EY se refiere a la organización global, y puede referirse a una o más, de las firmas miembro de Ernst & Young Global Limited, cada una de las cuales es una entidad legal independiente. Ernst & Young Global Limited, una compañía británica limitada por garantía, no brinda servicios a los clientes.
Cómo EY puede ayudar
-
Descubre cómo los equipos de estrategia digital de EY-Parthenon aprovechan los datos y la tecnología para ayudar a mejorar los negocios, impulsar las oportunidades de crecimiento y acelerar la transformación.
Leer más
Tras la pandemia que aceleró la transformación digital del negocio financiero, había una necesidad real de reformular y actualizar los requerimientos en materia de Tecnología y Seguridad de la Información.
La Comunicación A 7724 que emitió el pasado 10 de marzo el Banco Central de la República Argentina (BCRA) define los requisitos mínimos para la gestión y control de los riesgos de tecnología y seguridad, en reemplazo de la Comunicación A 4609 y sus modificatorias.
Las Entidades Financieras tendrán un plazo de 180 días para adaptarse a esta normativa, es decir, hasta el 10 de septiembre de 2023. Si bien en general ya estaban abordando estas áreas en mayor o menor medida, la nueva normativa las obliga a realizar una revisión integral del marco de control interno a efectos de adaptarlo a los nuevos requerimientos.
¿Qué modificaciones implica esta nueva norma del BCRA?
La comunicación incorpora factores como:
- Cambio de enfoque: cada vez se orienta más a una Gestión de Riesgos de Tecnología y Seguridad de la Información e involucrando al C-Level en estos aspectos.
- Gestión de Ciberincidentes: requerimientos para la preparación de la respuesta ante ciberincidentes, así como su investigación, comunicación y la prueba del plan respectivo. Además de definir una sección específica para la Gestión de Ciberindidentes, el concepto se aborda también en las secciones relacionadas a Gestión de Terceras Partes, Continuidad y Seguridad de la Información.
- Inteligencia Artificial: medidas como el análisis de riesgo de los modelos de Inteligencia Artificial utilizados, de los datos destinados para entrenamiento de los sistemas y la comunicación a los clientes cuando se estén empleando estas tecnologías.
- Autenticación: requisitos relacionados a los factores de autenticación a utilizar por parte de los clientes.
- Gestión del Riesgo: las entidades deberán alinear la gestión de riesgos de Tecnología y Seguridad de la Información a la Gestión del riesgo operacional y a los textos ordenados relacionados. Además, se detallan una serie de riesgos específicos que, como mínimo, deberán incluirse en la Evaluación del riesgo, como la resiliencia tecnológica y la obsolescencia de los sistemas.
- Gobierno: la normativa enfatiza las responsabilidades del Directorio y la Alta Gerencia en la aprobación, supervisión y monitoreo del marco de controles de Tecnología y Seguridad Informática, más allá de la integración de un Comité de Gobierno.
- Relación con terceras partes: si bien la normativa de Expansión de Entidades Financieras (Comunicación A 6375) define los requisitos de control para las actividades que se encuentran tercerizadas, la Com. 7724 requiere un marco de gestión de la relación con las terceras partes y establece aspectos mínimos que se deben considerar en la formalización de la relación. Además, requiere auditorías complementarias realizadas por las propias entidades, más allá de aquellas que suelen ofrecer las organizaciones de servicio, como por ejemplo los reportes SOC1.