Seguridad Informática en materia de Operaciones de Caja

/ Administración de Riesgos / Por

Introducción a Operaciones de Caja

La normativa del Banco de México para las operaciones de caja, establecida en la Circular 9/2023 y modificada en la Circular 4/2024 tiene por objetivo garantizar la seguridad y eficiencia en el manejo de billetes y monedas. Esta normativa abarca aspectos como el almacenamiento, abastecimiento, canje, entrega, retiro, reproducción y destrucción de efectivo. Asimismo, Banco de México ha desarrollado sistemas específicos como el Sistema de Bancos Usuarios y Corresponsales (SIBUC), el Sistema de Autentificación de Moneda (SAM) y el Sistema de Administración de Usuarios de Diferentes Instituciones de Crédito (AUDI), todos orientados a registrar y supervisar las operaciones de caja, las retenciones y reclamaciones de moneda falsa, y la administración de usuarios.

Por lo cual, los usuarios que empleen los anteriores sistemas deben acatar con los requerimientos de seguridad informática para asegurar una interconexión segura y eficiente con el Banco de México. Estos requerimientos incluyen la configuración y protección de las computadoras, la administración de equipos de telecomunicaciones y elementos técnicos de seguridad, y las medidas de ciberseguridad que deben adoptarse para prevenir, detectar y responder ante posibles incidentes de seguridad.

Seguridad Informática en materia de Operaciones de Caja

Normativa

El Banco de México emitió la Circular de Operacionales de Caja (Circular 9/2023), la cual tiene por objetivo de propiciar el conocimiento claro y ordenado de las disposiciones en materia de almacenamiento, abastecimiento, canje, entrega, retiro, reproducción y destrucción de billetes y monedas metálicas entre las instituciones de crédito del país, atendiendo a su finalidad de proveer a la economía del país de moneda nacional y en ejercicio de su función de regular la emisión y circulación de la moneda.

Asimismo, Banco de México desarrolló los siguientes sistemas:

  • El Sistema de Bancos Usuarios y Corresponsales (SIBUC) para el registro de las Operaciones de Caja que llevan a cabo los Usuarios
  • El Sistema de Autentificación de Moneda (SAM) que se emplea para el registro y seguimiento de las retenciones y reclamaciones relacionadas con Billetes o Monedas Metálicas presuntamente falsos
  • El Sistema de Administración de Usuarios de Diferentes Instituciones de Crédito (AUDI) que se usa para llevar a cabo la administración de usuarios para los sistemas de SIBUC y SAM.

Para fortalecer la seguridad informática de las Instituciones de crédito que realizan operaciones de caja, se hicieron cambios en la regulación de requerimientos de seguridad informática relacionados con la gestión de riesgos y continuidad operativa aplicable, dichas modificaciones están en la Circular 4/2024 publicada el 4 de marzo de 2024 y que entra en vigor el 1 de julio 2024, lo que implica que los usuarios deben prepararse para la regulación.

Requerimientos para el fortalecimiento de la seguridad informática en el intercambio de información a través de los sistemas que se utilizan para las operaciones de caja

Características del esquema de interconexión para el SIBUC, AUDI y SAM

El Usuario podrá conectarse al SIBUC, AUDI y SAM del Banco de México a través de Internet utilizando únicamente los equipos de cómputo asignados para ello. Para hacerlo, deberá enviar a la Oficina de Seguimiento de Operaciones de Caja del Banco de México (osoc@banxico.org.mx) un formato en Excel correspondiente a cada sistema (Anexo 30 – SIBUC, Anexo 31-AUDI y Anexo 32-SAM) con la firma electrónica de una persona autorizada, detallando los segmentos de red o direcciones IP públicas de los equipos utilizados para acceder al SIBUC, AUDI y SAM, incluyendo aquellos de las Empresas de Traslado de Valores (E.T.V.). Los segmentos de red deben tener una longitud mínima de /16, o agrupar direcciones IP públicas de /17 a /29 (preferentemente de /24).

