10 abr 2023

Introducción a la norma BCRA A7724 de Riesgos de Tecnologías y Seguridad de la Información

Por Marcela Pallero (@Marce_I_P) Ex-analista en la Gerencia Principal de Normas de Seguridad de la Información para Entidades.

Directora de Seguridad en TIC en la Fundación Sadosky

La Comunicación BCRA A 7724 [PDF], publicada el 10 de marzo de 2023 por el Banco Central de la República Argentina, derogó el texto ordenado anterior, que constituía un compendio de normas en la materia conformando un documento con todas las actualizaciones. Entre dichas normas, se encontraba la Comunicación A 4609 [PDF] de 2006. Muchas veces se referenciaba al texto ordenado completo con esta norma, lo que resultaba ciertamente confuso. La comunicación define su entrada en vigencia a los 180 días desde su difusión.

El texto ordenado que se derogó [PDF] tenía un abordaje obsoleto en cuanto al tratamiento de la tecnología en una entidad financiera. Además, ciertos temas relevantes, hoy en día, como la gestión de los datos, los ciberincidentes y la gestión del ciclo de vida del desarrollo, entre otras, no se abordaban o tenían un alcance muy limitado.

Para cambiar esta situación, la nueva comunicación aprueba los "Requisitos mínimos para la gestión y control de los Riesgos de tecnología y seguridad de la información" y fue elaborada bajo el área de regulación del BCRA, en conjunto con la de Supervisión.

Contiene 10 secciones, la sección 11 es sobre canales electrónicos y la 12 es un glosario. Aborda nuevos aspectos y temas que requerían necesariamente de una actualización para reflejar el estado de arte actual en las entidades bancarias y financieras.

Si bien cada sección se aboca a un tema en particular, podría decirse que hay múltiples referencias cruzadas entre los temas porque así es como funciona en la práctica. La norma toma algunas referencias en el marco de gobierno y gestión de las tecnologías y la información conocido como COBIT 2019, elaborado por ISACA; referencias de las publicaciones del NIST y; también otros estándares actualizados, como la ISO 27001 de 2022.

Para resaltar los grandes cambios que trae esta nueva norma, podemos abordarlos desde varios enfoques. Por ejemplo, tomando los avances tecnológicos, el texto actual sigue el principio de neutralidad tecnológica para evitar que pueda volverse obsoleta en muy poco tiempo al atarse a una tecnología en particular, lo que ocurría con el texto anterior que tenía referencias a "Cintas o CD para hacer respaldos".

Cuando se establecen requisitos para el intercambio de datos entre entidades, la norma refiere a controles con objetivos a cumplir como principio general, más allá de cualquier tecnología o canal y de otros requerimientos que luego se establecen en otras secciones. Estas secciones son abordadas desde el enfoque de procesos como los de infraestructura tecnológica y procesamiento o desarrollo, adquisición y mantenimiento de software.

El texto actual sigue los estándares y adelantos en materia de buenas prácticas sobre varios temas que si bien se vinculan entre sí, representan áreas de trabajo diferentes y niveles de relevancia diferentes para las entidades y para el regulador.

De un conjunto de actividades sobre un tema como se realizaba en el texto ordenado anterior, la nueva norma requiere marcos de gestión, término que en este contexto refiere a un conjunto coordinado de procesos de planificación, implementación, operación, monitoreo y la mejora continua, a partir de la información de gestión.

Se requieren a las entidades la adopción de marcos de gestión para los siguientes temas:

  1. Riesgos de tecnologías y seguridad de la información (Sección 3)
  2. Tecnología, y gestión de proyectos (Sección 4)
  3. Seguridad de la información (Sección 5)
  4. Continuidad del Negocio (Sección 6)
  5. Ciberincidentes (Sección 8)
  6. Adquisición, desarrollo y mantenimiento de software (Sección 9)
  7. Relación con terceras partes (Sección 10)

Se incorpora y en algún sentido se formaliza, el modelo de 3 líneas, antes llamado 3 líneas de defensa, que se refiere a los diferentes niveles de responsabilidad en la gestión de riesgos y controles en una organización.

  • La primera línea la forman empleados y los gerentes de la organización, que son responsables directos de la gestión de los riesgos operativos y la implementación de los controles internos.
  • La segunda línea se refiere a las funciones de gestión de riesgos y control interno, que se encargan de monitorear y supervisar los controles internos implementados por la primera línea de defensa. Estas funciones pueden incluir la gestión de riesgos, la conformidad, la seguridad, el cumplimiento y la calidad.
  • La tercera línea se refiere a la función de auditoría interna, que evalúa la eficacia de los controles internos y la gestión de riesgos en toda la organización. La auditoría interna también brinda asesoramiento y recomendaciones para mejorar la eficacia de los controles internos y la gestión de riesgos en la organización.

