Internacionalmente se ha generado un nuevo concepto sobre la seguridad de los sistemas de información y la seguridad informática, lo cual requiere de una adecuada sinergia entre aquello que la tecnología pone a nuestra disposición para dar seguridad a los bancos de datos, a los sistemas, y a la normativa jurídica interna que conforma el círculo de la seguridad.  

Introducción

Conforme avanza la tecnología, surgen nuevas necesidades de regulación para salvaguardar la información, tanto de las entidades como de los usuarios, para hacer frente a los ciberdelitos y prevenir fraudes.

Es así que el Banco Central de la República Argentina sancionó la Comunicación “A” 7724, mediante una resolución con fecha el 10 de febrero del 2023, con el objetivo de actualizar la normativa regulatoria de la seguridad de los sistemas de información en las entidades financieras, receptando el nuevo concepto moderno entre tecnología y derecho a fin de acortar el riesgo de las organizaciones. 

Junto con ello se dictó su texto ordenado (T.O.) mediante la Comunicación “A” 7777 del BCRA, con fecha el 01 de junio de 2023.  

A través de ella, se establecen los requisitos mínimos para la gestión y control de los riesgos de tecnología y seguridad de la información, la prevención del fraude y la ciberesiliencia para las Entidades Financieras de Argentina. Esta nueva circular representa una importante actualización en la gestión de los riesgos de la tecnología y seguridad de la información, la continuidad del negocio, la tecnología, la infraestructura informática y la gestión de ciberincidentes.    

La misma establece la obligación de las instituciones financieras que operen en la República Argentina de definir un proceso que impulse responsabilidades, políticas, y procedimientos para la gestión de activos de información que brindan apoyo al negocio y a los servicios de la entidad, tanto propios, como delegados a terceras partes.     

La resolución se ha dictado con la finalidad de actualizar, y dejando sin efecto, la precedente Comunicación “A” 4609, del año 2006, teniendo especialmente en cuenta el contexto actual en función de las nuevas tecnologías. Es por esto que, en la nueva comunicación 7724, se incluyen reglamentaciones vinculadas a los activos de Tecnología Informática (IT). 

Las entidades financieras deberán asegurar la implementación de prácticas efectivas para el control interno y la gestión de riesgos de su entorno operativo de tecnología y seguridad de la información. En este sentido, el BCRA ha dispuesto que las instituciones financieras, para cumplir con la regulación establecida, deben realizar como mínimo las siguientes tareas, entre otras:  

1. Definir e implementar un marco de gestión de riesgos de la tecnología y la seguridad de la información como parte de la gestión integral de riesgos de la entidad.  

2. Definir marcos para el gobierno y la gestión de la tecnología y seguridad de la información, acordes con la gestión del riesgo.  

3. Alinearse con los objetivos de resiliencia operacional.  

4. Incluir procesos de mejora continua en los marcos de gestión. 

Además, deben promover una cultura de gestión de riesgos de tecnología y seguridad de la información.

La nueva comunicación establece como necesaria la implementación del modelo de las tres líneas de defensa, el cual implica la definición de los distintos roles y responsabilidades, según el modelo que divide a la responsabilidad entre operaciones, controles y auditorías internas.   

En tal sentido, es fundamental que las entidades financieras realicen una auditoría y revisión de su estado actual de ciberseguridad para cumplir con las nuevas regulaciones y garantizar la seguridad de sus clientes y su propia estabilidad financiera.   

A su vez tienen por objetivo la gestión integral y la optimización de los recursos tecnológicos, su alineación con las necesidades del gobierno, la supervisión adecuada de las actividades de tecnología de la información y su gestión sobre los riegos relacionados.  

Todos aquellos responsables de las áreas de tecnología y seguridad deberán coordinar, monitorear e informar la ejecución de las actividades, definidos por la Alta Gerencia/Dirección Ejecutiva y deberán ejecutarse en la República Argentina. 

