del Negocio convirtiéndose en el documento más claro y extenso sobre lo que una institución debe hacer en materia de Continuidad y Seguridad, y que a continuación analizaremos a detalle pero rápidamente.
CAPÍTULO II DE LA SEGURIDAD DE LA INFORMACIÓN, este capítulo básicamente es una copia de los requerimientos mínimos para implementar la Norma ISO 27001 y todos sus controles (los que apliquen)
CAPÍTULO III DE LA CONTINUIDAD OPERATIVA y en el cual nos enfocaremos a detalle
Artículo 37.- Las instituciones de fondos de pago electrónico deberán contar con un Plan de Continuidad de Negocio que se obliguen a cumplir e incluyan los requerimientos mínimos establecidos en el Anexo 2 de las presentes Disposiciones
Anteriormente se detalló sobre este anexo, buscar artículos:
Artículo 38.- Cada institución de fondos de pago electrónico deberá contar con los mecanismos necesarios para la continuidad operativa y la administración de Contingencias Operativas de la propia institución, que incluyan su identificación, evaluación, monitoreo y mitigación
Este artículo tiene que ver con la administración de incidentes y tipificación de contingencias de acuerdo con los riesgos operativos y todo esto se encuentra en una etapa de PRE- Contingencia, al desarrollar las estrategias de prevención se estará cubriendo gran parte del cumplimiento.
Artículo 39.- Las instituciones de fondos de pago electrónico deberán contar con metodologías para estimar los impactos cuantitativos y cualitativos de las posibles Contingencias Operativas.
Existen muchas metodologías para calcular los impactos cualitativos derivados de una contingencia, cualquier método de elección puede ser casi correcto si está apegado a una metodología, no es lo mismo con los impactos cuantitativos, ya que estos requieren estar limpios de subjetividad del operador de negocio, para el cálculo de este tipo de impactos se requieren modelos de métodos matemáticos y de estadística aplicada que nos exhiben curvas como Gauss- Jordan, Poisson bajo programas que permitan la iteración de al menos 500 casos de presencia del mismo riesgo bajo diferentes escenarios.
Este en especial es un tema delicado que debe ser calculado por un experto.
Artículo 40.- El Órgano de Administración de la institución de fondos de pago electrónico deberá designar a una persona responsable de la administración de Contingencias Operativas, que cuente con conocimientos en la materia o de terceros contratados al efecto, que sean especialistas en la materia y que deberán realizar las siguientes actividades:
- Evaluar, por lo menos una vez al año,el alcance y efectividad, así como el cumplimiento de los requerimientos mínimos establecidos en el Anexo 2
III. Coordinar y verificar la ejecución de las pruebas del funcionamiento y suficiencia del Plan de Continuidad de Negocio, al menos una vez al año
- Verificar la efectividad de la metodología para estimar los impactos cuantitativos y cualitativos de las posibles Contingencias Operativas, al menos una vez al año
Como lo indica el artículo no se está limitado ante la contratación y delegación de responsabilidad a un tercero, siempre y cuando se cuenten con las credenciales de especialización tanto en implementación como en auditoría interna, del personal que llevará a cabo las actividades de continuidad de negocio, estas especializaciones pueden ser en ISO 22301:2019 que es de aplicabilidad internacional y es preferente para instituciones con operaciones internacionales y la NMX-I-22301-NYCE-2015, que es la norma mexicana de Gestión de Continuidad de Negocio y tiene aplicabilidad para operación en territorio nacional, se pueden emplear otras normas de certificación, sin embargo estas son las líderes en la presentación de marcos regulatorios de aplicabilidad extendida.
CAPÍTULO IV DISPOSICIONES COMUNES DE SEGURIDAD DE INFORMACIÓN Y DE CONTINUIDAD OPERATIVA
Artículo 41.- Las instituciones de fondos de pago electrónico deberán llevar un registro en bases de datos de los Eventos de Seguridad de la Información calificados como relevantes, Incidentes de Seguridad de la Información, Contingencias Operativas, así como fallas o vulnerabilidades detectadas en la Infraestructura Tecnológica.
