Este 10 de marzo se publicó comunicación "A" 7724 de Banco Central de la República Argentina (BCRA), en la que se establecen los nuevos requisitos mínimos para la gestión y control de los riesgos de tecnología y seguridad de la información, la prevención del fraude y la ciberesiliencia para las Entidades Financieras de Argentina, estos cambios se encuentran alineados a las recomendaciones internacionales que establecen parámetros mínimos y prácticas adecuadas para las entidades financieras en aspectos relacionados con gobernanza, la gestión de los riesgos de la tecnología y seguridad de la información, la continuidad del negocio, la tecnología, la infraestructura informática, la gestión de ciberincidentes y aspectos clave para mejorar la ciberresiliencia del sistema financiero.

Esta nueva comunicación viene a reemplazar en su esencia a la comunicación "A" 4609 de Requisitos mínimos de gestión, implementación y control de los riesgos relacionados con tecnología informática y sistemas de información, emitida en diciembre del 2006. Los cambios indicados en esta comunicación entrarán en vigencia o aplicabilidad a los 180 días corridos desde su difusión.

BCRA: nuevas normas para bancos en materia de tecnología y seguridad

La nueva norma establece un marco regulatorio más amplio y detallado que busca garantizar la seguridad y confidencialidad de los datos e información de los clientes de las entidades financieras, así como proteger los sistemas y aplicaciones utilizados para las operaciones financieras.

BCRA: nuevas normas para bancos en materia de tecnología y seguridad

Dentro de las principales novedades que introduce esta comunicación podemos mencionar:

• Se toman los marcos de gestión de riesgos de tecnología y seguridad de la información como parte de la gestión de riesgos integral de la entidad.
• Busca alinear los objetivos de resiliencia operacional e incluir procesos de mejora continua en los marcos de gestión.
• Promover la adopción de marcos de referencia y estándares internacionales en materias de tecnología y seguridad de la información.
• Como parte de la adopción de nuevos modelos de riesgo, las entidades deberán establecer su marco de gestión acorde con sus procesos operaciones y estructura, lo que da una visión de operaciones más afín a la realidad de cada Entidad.
• Se refuerza la definición de roles y responsabilidades dentro de las estructuras de las entidades financieras, destacando las responsabilidades correspondientes a los directorios y alta gerencia, en las que destacan la responsabilidad de cada una de sus de sus miembros en términos del conocimiento de la materia asociada a tecnología y seguridad de la información.
• Se comienzan a ver nuevos conceptos y el deber de evaluación de riesgos que no se veían en normativas anteriores, relacionados al desarrollo y utilización de inteligencia artificial o aprendizaje automático (machine learning).
• Establece un marco de gestión de datos más profundo en términos de la gestión, control, uso y almacenamiento, en los que abarca los datos de los clientes, datos contables y datos transaccionales.
• Refuerza el contexto actual vinculado con la evaluación de escenarios de ciberincidentes con relacionados con Datos Personales.

Dentro del contexto de control mencionado en la norma para la gestión de modelos de inteligencia artificial o aprendizaje automático, indica el deber de las entidades de considerar en sus análisis de riesgos la evaluación de los datos y algoritmos usados para su tratamiento, con el fin de verificar la privacidad y la posible afectación a los usuarios, promoviendo la confiabilidad en el uso de este tipo de algoritmos, con el fin de evitar la existencia de sesgos o discriminación contra grupos de cliente o usuarios de los productos o servicios provistos por las Entidades.

Banco Central: nueva normativa

La materia de Seguridad de la Información es una de las mas destacadas en esta norma, reforzando las medidas establecidas en la comunicación "A" 4609 y lineamientos adicionales emitidos por el BCRA, como es el uso de factores de autenticación, cifrado de dispositivos, entre otros, también se incorpora una sección de evaluación para la Gestión de ciberincidentes, contemplando el registro, investigación, preparación de respuesta, ejercicios y pruebas, comunicación y notificación ante los mismos.

En materia de continuidad del negocio, establece el deber de considerar para el desarrollo del marco de gestión las disposiciones vigentes sobre "Lineamientos para la Gestión de Riesgos en las Entidades Financieras", "Agregación de Datos sobre Riesgos y Elaboración de iInformes" y "Lineamientos para la respuesta y recuperación ante ciberincidentes", así como, principios para el manejo de la Ciberresilencia en la gestión de la continuidad.

En conclusión, la Comunicación "A "7724 representa una actualización y fortalecimiento de las regulaciones en materia de tecnología y seguridad de la información para el sistema financiero argentino, estableciendo nuevos requisitos y controles para garantizar la seguridad y confidencialidad de los datos e información de los clientes, así como proteger los sistemas y aplicaciones utilizados para las operaciones financieras.

Carlos Garcia, Socio de Soluciones Informáticas y Compliance de Lisicki, Litvin & Asociados