Gobierno de Tecnología y Seguridad de la información

Las entidades deben establecer un comité de gobierno de tecnología y seguridad de la información y lo integrara un miembro del Directorio o autoridad equivalente, miembros de la Alta Gerencia, y responsables de las áreas de tecnología y seguridad. Sus responsabilidades, entre otras, serán las siguientes: 

• Vigilar y evaluar el funcionamiento del marco de gestión de tecnología y de gestión de seguridad de la información y contribuir a la mejora de su efectividad.  
• Supervisar las definiciones, la priorización y el cumplimiento de los planes de tecnología y seguridad de la información.  
• Supervisar la efectividad del marco de gestión de continuidad del negocio y los mecanismos que aseguren resiliencia tecnológica.  

• Supervisar la ejecución de las acciones correctivas tendientes a regularizar o minimizar las observaciones surgidas de los informes de las auditorías sobre los aspectos de tecnología y seguridad de la información. 
• Monitorear los resultados del marco de gestión de riesgos relacionados con tecnología y seguridad de la información y verificar que los planes de mitigación sean ejecutados de acuerdo con los cronogramas definidos. 
• Supervisar la gestión integral de ciberincidentes y los reportes asociados. 
• Mantener informado al Directorio de los temas tratados y las decisiones tomadas. 

Deberán establecerse, en todo momento, formalmente los roles y las responsabilidades que mitiguen los riesgos asociados a una superposición de funciones y a la inexistencia de controles por opción de intereses. Las funciones relacionadas con el gobierno y la gestión de la tecnología y la seguridad de información no podrán ser acumuladas con las funciones vinculadas a: Recursos Humanos, Relaciones Institucionales, Administración Contable, Gestión Financiera, Gestión Comercial, Marketing, Gestión de Riesgo Integral y Auditoría Interna. 

Gestión de Riesgos y de Tecnología y Seguridad de la información

Las entidades deberán establecer un área de gestión de riesgos relacionados con la tecnología y seguridad de la información, en correspondencia con los textos ordenados sobre “Lineamientos para la Gestión de Riesgos en las Entidades Financieras” y “Agregación de Datos sobre Riesgos y Elaboración de Informes”. 

Además, las áreas de tecnología de la información, junto con las áreas de negocio, deberán definir e implementar un proceso de gestión de portafolio que permita capturar, evaluar, priorizar, programar y ejecutar los requerimientos del negocio.  Este proceso deberá tener en cuenta los siguientes objetivos:  

• Contribuir a la planificación estratégica de tecnología de la información, de acuerdo con las necesidades del negocio.  
• Proveer la información necesaria para la planificación de actividades tomando en consideración los proyectos, los recursos, costos y prioridades.  
• Rendir cuentas respecto de la utilización del presupuesto de tecnología. Los procesos establecidos deberán estar alineados con la estrategia de tecnología de la información, la arquitectura empresarial, el proceso de gestión de presupuesto y de proyectos. 

Las entidades deberán definir un proceso que establezca responsabilidades, políticas y procedimientos para la gestión de datos, que abarque todas las etapas de su ciclo de vida y sea acorde a sus operaciones, procesos y estructura. Las políticas y procedimientos que se pongan en marcha deben considerar: 

• La participación del propietario del dato o la información.  
• Los criterios de integridad, disponibilidad, confidencialidad y valor para el negocio.  
• La frecuencia y recurrencia del uso de los datos y la información, la modalidad, el formato y el tiempo durante el cual se debe almacenar. 

Gestión de activos de información

Las entidades deberán mantener un inventario detallado y actualizado de sus activos de información, acorde con los objetivos y la política de gestión de activos. Los inventarios deberán contener información que permita identificar, como mínimo, los aspectos referidos a:   

• La identificación de los propietarios de los activos de información.  
• La ubicación, la configuración, las interconexiones internas y externas, y las interdependencias de cada uno de los activos de información.  
• La clasificación del activo considerado. 

