La semana pasada el BCRA emitió una comunicación sobre la adecuación del régimen aplicable a las entidades financieras que implicaría una actualización de las exigencias vinculadas con la gestión de los riesgos de la tecnología y seguridad de la información, la continuidad del negocio, la tecnología, la infraestructura informática y la gestión de ciber incidentes.
La referida comunicación ha venido a reemplazar a la conocida Comunicación A 4609 del 2006 y sus modificatorias (Com A 6375 entre otras) y va en línea con las recomendaciones internacionales del Banco de Pagos Internacionales (BIS) y del Consejo de Estabilidad Financiera (FSB, por sus siglas en inglés).
La nueva comunicación alcanza a las entidades financieras y tendrá vigencia a partir del 10 de septiembre del corriente año. El objetivo de la misma es fijar el conjunto de requisitos mínimos, aplicables a los procesos, estructuras y activos de información, que las entidades deben implementar para:
📌 Definir e implementar un marco de gestión de riesgos de la tecnología y la seguridad de la información como parte de la gestión integral de riesgos de la entidad.
📌 Definir marcos para el gobierno y la gestión de la tecnología y seguridad de la información, acordes con la gestión del riesgo.
📌 Incluir procesos de mejora continua en los marcos de gestión.
📌Una cultura de gestión de riesgos de tecnología y seguridad de la información que les permita identificar e implementar controles adicionales a estos requisitos mínimos.
📌 La adopción del “modelo de las tres líneas” en la definición de roles y responsabilidades.
📌 La adopción de marcos de referencia y estándares internacionales que permitan complementar los requisitos mínimos relacionados con riesgos, tecnología y seguridad de la información.
Desde Crearis Latam podemos evaluar el estado de tu organización en temas de ciberseguridad, así como colaborar para lograr el cumplimiento de esta nueva normativa y otras vigentes.
Los recaudos más relevantes que impone esta Comunicación pueden resumirse en:
El marco de gobierno de la tecnología y seguridad de la información a ser establecido por las entidades deberá ser hecho a medida conforme sus operaciones, procesos y estructura con el fin de cumplir con la gestión integral y optimización de los recursos tecnológicos, alineación con las necesidades del negocio, supervisión adecuada de las actividades de tecnología de la información y gestión de los riesgos relacionados con la tecnología y seguridad de la información. Omitiendo considerar entre sus objetivos la protección de los datos personales y estableciendo obligaciones puntuales a ser asumidas tanto por el Directorio (aprobar políticas de gestión de relación con terceras partes, de informe de ciberincidentes significativos a los entes públicos o que comprometan datos de clientes) como por la Alta Gerencia.
Los riesgos relacionados con la tecnología y seguridad de la información a ser incluidos en la evaluación deben considerar especialmente los relacionados con:
✏️ Escenarios que afecten la resiliencia tecnológica.
✏️ La obsolescencia de la tecnología y los sistemas.
✏️ La gestión de la relación con terceras partes.
✏️ El desarrollo y utilización de algoritmos de inteligencia artificial o aprendizaje automático.
✏️ La adopción de tecnología nueva o emergente.
✏️ Software o aplicaciones utilizadas por usuarios que no fueron formalmente autorizados.
✏️ Los aspectos de protección de datos personales en el uso de tecnologías asociadas a blockchain.
✏️ Escenarios de ciberincidentes relacionados con datos personales.
Asimismo deberán realizarse evaluaciones de riesgos específicas:
🔸 Antes del lanzamiento de nuevos productos o servicios que originen cambios importantes en los sistemas de información, en los procesos, servicios y/o actividades de tecnología y seguridad de la información.
🔸 Antes de la delegación en terceras partes de procesos, servicios y/o actividades.
Las entidades deberán definir un proceso que establezca responsabilidades, políticas y procedimientos para la gestión de datos, que abarque todas las etapas de su ciclo de vida y sea acordes a sus operaciones, procesos y estructura. Pero resultando lo más interesante la incorporación del análisis de la inteligencia artificial (IA) y machine learning (ML) debiendo identificar y documentar el objetivo del uso, por sí o por terceros, de software que utilice algoritmos de IA o ML en sus proyectos o procesos. Debiendo establecer roles y responsabilidades para la definición del contexto en que operan los sistemas de IA, la identificación de los modelos, algoritmos y los conjuntos de datos utilizados, y la definición de métricas y umbrales precisos para evaluar la confiabilidad de las soluciones implementadas. Dichos análisis de riesgos deberán considerar, como mínimo:
✏️ Los modelos adoptados, su entrenamiento y las posibles discrepancias con la realidad del contexto;
✏️ Los datos utilizados para el entrenamiento, su volumen, complejidad y obsolescencia.
✏️ La privacidad y la afectación a los usuarios en su calidad de consumidores.
✏️ El nivel de madurez de los estándares de pruebas de software y las dificultades para documentar las prácticas basadas en IA.
Adicionalmente, se deberán implementar procesos que promuevan la confiabilidad en el uso de este tipo de algoritmos e incluyan al menos:
🔸 Medidas para evitar la existencia de sesgos o discriminación contra grupos o segmentos de clientes o usuarios de los productos y/o servicios financieros.
🔸 Documentación respecto de la transparencia, la explicabilidad de los modelos utilizados y la interpretabilidad de los resultados.
🔸 La ejecución de revisiones periódicas de los resultados respecto de la tolerancia al riesgo definida.
🔸 La comunicación al cliente cuando utilice servicios soportados por este tipo de tecnología.
