Tiene CNBV protección débil en ciberseguridad

Tiene CNBV protección débil en ciberseguridad

La CNBV no tiene inventariada información sensible de sus sistemas ni los que tiene con proveedores de servicio, indicó ASF.

La Comisión Nacional Bancaria y de Valores (CNBV), responsable de regular, supervisar y sancionar entidades del sistema financiero, muestra debilidad en controles de ciberseguridad críticos.

Hay cinco rubros de ciberseguridad (25%) en semáforo rojo, que carecen de control al tener un nivel de cumplimiento menor a 30%, identificó la Auditoría Superior de la Federación (ASF).

Estos controles son: protección de datos, activos de hardware, pruebas de penetración, programa de concientización de seguridad y acceso basado en necesidad de saber.

En protección de datos, no tiene inventariada información sensible almacenada, procesada o transmitida por sus sistemas ni los que tiene con proveedores de servicio.

Además, carece de una metodología para clasificar datos y activos críticos, detalló la ASF.

“No se cuenta con una herramienta automatizada en el perímetro de la red para monitorear la transferencia no autorizada de información sensible.

“A pesar de que se monitorea la red, no se cuenta con mecanismos para detectar el uso no autorizado del cifrado de datos“.

Sostuvo.

De igual manera, otros ocho controles (40%) de ciberseguridad de la CNBV están en amarillo, pues requieren fortalecerse.

Estos controles son activos de software, seguridad perimetral, respuesta y gestión de incidentes, monitoreo y control de cuentas, así como control de acceso inalámbrico.

Así como, el uso controlado de privilegios administrativos, mantenimiento, supervisión y análisis de registros de auditoría, y la restricción y control de puertos, protocolos y servicios.

No cuenta con autenticación centralizada

Sobre el monitoreo, la ASF señaló que la CNBV no cuenta con un punto de autenticación centralizado para los sistemas de red, de seguridad y de la nube.

“Las cuentas de administración con privilegios elevados no utilizan autenticación de factores múltiples.

“Se carece de un proceso automatizado para la revocación de acceso a los sistemas, inmediatamente después de la terminación o cambio de responsabilidades. No se generan alertas por la desviación del comportamiento normal de inicio de sesión“.

Expuso.

Solo 35%, la CNBV alcanzó un nivel aceptable de cumplimiento.

Para evaluar la ciberseguridad, la Auditoría utilizó el marco CIS, que se refiere a los Controles Críticos de Seguridad del Centro de Seguridad de Internet para la infraestructura crítica de las TIC.

Es decir, el centro de datos, telecomunicaciones, seguridad perimetral, ambientes de desarrollo y controles de acceso.

¿Cómo fue el resultado de tus ventas en el Buen Fin?

En esta nota se habla de: ASF, ciberseguridad, CNBV, TIC