Esto no es más que la bitácora de incidentes que cada organización lleva para cualquier tipo de contingencia.
La información de los Eventos de Seguridad de la Información calificados como relevantes e Incidentes de Seguridad de la Información, así como Contingencias Operativas, deberá estar respaldada en los medios que las instituciones de fondos de pago electrónico determinen y conservarse por, al menos, diez años.
Se debe prever por sitios de almacenamiento los cuales preferentemente no deberán estar en los mismos sitios físicos o virtuales en los que se encuentra la infraestructura principal, esto para garantizar a disponibilidad en caso de un evento disruptivo
Artículo 42.- En caso de que se presente un Incidente de Seguridad de la Información, o bien, un Evento de Seguridad de Información en los componentes de la Infraestructura Tecnológica, el director general o, en su caso, el administrador único deberá llevar a cabo lo siguiente:
- Prever lo necesario para hacer del conocimiento del Banco de México y de la CNBV de forma inmediata, los Incidentes de Seguridad de la Información, mediante correo electrónico que se envíe a las cuentas [email protected] y [email protected]
Artículo 43.- Las instituciones de fondos de pago electrónico deberán hacer del conocimiento del Banco de México y la CNBV las Contingencias Operativas que se presenten en cualquiera de los canales de atención al público o al interior de la propia institución de fondos de pago electrónico, mediante correo electrónico que se envíe a las cuentas [email protected], [email protected] y [email protected]
Tanto el artículo 42 como 43, están enfocados al desarrollo de un Plan de Comunicación en contingencia, recordemos que este plan tiene como finalidad establecer y mantener la comunicación con reguladores, colaboradores y partes interesadas en caso de contingencia.
Adicionalmente se integran anexos muy específicos sobre cómo trabajar estos temas
ANEXO 1 Indicadores de seguridad de la información.
ANEXO 2 Requerimientos mínimos para desarrollar el Plan de Continuidad de Negocio.
ANEXO 3 Incidentes en materia de Seguridad de la información.
ANEXO 4 Informe de Incidentes de Seguridad de la Información.
ANEXO 5 Reporte en materia de Contingencias Operativas.
Cabe mencionar que para estas disposiciones es claro que un
Incidente de Seguridad de Información: a cualquier suceso, interno o externo, relacionado, entre otros, con Clientes, terceros contratados por la institución de fondos de pago electrónico, personas y procesos operativos, así como con componentes de la Infraestructura Tecnológica, dispositivos, medios físicos u otros elementos que almacenen información, que:
- a) Comprometa la confidencialidad, integridad o disponibilidad de uno o más componentes de la Infraestructura Tecnológica con un efecto adverso para la institución de fondos de pago electrónico, sus Clientes, terceros, proveedores o contrapartes, entre otros.
- b)Vulnere la Infraestructura Tecnológica de tal forma que comprometa la información que procesa, almacena o transmite.
- c) Constituya una violación de las políticas y procedimientos de Seguridad de la Información.
- d) Constituya la materialización de un menoscabo en la institución de fondos de pago electrónico, ya sea por extracción, alteración o extravío de la información; por fallas derivadas del uso del hardware, software, sistemas, aplicaciones, redes y cualquier otro canal de transmisión de información; por accesos no autorizados que deriven en el uso indebido de la información o de los sistemas; por fraude o robo; por una interrupción de las actividades realizadas por la propia institución ocasionada por alguna acción; o por atentados contra las infraestructuras interconectadas conocidos como Ciberataques.
Y para los que un Plan de Continuidad de Negocio integra el conjunto de estrategias, procedimientos y acciones previamente determinadas por la institución que corresponda, para permitir, ante la ocurrencia de Contingencias Operativas, la Continuidad en las Operaciones, actividades o en la realización de los procesos críticos de dicha institución, o bien, su restablecimiento oportuno, así como la mitigación de las afectaciones producto de Contingencias Operativas.
[/vc_column_text][/vc_column][/vc_row]