Inteligencia artificial

Las entidades deberán identificar y documentar el objetivo del uso, por sí o por terceros, de software que utilice algoritmos de inteligencia artificial o aprendizaje automático en sus proyectos o procesos. Además, deberán establecer roles y responsabilidades para la definición del contexto en que operan los sistemas de inteligencia artificial o aprendizaje automático, la identificación de los modelos, algoritmos y los conjuntos de datos utilizados, y la definición de métricas y umbrales precisos para evaluar la confiabilidad de las soluciones implementadas.  
Los análisis de riesgos correspondientes deberán considerar, como mínimo:  

• Los modelos adoptados, su entrenamiento y las posibles discrepancias con la realidad del contexto;  
• Los datos utilizados para el entrenamiento, su volumen, complejidad y obsolescencia.  
• La privacidad y la afectación a los usuarios en su calidad de consumidores.  
• El nivel de madurez de los estándares de pruebas de software y las dificultades para documentar las prácticas basadas en IA. 

Estrategia de seguridad de la información 

Las entidades deberán definir una estrategia de seguridad de la información alineada con la estrategia del negocio y acorde a sus operaciones, procesos y estructura. Deberá ser consistente con la estrategia de tecnología de la información, la arquitectura empresarial y los resultados de la gestión de riesgos de tecnología y seguridad. Asimismo, deberá considerar:  

• Las amenazas y las vulnerabilidades asociadas a cada entorno tecnológico, su impacto en el negocio y los estándares internacionales vigentes.  
• Los recursos humanos y tecnológicos propios de la entidad. 
• Requerimientos de los organismos de regulación y control, y otros entes externos vinculados directa o indirectamente.  
• Las dependencias de terceras partes. 

Se incorporarán en el marco normativo normas y procedimientos que permitan gestionar, controlar y documentar las actividades de los procesos para la gestión de la seguridad de la información referidos a: 

• Control de accesos.  
• Contraseñas.  
• Gestión de vulnerabilidades.  
• Detección y monitoreo.  
• Criterios para compartir información referida a amenazas y vulnerabilidades.  
• Dispositivos de la entidad asignados a los usuarios.  
• Dispositivos propios del usuario utilizados en la entidad.  

• Modelado de amenazas.  
• Aspectos específicos de desarrollo seguro de acuerdo con las metodologías utilizadas.  
• Detección y regularización de software de usuario no autorizado. 
• Estándares de informática forense. 

Programas de capacitación y concientización

Las entidades deberán establecer programas de capacitación y concientización en materia de seguridad de la información, medibles y verificables, que alcancen a toda la organización, terceros, clientes y usuarios de servicios financieros. Estos programas deberán contemplar los riesgos de tecnología y seguridad de la información, y los aspectos relacionados con la gestión de ciberincidentes.

El contenido de los planes de capacitación destinados a los usuarios internos y de terceros deberán considerar, al menos:  

• Los riesgos en el uso de dispositivos propios en la organización.  
• Los riesgos en el uso de dispositivos asignados por la entidad.  
• Los aspectos específicos de la metodología de desarrollo seguro.  
• Los riesgos en el uso de software o aplicaciones no autorizadas.  
• Los riesgos de la incorporación de tecnologías no autorizadas (shadow IT) 

Seguridad física y medioambiental

Las entidades deberán diseñar e implementar controles que les permitan evitar la existencia de puntos únicos de falla y mitigar los riesgos vinculados con la seguridad física de las áreas destinadas al procesamiento, la transmisión y el almacenamiento de información para evitar accesos no autorizados o detectarlos. Se deberán establecer procedimientos para:  

• El mantenimiento preventivo y la realización de pruebas periódicas de los dispositivos de control ambiental y de los equipos de energía redundantes.  
• La aplicación de técnicas para la destrucción de activos acorde con su clasificación.  
• La autorización y el registro del retiro y el traslado de activos desde las instalaciones.  
• El monitoreo permanente de la efectividad de las medidas de protección implementadas. 

Seguridad de los dispositivos portátiles

Se deberán establecer controles de seguridad para los dispositivos propios de la entidad asignados a los usuarios internos de acuerdo con la clasificación de los datos y la información, así como la gestión de vulnerabilidades y amenazas, que contemplen, como mínimo:  

• Las configuraciones de seguridad de los dispositivos.  

