ACUERDO por el que se reforma el Estatuto Orgánico del Instituto para la Protección al Ahorro Bancario.

Al margen un sello con el Escudo Nacional, que dice: Estados Unidos Mexicanos.- HACIENDA.- Secretaría de Hacienda y Crédito Público.- Instituto para la Protección al Ahorro Bancario.

ACUERDO POR EL QUE SE REFORMA EL ESTATUTO ORGÁNICO DEL INSTITUTO PARA LA PROTECCIÓN AL AHORRO BANCARIO
La Junta de Gobierno del Instituto para la Protección al Ahorro Bancario, conforme al acuerdo número IPAB/JG/23/163.8, aprobado en la Sesión Ordinaria número 163, celebrada el 27 de abril de 2023, y los artículos 15, antepenúltimo párrafo, 58, fracción VIII de la Ley Federal de las Entidades Paraestatales, y 80, fracciones XII, XXVI y XXVII de la Ley de Protección al Ahorro Bancario, y
CONSIDERANDO
Que, en el marco del primer foro sobre ciberseguridad en el Sistema Financiero Mexicano, celebrado en 2017, diversas instituciones del sector público y privado suscribieron los "Principios para el Fortalecimiento de la Ciberseguridad para la Estabilidad del Sistema Financiero Mexicano".
Que, en 2018, se emitieron las "Bases de Coordinación en Materia de Seguridad de la Información", suscritas por diversas autoridades financieras, la Procuraduría General de la República (hoy Fiscalía General de la República), las asociaciones gremiales competentes de México, entre otras.
Que, en 2019, el Instituto para la Protección al Ahorro Bancario (IPAB o Instituto) inició los trabajos en materia de seguridad de la información, con la integración de un Grupo de Trabajo para la Administración de Riesgos Cibernéticos coordinado por el titular de la Dirección General de Planeación Estratégica y Procesos del IPAB (DGPEP), aprobado en la Cuarta Sesión Extraordinaria del Comité de Riesgos del Instituto, celebrada el 10 de septiembre de 2019.
Que, en septiembre de 2022, se contrató al despacho Deloitte Asesoría en Riesgos S.C. (Deloitte), para realizar un diagnóstico integral e identificar las áreas de oportunidad derivadas de la adecuada protección (confidencialidad, integridad y disponibilidad) de la información contenida en las diferentes fuentes de almacenamiento físico-lógico (impresa, digital, video, hardware, software, redes de comunicaciones, instalaciones, personas, etc.), así como el grado de seguridad en las instalaciones del IPAB.
Que, como parte del resultado del diagnóstico realizado por Deloitte, se identificó que las iniciativas en materia de seguridad de la información son gestionadas en su mayoría por la Dirección General de Tecnologías de la Información del IPAB (DGTI), siendo que, es la unidad administrativa responsable de planear e implementar las medidas de seguridad y validar el control interno, lo cual es un riesgo, por la posibilidad de generar un conflicto de interés.
Que, entre las propuestas de Deloitte, de acuerdo con las mejores prácticas internacionales, se recomendó robustecer un modelo organizacional y funcional de seguridad de la información que permita alinear las actividades, los esfuerzos, las responsabilidades, los requerimientos y los riesgos del IPAB, a través de la creación de un rol reconocido como Chief Information Security Officer (CISO), cuya operación y funcionamiento sea independiente de la DGTI.
Que, el CISO se encargará de alinear la seguridad de la información con los objetivos del IPAB, de establecer un orden y de colaborar con las unidades administrativas del Instituto, dar seguimiento a las acciones de control en materia de seguridad de la información, y de generar áreas de oportunidad en esa materia.
Que el desarrollo de la estrategia de seguridad de la información del IPAB tiene su origen a partir del análisis de procesos, personas y riesgos, por ello, se propone llevar a cabo estas actividades con las funciones de seguimiento y validación de los controles en materia de seguridad de la información física, tecnológica y humana desde la DGPEP, para el ejercicio formal y material de dichas facultades, es necesario reformar el artículo 28 del Estatuto Orgánico del IPAB.
Que, en virtud de lo anterior, la Junta de Gobierno del Instituto para la Protección al Ahorro Bancario aprueba el siguiente:
ACUERDO POR EL QUE SE REFORMA EL ESTATUTO ORGÁNICO DEL INSTITUTO PARA LA
PROTECCIÓN AL AHORRO BANCARIO
ARTÍCULO ÚNICO: Se REFORMAN las fracciones II, IV, V, XVII y XVIII del artículo 28, y se ADICIONAN las fracciones XIX, XX y XXI al citado artículo 28, todos del Estatuto Orgánico del Instituto para la Protección al Ahorro Bancario publicado en el Diario Oficial de la Federación el 27 de marzo de 2014 y modificado mediante los acuerdos publicados en dicho órgano de difusión oficial el 26 de febrero de 2015, el 15 de marzo y 15 de septiembre de 2016, el 18 de mayo de 2018, el 6 de octubre de 2020, el 30 de junio de 2022, y el 27 de enero de 2023, para quedar como sigue:
Artículo 28.- ...
...
II.      Proponer al Secretario Ejecutivo la estrategia institucional, programas de trabajo en materia de planeación estratégica, administración de riesgos y procesos, seguimiento a las acciones en materia de seguridad de la información y coordinar el desarrollo de los mismos con las unidades administrativas del Instituto, con el objeto de coadyuvar a la eficiencia del sistema de protección al ahorro bancario, así como para dar cumplimiento a la normativa aplicable;
...
IV.     Elaborar y proponer políticas, lineamientos y procedimientos en materia de planeación estratégica, organización, seguridad de la información y evaluación institucional;
V.      Elaborar y establecer los lineamientos generales para los Sistemas de Planeación, Evaluación, Administración de Riesgos y Gestión de Seguridad de la Información del Instituto, así como dar seguimiento a los programas que se deriven para el corto, mediano y largo plazos, conforme a las directrices que emitan las autoridades competentes;
VI. a XVI. ...
XVII.  Coordinar la preparación y el desarrollo de simulacros de resoluciones bancarias y demás acciones preventivas relacionadas con las operaciones de protección;
XVIII. Participar con la Dirección General de Métodos de Resolución en las actividades vinculadas con los simulacros de ejecución de los planes de resolución de Instituciones, a que se refiere el artículo 120 de la Ley de Instituciones de Crédito;
XIX.   Proponer normas, políticas, lineamientos y controles en materia de seguridad de la información que permitan coadyuvar a mantener la disponibilidad, integridad y confidencialidad de la información crítica;
XX.    Revisar e informar el grado de cumplimiento de los controles definidos por las Unidades Administrativas en materia de seguridad de la información, y
XXI.   Proponer políticas y lineamientos que le permitan al Instituto asegurar la continuidad de las operaciones en caso de presentarse una situación de contingencia.
...
TRANSITORIOS
PRIMERO.- El presente Acuerdo entrará en vigor al día siguiente de su publicación en el Diario Oficial de la Federación;
SEGUNDO.- La unidad administrativa a que se refiere el presente Acuerdo deberá realizar a la brevedad las modificaciones que correspondan en las disposiciones y documentos aplicables a su adscripción y funcionamiento, y
TERCERO.- Se derogan todas aquellas disposiciones administrativas que se opongan o contravengan lo previsto en el presente Acuerdo.
Ciudad de México, a 27 de abril de 2023.- El Secretario Ejecutivo, Mtro. Gabriel Ángel Limón González.- Rúbrica.
(R.- 537704)