Entre otras cuestiones establece los requisitos generales para los factores de autenticación mediante el uso de datos biométricos. En la implementación de métodos de autenticación que utilicen datos biométricos, se deberán evaluar y mitigar los riesgos derivados de las siguientes características:
✅ Las limitaciones para asegurar la autenticación del suscriptor debido al carácter probabilístico del método, la tasa de falsos positivos (FMR) y la falta de secreto del dato biométrico.
✅ La necesidad de establecer un proceso para la revocación de credenciales de este tipo.
✅ Las posibles vulnerabilidades en los dispositivos y sistemas utilizados para la captura y validación de las credenciales.
✅ El impacto en la privacidad de los usuarios.
Define a un ciberincidente como aquel evento cibernético que:
⚠️ pone en peligro la ciberseguridad de un sistema de información o la información que el sistema procesa, almacena o transmite; o
⚠️ infringe las políticas de seguridad, los procedimientos de seguridad o las políticas de uso aceptable, sea o no producto de una actividad maliciosa.
Las políticas para la gestión de ciberincidentes deben definir, al menos:
✏️ El alcance y las áreas participantes de la respuesta ante ciberincidentes para la entidad, indicando los roles y responsabilidades de cada área.
✏️ Los objetivos y prioridades de la respuesta alineados a la gestión del riesgo y la continuidad del negocio.
✏️ Los principios para priorizar y escalar ciberincidentes.
✏️ Las métricas para realizar los controles para una gestión efectiva.
Cuando las entidades deleguen en terceras partes procesos, servicios y/o actividades vinculadas con los procesos de tecnología y seguridad de la información, deberán formalizar la relación fijando como mínimo los siguientes recaudos:
✏️La naturaleza, el alcance de los procesos, servicios y/o actividades a delegar y las responsabilidades de las partes.
✏️ La duración de la contratación o delegación y cláusulas específicas que regulen la renovación automática. Los niveles mínimos de prestación y métricas de desempeño.
✏️ La existencia de planes de continuidad.
✏️ Los derechos a realizar auditorías por parte de la entidad.
✏️ Los mecanismos de comunicación sobre los cambios que puedan afectar las condiciones en la prestación del servicio.
✏️ Los acuerdos sobre confidencialidad.
✏️ Los mecanismos para la resolución de disputas.
✏️ Los procedimientos coordinados para la gestión de ciberincidentes.
✏️ El cumplimiento del marco legal y regulatorio aplicables.
✏️ Disposiciones que permitan el acceso irrestricto por parte de la Superintendencia de Entidades Financieras y Cambiarias a las instalaciones, áreas de control y la documentación relacionada.
✏️ Los mecanismos de notificación sobre cambios en el control accionario y en los cambios de niveles gerenciales de las terceras partes.
✏️ Las responsabilidades en los circuitos de reclamos de clientes o usuarios de servicios financieros de la entidad.
✏️ Procedimientos y protocolos de comunicación que permitan el cumplimiento efectivo de los controles sobre los procesos, servicios y actividades delegadas. La designación formal de un responsable en representación de la tercera parte para el tratamiento de aspectos vinculados con la delegación, de acuerdo con las características del servicio y los resultados de los análisis de riesgo.
✏️ Los mecanismos para la eliminación de los datos de la entidad gestionados por terceras partes, una vez extinguida la relación.
✏️ Los procedimientos para la finalización de los servicios de acuerdo con la evaluación de riesgos.
Este último punto resulta gravitante puesto que extiende el alcance de esta norma a gran cantidad de proveedores del mercado financiero que deberán efectuar los correspondientes ajustes. La regulación de los recaudos a aplicar a los proveedores de la cadena de suministro del ecosistema financiero es clave más cuando hay subcontratación de funciones críticas para las entidades financieras. Resulta ser uno de los riesgos más considerados en la actualidad de la ciberseguridad puesto que un ataque a estos terceros o a sus productos y servicios puede perturbar y dañar las infraestructuras financieras que dependen de ellos, con efectos indirectos en las entidades interconectadas. A manera de ejemplo se puede citar el ciberataque al proveedor externo ION Cleared Derivatives donde un ataque a un proveedor de software puede afectar a sus clientes. En particular, es fundamental evaluar las dependencias críticas de los servicios en productos y servicios de terceros que podrían verse interrumpidos o incluso cancelarse como resultado de un ataque cibernético. Es necesario poner en marcha medidas de mitigación. En este contexto, el G7 actualizó recientemente sus elementos fundamentales para la gestión de riesgos cibernéticos de terceros en el sector financiero y creó un grupo de trabajo en 2022 para apoyar la gestión del riesgo cibernético de terceros. La pregunta que debemos hacernos no es si ocurrirá un ciberataque, sino si estamos preparados para responder cuando suceda.
A manera de cierre debemos festejar que esta comunicación comulgue con la obligación asumida recientemente por nuestro país al sancionar la Ley 27.699 de aprobar el Protocolo Adicional del Convenio de protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, conocido como Convenio 108 +, donde se enfatizan las obligaciones de seguridad para tanto el responsable como el encargado del tratamiento de datos personales establecidas en el artículo 9 de la Ley 25.326.
Sin embargo resulta preocupante que todavía en el país no exista un marco general establecido por ley respecto a la ciberseguridad cuando resulta ser uno de las principales riesgos considerados a nivel global. Esta preocupación se agrava cuando está en juego una infraestructura crítica como la del sector financiero, esperando que la medida como la aquí comentada sea consistente con la segunda estrategia nacional en materia de ciberseguridad en proceso de elaboración por parte del gobierno.
Sin duda que la medida adoptada si es debidamente ejecutada podrá servir para atemperar las crecientes estafas virtuales que vienen padeciendo los clientes bancarios y que seguramente en el corto plazo resultarán mucho más sofisticadas con el empleo de herramientas de inteligencia artificial.