You have not selected any currencies to display

Bl0ckch41nnewsIntroducción a la norma BCRA A7724 de Riesgos de Tecnologías y Seguridad de la Información

78


Por Marcela Pallero (@Marce_I_P) Ex-analista en la Gerencia Principal de Normas de Seguridad de la Información para Entidades.

Directora de Seguridad en TIC en la Fundación Sadosky

La
Comunicación BCRA A 7724
[PDF], publicada el 10 de marzo de 2023 por el Banco Central de la República
Argentina, derogó el texto ordenado anterior, que constituía un compendio de
normas en la materia conformando un documento con todas las actualizaciones.
Entre dichas normas, se encontraba la
Comunicación A 4609
[PDF] de 2006. Muchas veces se referenciaba al texto ordenado completo con
esta norma, lo que resultaba ciertamente confuso.
La comunicación define su entrada en vigencia a los 180 días desde su
difusión.

El
texto ordenado que se derogó [PDF] tenía un abordaje obsoleto en cuanto al tratamiento de la
tecnología en una entidad financiera. Además, ciertos temas relevantes, hoy en
día, como la gestión de los datos, los ciberincidentes y la gestión del ciclo
de vida del desarrollo, entre otras, no se abordaban o tenían un alcance muy
limitado.

Para cambiar esta situación, la nueva comunicación aprueba los
«Requisitos mínimos para la gestión y control de los Riesgos de tecnología
y seguridad de la información»

y fue elaborada bajo el área de regulación del BCRA, en conjunto con la de
Supervisión.

Contiene 10 secciones, la sección 11 es sobre canales electrónicos y la 12
es un glosario.

Aborda nuevos aspectos y temas que requerían necesariamente de una
actualización para reflejar el estado de arte actual en las entidades
bancarias y financieras.

Si bien cada sección se aboca a un tema en particular, podría decirse que hay
múltiples referencias cruzadas entre los temas porque así es como funciona en
la práctica. La norma toma algunas referencias en el marco de gobierno y
gestión de las tecnologías y la información conocido como COBIT 2019,
elaborado por ISACA; referencias de las publicaciones del NIST y; también
otros estándares actualizados, como la ISO 27001 de 2022.

Para resaltar los grandes cambios que trae esta nueva norma, podemos
abordarlos desde varios enfoques. Por ejemplo, tomando los avances
tecnológicos, el texto actual sigue el principio de neutralidad tecnológica
para evitar que pueda volverse obsoleta en muy poco tiempo al atarse a una
tecnología en particular, lo que ocurría con el texto anterior que tenía
referencias a «Cintas o CD para hacer respaldos».

Cuando se establecen requisitos para el intercambio de datos entre entidades,
la norma refiere a controles con objetivos a cumplir como principio general,
más allá de cualquier tecnología o canal y de otros requerimientos que luego
se establecen en otras secciones. Estas secciones son abordadas desde el
enfoque de procesos como los de infraestructura tecnológica y procesamiento o
desarrollo, adquisición y mantenimiento de software.

El texto actual sigue los estándares y adelantos en materia de buenas
prácticas sobre varios temas que si bien se vinculan entre sí, representan
áreas de trabajo diferentes y niveles de relevancia diferentes para las
entidades y para el regulador.

De un conjunto de actividades sobre un tema como se realizaba en el texto
ordenado anterior, la nueva norma requiere marcos de gestión, término que en
este contexto refiere a un conjunto coordinado de procesos de planificación,
implementación, operación, monitoreo y la mejora continua, a partir de la
información de gestión.


Se requieren a las entidades la adopción de marcos de gestión para los
siguientes temas:

  1. Riesgos de tecnologías y seguridad de la información (Sección 3)
  2. Tecnología, y gestión de proyectos (Sección 4)
  3. Seguridad de la información (Sección 5)
  4. Continuidad del Negocio (Sección 6)
  5. Ciberincidentes (Sección 8)
  6. Adquisición, desarrollo y mantenimiento de software (Sección 9)
  7. Relación con terceras partes (Sección 10)

Se incorpora y en algún sentido se formaliza, el modelo de 3 líneas, antes
llamado
3 líneas de defensa, que se refiere a los diferentes niveles de responsabilidad en la gestión de
riesgos y controles en una organización.


  • La primera línea la forman empleados y los gerentes de la organización
    , que
    son responsables directos de la gestión de los riesgos operativos y la
    implementación de los controles internos.

  • La segunda línea se refiere a las funciones de gestión de riesgos y control
    interno
    , que se encargan de monitorear y supervisar los controles internos
    implementados por la primera línea de defensa. Estas funciones pueden
    incluir la gestión de riesgos, la conformidad, la seguridad, el cumplimiento
    y la calidad.

  • La tercera línea se refiere a la función de auditoría interna
    , que evalúa la
    eficacia de los controles internos y la gestión de riesgos en toda la
    organización. La auditoría interna también brinda asesoramiento y
    recomendaciones para mejorar la eficacia de los controles internos y la
    gestión de riesgos en la organización.

