IDEFI INDEVAL

Actualización de Requisitos de Indeval: Seguridad, Riesgos y Continuidad de Negocio

/ Administración de Riesgos / Por

Requisitos de Indeval

S.D. Indeval, S.A. de C.V. (Indeval), es la cámara de compensación y depósito de valores de México, esta Institución opera como un depósito de central de valores y proporciona servicios de custodia, administración, compensación y liquidación de valores.

Indeval, a través de la Circula No.17 ha establecido diferentes normativas que la regulan, tales como Reglamento Interior, el Manual Operativo de Comunicaciones, Infraestructura y Seguridad, el Manual Operativo de Depósito, Custodia, Administración de Valores y Otros Servicios, así como la “Guía de Requisitos”.

En la más reciente actualización de la “Guía de Requisitos” de Tecnología, Seguridad de la Información y Riesgo Operacional de los Depositantes de Indeval, se introdujeron cambios en siguientes rubros que afectan a la Institución (entidad que se conecta con los servicios de Indeval, es decir, “Depositante”):

Requisitos de Seguridad informática

  • Gestión de Incidentes (Requisito 1 Bis y Requisito 2 Apartado A).
  • Herramientas de seguridad (Requisito 2 Apartado B).
  • Gestión de Vulnerabilidad (Requisito 2 Apartado C, D y E).
  • Pruebas de penetración (Requisito 2 Apartado F y Requisito 3 Apartado B, C, D y E).

Requisitos de Gestión de Riesgo Operacional

  • Análisis de capacidad (Requisito 1Apartado A).
  • Metodología de análisis de impactos (Requisito 1 Apartado B).

Requisitos para la Continuidad de Negocio

  • Plan de atención de Incidentes (Procedimiento 2).
  • Plan de respuesta de emergencia (Procedimiento 3).

A continuación, se describen de manera general los cambios en cada uno de lo rubros:

Requisitos de Seguridad informática

Seguridad Informatica

Gestión de Incidentes

La Institución debe implementar medidas para gestionar incidentes de seguridad de la información, tanto propios como de terceros, que afecten su operación o infraestructura tecnológica. Esto incluye la elaboración de documentos que definan los procedimientos para la comunicación, seguimiento, análisis y documentación de los incidentes, así como un plan de atención y un protocolo para reportar a Indeval cualquier amenaza en la infraestructura tecnológica. Además, la Institución debe contar con una política que evalúe los procedimientos asociados a los protocolos de comunicación inseguros, justificando el uso de controles compensatorios en sus sistemas.

Herramientas de seguridad

Se establece que las Instituciones deben implementar herramientas de detección de código malicioso en tiempo real, con actualizaciones periódicas cada 8 días naturales, y realizar escaneos completos de todos los archivos para identificar y neutralizar amenazas. En las plataformas Windows y Linux, es obligatorio contar con una solución de seguridad a nivel host, mientras que para otras plataformas pueden aplicarse controles compensatorios a nivel de red. Estos controles deben ser actualizados y revisados cada 3 meses, tomando medidas correctivas manuales o automáticas en caso de detectar alteraciones. Asimismo, es indispensable ejecutar protocolos de revisión para asegurar que todos los equipos, incluyendo estaciones de trabajo y servidores, estén libres de código malicioso y ejecuciones no autorizadas.

Gestión de Vulnerabilidad

Las Instituciones deben implementar procedimientos para gestionar vulnerabilidades de seguridad, incluyendo la instalación mensual de actualizaciones y parches en plataformas Windows, y semestralmente en Linux y Unix, junto con escaneos mensuales para identificar vulnerabilidades. Deben documentar las actualizaciones aplicables, garantizando que los sistemas operativos no hayan alcanzado su fin de vida (EOL) o fin de soporte técnico (EOS), y contar con un plan de trabajo para corregir vulnerabilidades detectadas. Asimismo, se deben inhibir instalaciones de software no esencial y establecer protocolos para detectar, contener y documentar incidentes de seguridad, resguardando bitácoras por al menos 3 años

Pruebas de penetración

Las Instituciones deben realizar pruebas de penetración y auditorías de seguridad informática al menos cada dos años, con un reporte de riesgos y un plan de trabajo para atender vulnerabilidades críticas y altas antes de iniciar operaciones en infraestructuras nuevas o modificadas. Además, deben contar con una política obligatoria para la implementación de sistemas informáticos, asegurando mecanismos de seguridad como autenticación, cifrado de información sensible, verificación de firma electrónica y manejo seguro de elementos de firma. Si el desarrollo es externo, se deben solicitar procedimientos de seguridad y realizar evaluaciones de amenazas, con planes de trabajo para mitigar riesgos

También se deben revisar estática y dinámicamente las vulnerabilidades del aplicativo PFI, documentar y comunicar los hallazgos, y monitorear accesos y actividades de usuarios, garantizando la trazabilidad y respuesta ante eventos atípicos.

Requisitos de Gestión de Riesgo Operacional

Riesgo Operacional

Análisis de Capacidad

Las Instituciones deben contar e implementar una metodología para la administración de riesgos operaciones, que incluya la identificación, evaluación, monitoreo y mitigación de riesgos relacionados con la operación de Indeval. Esta metodología debe abarcar riesgos en los ámbitos humanos (fraudo interno/externo, integridad, capacitación), procedimientos y procesos tecnológicos y así como proveedores de servicios, definiendo roles y responsabilidades para su ejecución, revisión y actualización.

Metodología de análisis de impactos

La Institución debe establecer una metodología para el análisis de impactos al negocio, definiendo un tiempo objetivo de recuperación de 60 minutos o menos para cada proceso crítico relacionado con su operación con Indeval. Con el objetivo de tener un respuesta rápida y eficiente.

Requisitos para la Continuidad de Negocio

Continuidad de Negocio

Plan de atención de Incidentes

La Institución debe contar con un Plan de Atención de Incidentes que incluya acciones claras para identificar, diagnosticar, atender, recuperar, restaurar y documentar incidentes que afecten la operación con los Sistemas de Indeval.  Este plan debe definir roles y responsabilidades específicas para garantizar una respuesta ante el impacto en las operaciones.

Plan de respuesta de emergencia

Los Institución debe implementar un plan de respuesta a emergencias que incluya la activación de estrategias de continuidad, definiendo roles y responsabilidades, niveles de escalamientos de comunicación interna y externa con Indeval. En caso de un incidente que afecte a la operación normal con Indeval y que dure más de 30 minutos, el personal responsable debe notificar vía electrónica y correo al grupo requisitosdeparticipación@grupobmv.com.mx a los contactos operativos de Indeval.

IDEFI

Por lo anterior, en IDEFI Consultores ofrecemos servicios especializados en la evaluación y consultoría para asegurar el cumplimiento de los requisitos establecidos en la más reciente Guía de Requisitos de Indeval. Esto incluye aspectos clave como la seguridad informática, la gestión de riesgos operacionales, las medidas de mitigación, y la implementación de procedimientos para la continuidad del negocio.

Nuestro equipo está capacitado para apoyar a su Institución en la adecuación y mejora de sus procesos, garantizando que cumpla con los estándares regulatorios y normativos, brindando confianza y eficiencia operativa, contáctanos hoy mismo.


Revisa nuestros cursos disponibles en el menú Capacitación

Ve los Temarios aquí
X