Fuerte malestar entre bancos por nueva regulación informática

El sistema financiero argentino sufrirá una profunda transformación a raí­z de una medida dispuesta por el Banco Central (BCRA) para mejorar los procesos y estándares de la tecnologí­a informática (TI) que utilizan las entidades bancarias.

El cambio que establece la comunicación 4609 de la autoridad monetaria llegará también a los clientes de los bancos y las tarjetas de débito y de crédito, ya que deberán usar claves de por lo menos 8 caracteres, que necesitarán combinar mayúsculas, minúsculas números y signos especiales de teclado, además de ser cada una de ellas distinta según el servicio a usar.

Las modificaciones dispuestas por la norma del BCRA provocaron un gran malestar en las entidades financieras, porque consideran impracticables las tareas a cumplir en el plazo establecido por la comunicación, que vencerá el 1 de julio próximo.

La medida del BCRA, difundida el 29 de diciembre pasado y con 180 dí­as de plazo para implementarla, fue justificada por especialistas de la consultora KPMG, quienes señalaron que el sistema financiero argentino necesita "con urgencia" una actualización para que tenga un nivel similar al de los sistemas de la región, como por ejemplo Chile y México. En ese sentido, la norma funcionarí­a como un modo de reinserción del sistema argentino al resto del mundo.

KPMG organizó un desayuno sobre el tema que tuvo una convocatoria que superó la capacidad del salón, de casi un centenar de asientos, que fueron ocupados por directores y encargados de las áreas de TI de bancos de la plaza local. El éxito de la convocatoria obligó a la consultora a planificar otro evento en mayo próximo.AntecedentesLa TI de los bancos ya fue objeto de tratamiento por el BCRA en el año 2000, una vez superado el "sí­ndrome del milenio" o Y2K. Ese año, la autoridad monetaria publicó la comunicación A 3198, de nueve páginas de extensión, que fijaba el marco mí­nimo al cual debí­a ajustarse la gestión de tecnologí­a y sistemas de las entidades financieras. Pero ahora la comunicación A 4609, de 36 páginas, actualiza, complementa y profundiza a su predecesora.

Detrás de estos cambios está el marco de Basilea II, un sistema mundial de operación bancaria, que detecta que "el desarrollo del riesgo operativo es reflejo del cambio en el perfil de riesgo de las instituciones financieras". También influye el contexto de un alto uso de tecnologí­as de automatización, el auge del comercio electrónico, las grandes fusiones y adquisiciones que ponen a prueba la integración de sistemas y procesos y la tercerización de servicios (outsourcing).

El desarrollo de la norma tiene en cuenta los fundamentos y contenidos de Basilea II en cuanto a tecnologí­a y sistemas.

¿Pero qué es la comunicación A 4609? Un compendio de exigencias y recomendaciones técnicas y metódicas, cuyo fin último es asegurar un estándar mí­nimo de calidad de gestión en las áreas de sistemas y tecnologí­a. En ese sentido, todas las funciones y actividades que desarrolla el área de sistemas y tecnologí­a está alcanzada.

También reproduce el ordenamiento temático de la Norma ISO/IEC 17799, reconocida a nivel mundial como la mejor práctica a aplicar para gestionar los riesgos de tecnologí­a y sistemas.Los cambios que establece la nueva norma respecto a la anterior son profundos:

• Le asigna al directorio la responsabilidad primaria por la fijación de polí­ticas y procedimientos.
• Aplica un mayor rigor en las normas de funcionamiento del Comité de Tecnologí­a y Sistemas: Por ejemplo, establece una frecuencia de reunión, la conservación de la documentación, la participación de un representante del directorio como miembro permanente.
• Ordena cambios en la estructura organizativa del área de sistemas, con una importante segregación de funciones y/o controles compensatorios en caso de imposibilidad de adopción.
• Establece mayor rigor en los controles de seguridad fí­sica.
• Generaliza los contenidos a proteger, e introduce en ese sentido el concepto de "activos de información".
• Profundiza las exigencias inherentes a la continuidad de procesamiento.
• Formaliza en forma explí­cita los requisitos para el procesamiento de datos, e incorpora exigencias especí­ficas y genera un marco para control de gestión del área.
• Amplí­a alcances y contenidos para el concepto de "banca electrónica", identificando nuevos productos y servicios a controlar, como la banca por Internet, dispositivos móviles como teléfonos celulares o asistentes digitales y la banca telefónica.
• Intensifica los controles sobre la delegación de actividades propias de la entidad en terceros.