Además, las instituciones de crédito deben informar al Banco de México sobre cualquier cambio en los equipos o segmentos de red utilizados (altas o bajas) para acceder a estos sistemas dentro de los primeros 10 días hábiles de cada mes, a través de correo osoc@banxico.org.mx mediante los formatos del Anexo 30 y 31, o bien OEPPF@banxico.org.mx mediante el formato 32. Las solicitudes de cambios serán atendidas en un máximo de 10 días hábiles.

Los componentes de interconexión deben cumplir con las especificaciones de los Requerimientos de Seguridad Informática del Banco de México. En caso de incidentes de ciberseguridad, deben ser reportados en 30 minutos a ciberseguridad-banxico@banxico.org.mx.

Las instituciones de crédito también deben participar en ejercicios para prevenir, adaptar, responder o recuperar su operación en el SIBUC, AUDI O SAM ante ciberataques (ciberresiliencia) convocados por el Banco de México para garantizar el buen funcionamiento del SIBUC, AUDI y SAM.

Directrices del Esquema de Interconexión

El Usuario debe proporcionar, administrar y soportar su equipo de cómputo, sistemas operativos, enlaces de Internet y Elementos Técnicos de Seguridad, cumpliendo con las especificaciones de los Requerimientos de Seguridad Informática.

Verificación de componentes de infraestructura para la interconexión

  1. El Banco de México puede verificar en cualquier momento que los Componentes de Infraestructura de Conexión cumplan con las características técnicas y de seguridad informática establecidas en los Requerimientos de Seguridad Informática.
  2. El Banco de México puede realizar estas verificaciones mediante visitas in situ a las instalaciones del Usuario o Corresponsal, o a través de requerimientos de documentación e información y la aplicación de cuestionarios en los términos indicados por el Banco de México.

En caso de al Usuario le soliciten documentación en particular un Informe de cumplimiento con los Requerimientos de Seguridad Informática, IDEFI Consultores, S.C. cuenta con expertos certificados en los campos de COSO, ISO31000, ISO22301, ISO27001, C| CISO (Chief Information Security), LCSPC (Lead Cybersecurity Professional Certificate), ISO/IEC 22301 INTERNAL AUDITOR, CSFPC (Cyber Security Foundation Professional Certificate) y SAP, para realizar dicha valuación de cumplimiento.

De la red local, los equipos de telecomunicaciones y los Elementos Técnicos de Seguridad del Usuario

  1. La conexión entre el equipo de cómputo del Usuario y el acceso a Internet debe estar controlada por un Elemento Técnico de Seguridad (preferentemente un firewall), administrado por el Usuario, permitiendo solo el tráfico de datos necesario para la operación con el Banco de México y cumpliendo con la regla de descartar todo el tráfico no permitido (default-deny rule) según los Requerimientos de Seguridad Informática.
  2. Los equipos de telecomunicaciones y los Elementos Técnicos de Seguridad deben tener habilitados solo los protocolos y servicios necesarios para la operación con el Banco de México, cumpliendo con los Requerimientos de Seguridad Informática.

De las computadoras que operan con el SIBUC, AUDI y SAM

Las computadoras deben estar protegidas al menos con los Elementos Técnicos de Seguridad establecidos en los Requerimientos de Seguridad Informática.

Requerimientos de Seguridad Informática

Requerimientos generales de infraestructura de cómputo y telecomunicaciones para operar con Banco de México.     

Contar con controles para prevenir, detectar y recuperarse ante amenazas o intrusiones de código malicioso o ataques informáticos. Estos controles deben incluir la prevención del uso de protocolos inseguros y permitir únicamente las direcciones IP y puertos necesarios para operar con el Banco de México. Además, se debe implementar la regla de desechar todo el tráfico no permitido (default-deny rule) y habilitar solo los servicios y aplicaciones indispensables para la operación.