• El cifrado de la información.  
• La limitación de instalación de software no autorizado. 

Asimismo, se deberán implementar controles de seguridad para limitar la conexión y el acceso a las redes, sistemas e información a los dispositivos propios de los usuarios internos o contratistas. 

Evaluación de riesgos y escenarios

Las entidades deberán realizar evaluaciones periódicas de los riesgos de escenarios disruptivos. En concordancia con el marco establecido para la gestión integral de riesgos, se deberán analizar los riesgos asociados con la ubicación geográfica, la susceptibilidad a las amenazas y la proximidad con infraestructuras críticas de todas las instalaciones, incluidas las provistas por terceras partes. Además, para los escenarios que correspondan, se deberán evaluar las amenazas de interrupción que pudieran afectar de manera simultánea a los distintos sitios. 

Gestión de crisis y estrategias de comunicación

La entidad deberá designar responsables para la toma de decisiones y la elaboración de planes de gestión de crisis. Además, deberá establecer procedimientos ante situaciones de crisis que estén vinculados con la gestión de incidentes y consideren escenarios de disrupción. 
Asimismo, deberán definir estrategias de comunicación que alcancen:  

• A los participantes en la ejecución de los procedimientos, tanto de la entidad, como de terceros.  
• A las autoridades que correspondan y a otros interesados.  

Se deberán establecer procedimientos de comunicación que aseguren la notificación a las partes interesadas, la definición de listas de contactos, y la participación de las áreas técnicas en la definición del contenido de la comunicación. 

Gestión de ciberincidentes 

En concordancia con los textos anteriormente ordenados sobre “Lineamientos de respuesta y recuperación ante ciberincidentes” y “Protección de usuarios de Servicios Financieros”, las entidades deberán establecer un marco de gestión de ciberincidentes que contemple medidas técnicas y organizativas que les permitan minimizar impactos y contener su propagación mediante la aplicación de controles para la respuesta y recuperación. 

Las entidades deberán establecer y mantener un registro completo de sus ciberincidentes que permita la identificación, la trazabilidad y la evidencia de las acciones tomadas hasta su cierre. Para ello, se deberá establecer un repositorio para el registro del ciberincidente y las evidencias que permita asegurar su integridad, trazabilidad, disponibilidad y confidencialidad.  

Además, las entidades deberán realizar un registro del seguimiento de las actividades hasta la identificación de la causa raíz de los ciberincidentes a fin de asegurar su resolución y evitar su recurrencia. Cuando el origen no se encuentre bajo control de la entidad, también deberá dejarse evidencia de las acciones tomadas para gestionar su seguimiento. 

Desarrollo, adquisición y mantenimiento de “software”

Las entidades deberán diseñar e implementar sistemas de información que les permitan registrar y procesar la totalidad de sus operaciones de negocio. Se deberán implementar controles para la identificación única del cliente y el registro de los datos obligatorios de acuerdo con las normas vigentes. Además, deberán realizarse procesos periódicos de control y depuración. 

Las entidades deberán definir un proceso con el objetivo de que el software cumpla con los estándares de calidad y seguridad, las buenas prácticas, y el marco legal y normativo. Los roles y responsabilidades relativos al aseguramiento de la calidad deberán ser independientes de las áreas de desarrollo y prueba. 

Canales electrónicos

De modo referencial y con el objetivo de facilitar la implementación de los requisitos de seguridad determinados en esta sección, la Gestión de Seguridad de los Canales Electrónicos se entiende como el ciclo de procesos que reúnen distintas tareas, especialidades y funciones, de manera integrada e interrelacionada, repetible y constante para la administración, planificación, control y mejora continua de la seguridad informática en los Canales Electrónicos. (Cajeros Automáticos, Terminales de Autoservicio, Banca Móvil, Telefónica o por Internet, Puntos de Venta y Plataforma de Pagos Móviles).