Consecuencias"Esto existe, no va para atrás, afecta al planeamiento estratégico del banco, y obliga a mejorar la comunicación en toda la organización", evaluó Carlos Lugani, del área de servicios de riesgo de la consultora.

Diego San Esteban, de la misma área de KPMG, recomendó a los ejecutivos presentes a poner manos a la obra. "Son tareas que insumen muchos recursos y tiempo". En ese sentido, sugirió tener listo un plan de acción para dentro de tres meses, cuando comiencen las primeras inspecciones del BCRA. "la presión del Banco Central dependerá de ese plan de acción".Efectos prácticosDesde KPMG se indicaron algunos casos concretos de las consecuencias de esta norma:

• Los bancos deberán cambiar la polí­tica de contraseñas de los clientes, que deberán usar como mí­nimo 8 caracteres, combinando mayúsculas, minúsculas, números y sí­mbolos especiales del teclado, como * o &. "Se le va a ser muy difí­cil para los usuarios, porque deberán recordar distintas contraseñas para distintos servicios, y no podrán combinarlas las claves con sus nombres. Esto traerá también dolores de cabeza a la mesa de ayuda", dijo San Esteban.
• También los bancos deberán capturar la pantalla de la PC que registre el incidente y guardarlo por dos años.
• Los cajeros automáticos deberán tener, cada uno de ellos, un sistema para registrar su actividad, que puede ser impreso o en un disco óptico, y guardar esos datos por 10 años. Esto obligará a modificar todos estos puestos automáticos de atención al público.
• Algo similar ocurrirá en la atención telefónica. "Deberá registrarse el nombre de la persona que atendió al cliente y el número de ticket generado y guardarlo por 10 años", dijo San Esteban.
• En todas las operaciones de tarjetas de débito y crédito se pedirá una clave, que deberá ser distinta del cajero automático y la banca electrónica.
• Todas las comunicaciones con la banca por celular serán encriptadas.
• "Todos los procedimientos internos del banco", en cuanto a TI, "deberán ser comunicados, firmados y guardados por 10 años".
• Los bancos deberán implementar procesos de educación y comunicación interna, que llevarán entre uno y dos años, según la evaluación desde KPMG.

EstadosSegún San Esteban, la banca local se encuentra en tres fases ante esta norma: "Hay bancos que tiene un modelo de seguridad, otros que tienen parte de un modelo y otros que inician o tienen poco del modelo". "Los primeros deberán hacer algunos cambios en contraseña, los segundos deben definir un plan de acción y los terceros necesitan con urgencia ponerse a trabajar", alertó. "Si muchas instituciones ya no cumplí­an la anterior comunicación, ahora van a tener que trabajar mucho".MalestarLa fecha de inicio de la medida, el 1 de julio próximo, provoca el malestar en los bancos, que descuentan que habrá una prórroga de no menos de 180 dí­as o, en su defecto, la flexibilización por parte del inspector en determinadas exigencias, considerando "no vinculante" con la calificación del área al incumplimiento total o parcial que observe sobre el tema.

"Todas las tareas en los 180 dí­as establecidos por la circular son imposibles de llevar a cabo, en algunos puntos se van a alargar los tiempos, pero seguro que lo van a implantar" coincidieron los dos analistas de KPMG.

"La norma sorprendió al sistema financiero y no fue consultada ni en el caso de los borradores, no hubo respuesta a las objeciones", dijo un ejecutivo de un banco en el desayuno, quien destacó que uno de los puntos cuestionados por los bancos son los cambios en los cajeros automáticos. "Todo esto es impracticable en 60 dí­as", agregaron otros ejecutivos, quienes reconocieron sin embargo "las bondades de este sistema" de seguridad.

Los resultados de las auditorias del BCRA sobre la TI de los bancos permitirá calificarlos, aunque estas notas no serán públicas, sino que se agregarán a otras variables para la evaluación de la autoridad monetaria sobre la entidad financiera.César Dergarabediancdergarabedian@infobae.com © Infobaeprofesional.com