La detección de incidentes de seguridad debe ser oportuna, con protocolos de comunicación que incluyan un nivel de escalamiento a la Dirección General de la institución, implementado procesos para el monitoreo de amenazas y vulnerabilidades, así como para la gestión de cuentas privilegiadas. Asimismo, se deben definir políticas que especifiquen los niveles de alerta y los protocolos a seguir para registrar información ante posibles incidencias de seguridad informática, como detener al atacante, reprogramar reglas de firewall, o regresar a un estado seguro de la infraestructura.

Cada institución debe contar con un responsable de seguridad informática, encargado de revisar que la administración de la infraestructura cumpla con los requisitos de seguridad y garantizar la adecuada recolección y resguardo de evidencias de seguridad informática, además de establecer políticas y lineamientos. Asimismo, contar con procesos que al retirar equipos que operaron con el sistema, la información contenida sea borrada de manera segura para que no sea recuperable

Además, el acceso a los equipos debe estar protegido mediante autenticación de usuario por contraseña tanto al arranque del equipo como al acceder al sistema operativo. Las buenas prácticas operativas son esenciales; los usuarios no deben dejar equipos desatendidos y deben cerrar sesión y bloquear los equipos cuando no estén en uso. También es necesario configurar los protectores de pantalla para que se activen automáticamente tras cinco minutos de inactividad y estén protegidos con contraseña.

Las instituciones deben realizar evaluaciones periódicas de seguridad informática, que incluyen auditorías, análisis de vulnerabilidades y pruebas de penetración. Estas evaluaciones deben llevarse a cabo al menos cada dos años por un tercero con experiencia y certificaciones relevantes en “hackeo ético”. Se debe generar un reporte de hallazgos y un plan de gestión de riesgos. Si las evaluaciones son internas, deben ser realizadas por personal certificado y también deben producir un reporte y un plan de trabajo para abordar los riesgos identificados.

Para equipos en los que se opere el servicio de comisionistas, la institución implementará controles para la detección y eliminación frecuente de vulnerabilidades, y asegurar que la seguridad sea un elemento básico en la arquitectura de cualquier software instalado.

Requerimientos particulares de infraestructura de cómputo y telecomunicaciones para operar el servicio de comisionistas.

Las instituciones que participan en servicios de comisionistas deben cumplir con los requisitos mínimos para su infraestructura de cómputo y telecomunicaciones, entre estas son: se debe restringir que el personal designado para actividades operativas y administrativas instale software. Además, se deben deshabilitar cualquier servicio o aplicación que no sea indispensable para la operación con SIBUC o los sistemas internos de la institución y restringir el uso de herramientas de desarrollo de software.

Asimismo, el acceso a puertos y dispositivos periféricos, como puertos USB, unidades de CD/DVD e impresoras, debe ser restringido. Si se requiere el acceso a estos puertos y periféricos para la operación de la institución, se deben establecer políticas y controles que aseguren que estos accesos sean controlados y utilizados exclusivamente para la operación.

Y se deben establecer procedimientos para la aplicación de parches, antivirus y control de malware tanto para el sistema operativo como para las aplicaciones.

De la red local, los equipos de telecomunicaciones y los elementos técnicos de seguridad del usuario.

Para asegurar la seguridad y la integridad de las operaciones en las instituciones que utilizan servicios de telecomunicaciones y elementos técnicos de seguridad, se deben cumplir varios requisitos específicos como son:

  • Los equipos de telecomunicaciones y los elementos técnicos de seguridad deben contar con una bitácora que registre la información necesaria para identificar eventos, como fecha, hora, dirección IP de origen y destino. Además, se deben registrar los intentos de inicio de sesión, exitosos o no, cambios en la configuración, arranque, detención y reinicios de los equipos, así como fallas o anomalías. Esta información debe ser resguardada durante al menos seis meses en un contenedor externo al equipo de telecomunicaciones o elemento técnico de seguridad.
  • Las sesiones de los administradores deben establecerse utilizando con protocolos cifrados.
  • Las sesiones que se establezcan desde las computadoras personales a los equipos y elementos técnicos deberán desconectarse automáticamente después de un periodo de inactividad máximo de cinco minutos para prevenir accesos no autorizados y proteger la seguridad de la red local del usuario.

