Mano sostiene un mundo digital.

Alinear la estrategia de tecnología con el negocio

Temas relacionados

Tras la pandemia que aceleró la transformación digital del negocio financiero, había una necesidad real de reformular y actualizar los requerimientos en materia de Tecnología y Seguridad de la Información.
 

La Comunicación A 7724 que emitió el pasado 10 de marzo el Banco Central de la República Argentina (BCRA) define los requisitos mínimos para la gestión y control de los riesgos de tecnología y seguridad, en reemplazo de la Comunicación A 4609 y sus modificatorias.
 

Las Entidades Financieras tendrán un plazo de 180 días para adaptarse a esta normativa, es decir, hasta el 10 de septiembre de 2023. Si bien en general ya estaban abordando estas áreas en mayor o menor medida, la nueva normativa las obliga a realizar una revisión integral del marco de control interno a efectos de adaptarlo a los nuevos requerimientos.
 

¿Qué modificaciones implica esta nueva norma del BCRA?
 

La comunicación incorpora factores como:

  • Cambio de enfoque: cada vez se orienta más a una Gestión de Riesgos de Tecnología y Seguridad de la Información e involucrando al C-Level en estos aspectos.
  • Gestión de Ciberincidentes: requerimientos para la preparación de la respuesta ante ciberincidentes, así como su investigación, comunicación y la prueba del plan respectivo. Además de definir una sección específica para la Gestión de Ciberindidentes, el concepto se aborda también en las secciones relacionadas a Gestión de Terceras Partes, Continuidad y Seguridad de la Información.
  • Inteligencia Artificial: medidas como el análisis de riesgo de los modelos de Inteligencia Artificial utilizados, de los datos destinados para entrenamiento de los sistemas y la comunicación a los clientes cuando se estén empleando estas tecnologías.
  • Autenticación: requisitos relacionados a los factores de autenticación a utilizar por parte de los clientes.  
  • Gestión del Riesgo: las entidades deberán alinear la gestión de riesgos de Tecnología y Seguridad de la Información a la Gestión del riesgo operacional y a los textos ordenados relacionados. Además, se detallan una serie de riesgos específicos que, como mínimo, deberán incluirse en la Evaluación del riesgo, como la resiliencia tecnológica y la obsolescencia de los sistemas.  
  • Gobierno: la normativa enfatiza las responsabilidades del Directorio y la Alta Gerencia en la aprobación, supervisión y monitoreo del marco de controles de Tecnología y Seguridad Informática, más allá de la integración de un Comité de Gobierno.
  • Relación con terceras partes: si bien la normativa de Expansión de Entidades Financieras (Comunicación A 6375) define los requisitos de control para las actividades que se encuentran tercerizadas, la Com. 7724 requiere un marco de gestión de la relación con las terceras partes y establece aspectos mínimos que se deben considerar en la formalización de la relación. Además, requiere auditorías complementarias realizadas por las propias entidades, más allá de aquellas que suelen ofrecer las organizaciones de servicio, como por ejemplo los reportes SOC1.

Esta transformación implica repensar el modelo de gestión de riesgos tecnológicos, priorizando los riesgos de ciberseguridad y fraude.


Gap Analysis: el enfoque de EY

La comunicación hace hincapié en las medidas de seguridad para la autenticación tanto de empleados como de terceros y clientes, utilizando canales seguros, protegiendo la integridad y privacidad de los datos, considerando autenticación multifactor, entre otras medidas.

El desafío para las Entidades Financieras

El desafío para las Entidades Financieras consiste en realizar un rápido entendimiento de los cambios reales que requieren sus procesos en relación con lo requerido por la norma y lograr implementarlos en los tiempos solicitados (Gap Analysis e identificación y priorización de iniciativas y su presupuesto asociado).

La transformación digital nos obliga a estar siempre abiertos a los cambios que el contexto requiere. Hoy, las medidas de seguridad ante ciberataques, fraudes digitales y protección de datos sensibles son más que necesarias, dadas las vulnerabilidades que el contexto pandémico nos dejó, intentando brindar servicios bajo un entorno de control “seguro” tanto para los bancos como para sus clientes.

Resumen

Había una necesidad real de reformular y actualizar los requerimientos en materia de Tecnología y Seguridad de la Información, principalmente tras la pandemia que aceleró la transformación digital del negocio financiero. Esta transformación implica repensar el modelo de gestión de riesgos tecnológicos, priorizando los riesgos de ciberseguridad y fraude.

Acerca de este artículo