Este modelo de 3 líneas ayuda a asegurarse de que hay una estructura clara de responsabilidad y rendición de cuentas para la gestión de riesgos y control interno en toda la organización, además de identificar y abordar los riesgos de manera más efectiva. De ahí, su importancia y la relevancia de la auditoría para evaluar la efectividad de los controles. (Ver punto 1.2. de la Comunicación A 7724).

Se definen desde procesos del gobierno o gobernanza en tres temas fundamentales (ver puntos 2.1.2 y 2.1.3), que son el de tecnologías de la información, el de seguridad de la información y el de gestión de riesgos, a los procesos de gestión, llegando inclusive al nivel operativo, con la identificación de responsabilidades y el establecimiento de objetivos para los distintos niveles. Por otro lado, no define estructuras organizacionales, sino que identifica procesos de gestión y especifica principios para la relación entre los procesos y algunas funciones.

Asimismo, considera nuevas prácticas y temas para los que se establecen requisitos, como la inteligencia artificial o modelos de machine learning, la gestión de datos, la gestión de proyectos y nuevas modalidades de desarrollo de sistemas, entre otros.

La nueva normativa tiene un enfoque de gobernanza de tecnologías y seguridad de la información, asignando responsabilidades e incluyendo la gestión de ciberincidentes. Asimismo, la norma tiene un enfoque en riesgos, para todas las entidades, si bien existen algunos controles que se implementan cuando hay mayores riesgos. Además, se vinculan los riesgos de tecnología y seguridad de la información con los riesgos operacionales y con los reportes, de acuerdo a lineamientos internacionales, señalándose especialmente algunos riesgos como los relacionados con la protección de datos personales. (Ver Sección 3).

La Sección 4, de Gestión de Tecnología de la Información, trata el tema de la gestión del dato, su clasificación, así como la arquitectura empresarial y la gestión de activos de información. Contiene además un apartado de requisitos para la Inteligencia Artificial (ver punto 4.6) para luego abordar la gestión de Seguridad de la Información en la sección siguiente.

Esta sección 5, de Gestión de Seguridad de la Información, contiene normas y procedimientos para temas específicos y se relacionan con el resto de las secciones, con controles para realizar seguimiento de amenazas del entorno y gestión de vulnerabilidades, entre otros. También establece requisitos sobre programas de capacitación y concientización para distintos segmentos de públicos tanto internos como clientes y en riesgos específicos. (Ver Punto 5.5).

Alineado con la Comunicación A 7266 sobre respuesta y recuperación ante ciberincidentes, publicada en abril de 2021, la Sección 8 trata de la gestión y su integración con otras secciones para la preservación de las entidades para la continuidad del negocio, así como el cuidado de la información referida a las quejas de clientes. (Ver punto 8.1.1).

En otro de sus apartados, aborda la seguridad física y medioambiental (Ver punto 5.7) y es también la sección que aborda las medidas de control de acceso y métodos de autenticación, con requisitos para los factores de autenticación, con definiciones y requisitos para el uso de datos biométricos por su carácter probabilístico (Ver punto 5.7.2.3) y para la autenticación multifactor. También establece controles para las operaciones de seguridad, que abarca la detección, el monitoreo y el análisis de eventos, que luego se vinculan con la sección de ciberincidentes.

En la sección 6, referida a la Gestión de la Continuidad del negocio, se abordan los procesos necesarios para atender eventos de disrupción basado en riesgos, y el análisis de impacto, promoviendo la capacitación y los ejercicios como elemento importante para probar los planes de continuidad y su actualización.

La sección 9 aborda el desarrollo, adquisición y mantenimiento de software. Incluye además aspectos puntuales para los aplicativos que registran información de interés para el BCRA, la vinculación con la gestión de proyectos, y las especificaciones para que el ciclo de vida del desarrollo conforme las prácticas actuales de seguridad, como el modelado de amenazas, las pruebas y la gestión de vulnerabilidades, por mencionar puntos relevantes.

En la relación con las terceras partes, Sección 10, se aborda los controles para asegurar la resiliencia, la seguridad y la continuidad del negocio. En cuanto a la seguridad, se tuvieron en cuenta las amenazas de la cadena de suministros, por lo que se incluyeron requisitos para la gestión de ciberincidentes. Esta sección refiere, en gran medida, a controles que deben ser incorporados en la formalización (contratos) de los servicios brindados por terceros, con algunas exclusiones puntuales.

Finamente, la sección 11, de canales electrónicos, es la antigua sección 6 del texto derogado, y la Sección 12 es un glosario que permite interpretar algunos conceptos. Es probable que en algún futuro esa sección sea actualizada. ¡Habrá que estar pendiente!

Por Marcela Pallero (@Marce_I_P) Ex-analista en la Gerencia Principal de Normas de Seguridad de la Información para Entidades.

Directora de Seguridad en TIC en la Fundación Sadosky

Suscríbete a nuestro Boletín

2 comentarios:

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!