Computadoras que estén conectadas a los sistemas

Para asegurar la protección de las computadoras utilizadas en los servicios de comisionistas y sistemas internos, es fundamental cumplir con varios requisitos técnicos y de seguridad.

Lo cual, las computadoras deben estar protegidas con elementos técnicos de seguridad que prevengan infecciones por códigos maliciosos, operando en modo “auto protect” o “blocking”. Los sistemas antivirus deben actualizarse cada 24 horas, y todos los incidentes de infección deben registrarse en una bitácora. Además, deben contar con firewalls personales o sistemas de prevención de intrusos operando en modo block/prevent, y los incidentes detectados deben ser registrados.

La bitácora de los elementos técnicos de seguridad debe registrar información detallada de los eventos, incluyendo fecha, hora, direcciones IP, cambios en la configuración, arranques, detenciones, reinicios y fallos o anomalías. Esta información debe resguardarse durante al menos seis meses en un contenedor externo.

Las computadoras deben configurarse para impedir la conexión y funcionamiento de dispositivos externos no autorizados (discos duros, memorias USB, reproductores CD/DVD, etc.). En el caso de que la operación del Usuario requiera de estos dispositivos externos, se deberán, si es necesario usar estos dispositivos, deben desactivarse las funciones de ejecución automática y contar con elementos técnicos de seguridad adicionales. También es necesario realizar escaneos mensuales de vulnerabilidades y aplicar correcciones correspondientes.

El sistema operativo y las aplicaciones deben actualizarse dentro de un mes después de la publicación de actualizaciones críticas por el fabricante y la confirmación de CNBV.

Las cuentas y contraseñas para acceder a los equipos deben ser únicas, con privilegios mínimos necesarios, y cambiarse cada 90 días. Las contraseñas deben cumplir con requisitos de complejidad y longitud, y deben protegerse con autenticación multifactor o ser más largas si no es posible, asimismo los archivos de autenticación deberán estar cifrados y sólo podrán ser accedidos con privilegios de administrador. Adicionalmente, las computadoras deben bloquearse después de cinco minutos de inactividad y el desbloqueo debe requerir una contraseña. Las cuentas deben bloquearse después de un número limitado de intentos fallidos de inicio de sesión, y los privilegios de acceso deben revisarse cada tres meses para evitar accesos innecesarios o no autorizados.

Conclusión

El Banco de México a través de la Circular de Operacionales de Caja (Circular 9/2023) proporciona disposiciones para el almacenamiento, abastecimiento, canje, entrega, retiro, reproducción y destrucción de billetes y monedas metálicas entre las instituciones de crédito del país. Adicionalmente, el Banco de México desarrollada sistemas como el SIBUC, el SAM y el AUDI que permiten un registro y seguimiento más eficaz de las operaciones de caja y retenciones de billetes y monedas falsos.

Para fortalecer la seguridad informática de las instituciones de crédito que realizan operaciones de caja, se introdujeron cambios en la regulación de los requerimientos de seguridad informática mediante la Circular 4/2024. Estas modificaciones, que entrarán en vigor el 1 de julio de 2024, abordan la gestión de riesgos y la continuidad operativa, estableciendo la interconexión y uso de equipos y redes, asegurando que las instituciones informen sobre cualquier cambio relevante.

En caso de que se requiera documentación específica sobre el cumplimiento de estos requerimientos, IDEFI Consultores, S.C. cuenta con expertos certificados en diversos campos de la seguridad y gestión informática, listos para asistir en la evaluación y cumplimiento de las normativas establecidas por el Banco de México.

Las instituciones de crédito deberán cumplir con los requerimientos de seguridad informática para proteger la integridad de sus operaciones y prevenir ciberataques. Esto incluye la implementación de controles para prevenir, detectar y responder a amenazas, así como la realización de evaluaciones periódicas de seguridad.

Referencias


Revisa nuestros cursos disponibles en el menú Capacitación

Ve los Temarios aquí
X