Este modelo de 3 líneas ayuda a asegurarse de que hay una estructura clara de
responsabilidad y rendición de cuentas para la gestión de riesgos y control
interno en toda la organización, además de identificar y abordar los riesgos
de manera más efectiva. De ahí, su importancia y la relevancia de la auditoría
para evaluar la efectividad de los controles. (Ver punto 1.2. de la
Comunicación A 7724).

Se definen desde procesos del gobierno o gobernanza en tres temas
fundamentales (ver puntos 2.1.2 y 2.1.3), que son el de tecnologías de la
información, el de seguridad de la información y el de gestión de riesgos, a
los procesos de gestión, llegando inclusive al nivel operativo, con la
identificación de responsabilidades y el establecimiento de objetivos para los
distintos niveles. Por otro lado, no define estructuras organizacionales, sino
que identifica procesos de gestión y especifica principios para la relación
entre los procesos y algunas funciones.

Asimismo, considera nuevas prácticas y temas para los que se establecen
requisitos, como la inteligencia artificial o modelos de machine learning, la
gestión de datos, la gestión de proyectos y nuevas modalidades de desarrollo
de sistemas, entre otros.

La nueva normativa tiene un enfoque de gobernanza de tecnologías y seguridad
de la información, asignando responsabilidades e incluyendo la gestión de
ciberincidentes. Asimismo, la norma tiene un enfoque en riesgos, para todas
las entidades, si bien existen algunos controles que se implementan cuando hay
mayores riesgos. Además, se vinculan los riesgos de tecnología y seguridad de
la información con los riesgos operacionales y con los reportes, de acuerdo a
lineamientos internacionales, señalándose especialmente algunos riesgos como
los relacionados con la protección de datos personales. (Ver Sección 3).

La Sección 4, de Gestión de Tecnología de la Información, trata el tema de la
gestión del dato, su clasificación, así como la arquitectura empresarial y la
gestión de activos de información. Contiene además un apartado de requisitos
para la Inteligencia Artificial (ver punto 4.6) para luego abordar la gestión
de Seguridad de la Información en la sección siguiente.

Esta sección 5, de Gestión de Seguridad de la Información, contiene normas y
procedimientos para temas específicos y se relacionan con el resto de las
secciones, con controles para realizar seguimiento de amenazas del entorno y
gestión de vulnerabilidades, entre otros. También establece requisitos sobre
programas de capacitación y concientización para distintos segmentos de
públicos tanto internos como clientes y en riesgos específicos. (Ver Punto
5.5).

Alineado con la
Comunicación A 7266
sobre respuesta y recuperación ante ciberincidentes, publicada en abril de
2021, la Sección 8 trata de la gestión y su integración con otras secciones
para la preservación de las entidades para la continuidad del negocio, así
como el cuidado de la información referida a las quejas de clientes. (Ver
punto 8.1.1).

En otro de sus apartados, aborda la seguridad física y medioambiental (Ver
punto 5.7) y es también la sección que aborda las medidas de control de acceso
y métodos de autenticación, con requisitos para los factores de autenticación,
con definiciones y requisitos para el uso de datos biométricos por su carácter
probabilístico (Ver punto 5.7.2.3) y para la autenticación multifactor.
También establece controles para las operaciones de seguridad, que abarca la
detección, el monitoreo y el análisis de eventos, que luego se vinculan con la
sección de ciberincidentes.

En la sección 6, referida a la Gestión de la Continuidad del negocio, se
abordan los procesos necesarios para atender eventos de disrupción basado en
riesgos, y el análisis de impacto, promoviendo la capacitación y los
ejercicios como elemento importante para probar los planes de continuidad y su
actualización.

La sección 9 aborda el desarrollo, adquisición y mantenimiento de software.
Incluye además aspectos puntuales para los aplicativos que registran
información de interés para el BCRA, la vinculación con la gestión de
proyectos, y las especificaciones para que el ciclo de vida del desarrollo
conforme las prácticas actuales de seguridad, como el modelado de amenazas,
las pruebas y la gestión de vulnerabilidades, por mencionar puntos relevantes.

En la relación con las terceras partes, Sección 10, se aborda los controles
para asegurar la resiliencia, la seguridad y la continuidad del negocio. En
cuanto a la seguridad, se tuvieron en cuenta las amenazas de la cadena de
suministros, por lo que se incluyeron requisitos para la gestión de
ciberincidentes. Esta sección refiere, en gran medida, a controles que deben
ser incorporados en la formalización (contratos) de los servicios brindados
por terceros, con algunas exclusiones puntuales.

Finamente, la sección 11, de canales electrónicos, es la
antigua sección 6 del texto derogado, y la Sección 12 es un glosario que permite interpretar algunos conceptos.
Es probable que en algún futuro esa sección sea actualizada. ¡Habrá que estar
pendiente!

Por Marcela Pallero (@Marce_I_P) Ex-analista en la Gerencia Principal de Normas de Seguridad de la Información para Entidades.

Directora de Seguridad en TIC en la Fundación Sadosky





Source link

Los comentarios están cerrados.