Please enter CoinGecko Free Api Key to get this plugin works.

Bl0ckch41nnewsNueva BCRA Comunicación "A" 7724: Requisitos mínimos de seguridad de la información

45


En vista de los crecientes fraudes a clientes, el Banco Central de Argentina
dictó una nueva
Comunicación «A» 7724 [PDF] sobre ciberseguridad para los bancos, denominada «Requisitos mínimos para la gestión y control de los riesgos de tecnología y seguridad de la información».

La nueva
comunicación «A» 7724 impulsa una actualización de las exigencias vinculadas con
la gestión de los riesgos de la tecnología y seguridad de la información, la
continuidad del negocio, la tecnología, la infraestructura informática y la
gestión de ciberincidentes y tendrá vigencia a partir del 10 de septiembre
próximo (180 días).

De acuerdo a Marcela Pallero
(aka
Marce_I_P), la comparación entre la «vieja»
Comunicación «A» 4609
y la reciente 7724 es la siguiente:

Y, según Agustín Allende, socio de Crearis Latam, los recaudos más relevantes
que impone esta Comunicación pueden resumirse como sigue.

Gobierno de tecnología y seguridad de la información

El gobierno de la tecnología y seguridad de la información a ser establecido por
las entidades deberá ser hecho a medida conforme sus operaciones, procesos y
estructura. Pero deben asegurar supervisión adecuada de las actividades de
tecnología de la información y gestión de los riesgos relacionados con la
tecnología y seguridad de la información.

Si bien establece obligaciones al directorio y a la alta gerencia, la norma
omite considerar entre sus objetivos la protección de los datos personales.

Gestión de riesgos de tecnología y seguridad de la información

Los riesgos relacionados con la tecnología y seguridad de la información a ser
incluidos en la evaluación son, especialmente, los que siguen:

  • Escenarios que afecten la resiliencia tecnológica.
  • Obsolescencia de la tecnología y los sistemas.
  • Gestión de la relación con terceras partes.Desarrollo y utilización de
    algoritmos de inteligencia artificial o aprendizaje automático.
  • Adopción de tecnología nueva o emergente.
  • Software o aplicaciones utilizadas por usuarios que no fueron formalmente
    autorizados.
  • Aspectos de protección de datos personales en el uso de tecnologías
    asociadas a blockchain.
  • Escenarios de ciberincidentes relacionados con datos personales.

Inteligencia artificial, bancos y derechos del usuario

La comunicación incorpora el análisis de la inteligencia artificial (IA) y
machine learning (ML) debiendo identificar y documentar el objetivo del uso,
por sí o por terceros, de software que utilice algoritmos de IA o ML en sus
proyectos o procesos.

Exige establecer roles y responsabilidades para la definición del contexto en
que operan los sistemas de IA, la identificación de los modelos, algoritmos y
los conjuntos de datos utilizados, y la definición de métricas y umbrales
precisos para evaluar la confiabilidad de las soluciones implementadas.

Estos análisis de riesgos deberán considerar, como mínimo lo siguiente:

  • Los modelos adoptados, su entrenamiento y las posibles discrepancias con la
    realidad del contexto.
  • Los datos utilizados para el entrenamiento, su volumen, complejidad y
    obsolescencia.
  • La privacidad y la afectación a los usuarios en su calidad de consumidores.
  • El nivel de madurez de los estándares de pruebas de software y las
    dificultades para documentar las prácticas basadas en IA.

Adicionalmente, se deberán implementar procesos que promuevan la confiabilidad
en el uso de este tipo de algoritmos e incluyan al menos:

  • Medidas para evitar la existencia de sesgos o discriminación contra grupos o
    segmentos de clientes o usuarios de los productos y/o servicios financieros.
  • Documentación respecto de la transparencia, la explicabilidad de los modelos
    utilizados y la interpretabilidad de los resultados.
  • La ejecución de revisiones periódicas de los resultados respecto de la
    tolerancia al riesgo definida.
  • La comunicación al cliente cuando utilice servicios soportados por este tipo
    de tecnología.

Gestión de seguridad de la información

El BCRA establece los requisitos generales para los factores de autenticación
mediante el uso de datos biométricos: En la implementación de métodos de
autenticación que utilicen datos biométricos, se deberán evaluar y mitigar los
riesgos derivados de las siguientes características:

  • Las limitaciones para asegurar la autenticación del suscriptor debido al
    carácter probabilístico del método, la tasa de falsos positivos (FMR) y la
    falta de secreto del dato biométrico.
  • La necesidad de establecer un proceso para la revocación de credenciales de
    este tipo.
  • Las posibles vulnerabilidades en los dispositivos y sistemas utilizados para
    la captura y validación de las credenciales.
  • El impacto en la privacidad de los usuarios.

Gestión de ciberincidentes

La nueva norma define a un ciberincidente como aquel evento cibernético que:

  • Pone en peligro la ciberseguridad de un sistema de información o la
    información que el sistema procesa, almacena o transmite.
  • Infringe las políticas de seguridad, los procedimientos de seguridad o las
    políticas de uso aceptable, sea o no producto de una actividad maliciosa.

Las políticas para la gestión de ciberincidentes deben definir, al menos, lo
siguiente:

  • El alcance y las áreas participantes de la respuesta ante ciberincidentes
    para la entidad, indicando los roles y responsabilidades de cada área.
  • Los objetivos y prioridades de la respuesta alineados a la gestión del
    riesgo y la continuidad del negocio.
  • Los principios para priorizar y escalar ciberincidentes.
  • Las métricas para realizar los controles para una gestión efectiva.

Fuente:
Iprofesional





Source link

Los comentarios están cerrados.