BCRA Comunicación “A” 7724: El cambio de enfoque que deroga la “A” 4609 | Por @FabianDescalzo

La ciberseguridad se ha convertido en un tema de vital importancia en la industria financiera y bancaria de Argentina debido al creciente número de fraudes a clientes. En respuesta a esta problemática, el Banco Central de la República Argentina ha dictado una nueva comunicación, la "A" 7724, que establece regulaciones más estrictas en materia de seguridad de la información para las entidades financieras.

Según el informe “Perspectivas de ciberseguridad de los líderes de la industria” del Latam CISO 2023 con el apoyo de importantes empresas de ciberseguridad de la industria junto con el BID (Banco Interamericano de Desarrollo), se pueden mencionar las principales estadísticas que sustentan el impacto de ciberataques en la industria financiera:

1. América Latina y el Caribe es objetivo de más de 1.600 ciberataques por segundo, según datos de varias firmas de ciberseguridad.
2. En los primeros seis meses de 2022, los ataques de ransomware a nivel global alcanzaron los 384.000, y la región representó el 14% del total.
3. Brasil es el país más afectado por los ciberataques en la región, recibiendo más de la mitad de ellos, seguido de México (23%), Colombia (8%) y Perú (6%).
4. Los ciberataques pueden tener un impacto económico grave, con una posible pérdida del 1 % del PIB en algunos países de la región y del 6 % en ataques a infraestructuras críticas.
5. Según un estudio del BID, solo 7 de los 32 países analizados contaban con un plan de protección de infraestructuras críticas, y 20 tenían Equipos de Respuesta a Emergencias Informáticas (CERT o CSIRT).
6. En Colombia, el 72 % de las transacciones financieras se realizan a través de canales digitales, según datos de la Superintendencia Financiera.
7. El sistema de pagos del Banco Central de Brasil -PIX- realiza más de 2.800 millones de transacciones mensuales, con el 75% correspondiente a pagos entre personas, involucrando a casi 800 instituciones financieras y 133 millones de usuarios en Brasil.
8. En los primeros seis meses de 2022, se registraron 844.821 intentos de ataques a la infraestructura PIX, según datos de una encuesta de la empresa de ciberseguridad PSafe.

Sin dudas la industria de los negocios en general requiere un nivel más de protección frente a lo presentado en BDO como las 10 principales amenazas de ciberseguridad para el 2023. La industria financiera y bancaria se ve sometida aún más a un nivel de ataques y riesgos en relación con lo que significaría el botín para los ciberdelincuentes.

Es por ello que el Banco Central de la República Argentina desarrolló la comunicación "A" 7724 que representa una actualización importante (en relación a la derogada comunicación “A” 4609) sobre las exigencias vinculadas con la gestión de los riesgos de la tecnología y seguridad de la información, la continuidad del negocio, la tecnología, la infraestructura informática y la gestión de ciberincidentes. Esta nueva regulación entrará en vigor a partir del 10 de septiembre del presente año, lo que significa que las entidades financieras tendrán 180 días para adaptarse a los nuevos requisitos.

Alcance comparativo de ambas comunicaciones

La comunicación “A” 7724 presenta un alcance renovado frente a los cambios del contexto de la industria financiera, destacando los siguientes puntos:

1. Establecer e implementar un marco de gestión de riesgos para la tecnología y la seguridad de la información, que forme parte de la gestión integral de riesgos de la entidad.
2. Definir marcos adecuados para el gobierno y la gestión de la tecnología y la seguridad de la información, que estén en línea con la gestión del riesgo.
3. Alinear los objetivos con la resiliencia operacional.
4. Integrar procesos de mejora continua en los marcos de gestión establecidos.

En cuanto a secciones de cada comunicación, la actual y la derogada se pueden observar los siguientes puntos de cambios:

Comunicación “A” 4609	Comunicación “A” 7724
Alcance: Requerimientos mínimos de gestión, implementación y control de los riesgos relacionados con las tecnologías, informática, sistemas de información y vinculados en las entidades financieras	Alcance: Requerimientos mínimos de gestión y control de los riesgos de tecnología y seguridad de la información en las entidades financieras
Aspectos generales	Disposiciones generales
Organización funcional y gestión de tecnologías y sistemas	Gobierno de tecnología y seguridad de la información
Protección de activos informáticos	Gestión de riesgos de tecnología de la información y seguridad de la información
Continuidad del procesamiento electrónico de datos	Gestión de tecnologías de la información
Operaciones y procesamiento de datos	Gestión de seguridad de la información
Canales electrónicos	Gestión de continuidad del negocio
Servicios de tecnología informática tercerizados	Infraestructura tecnológica y procesamiento
Sistemas aplicativos de información	Gestión de ciberincidentes
	Desarrollo, adquisición y mantenimiento de software
	Gestión de la relación con terceras partes
	Canales electrónicos

Principales diferencias

En cuanto a las principales diferencias entre las comunicaciones "A" 4609 y "A" 7724, se pueden destacar los siguientes puntos:

1. Objetivo y alcance: La comunicación "A" 4609 se enfoca en establecer los requisitos mínimos de seguridad informática que deben cumplir las entidades financieras en Argentina. En cambio, la comunicación "A" 7724 tiene como objetivo establecer un marco integral de gestión de riesgos informáticos para las entidades financieras.
2. Modelo de las tres líneas de defensa: La nueva normativa promueve fuertemente la cultura de gestión de riesgos para identificar e implementar controles más allá de los requisitos mínimos. Entiéndase que esta cultura requiere desarrollar el modelo de las tres líneas de defensa tanto en roles como en responsabilidades abarcando la gestión operativa, el cumplimiento y la auditoría interna.
3. Categorización de entidades: La comunicación "A" 4609 establece tres categorías de entidades financieras (pequeñas, medianas y grandes) según su volumen de operaciones y cantidad de clientes. En cambio, la comunicación "A" 7724 establece cinco categorías de entidades financieras según su tamaño, complejidad y nivel de riesgo (muy bajo, bajo, medio, alto y muy alto).
4. Requisitos de seguridad: La comunicación "A" 7724 incluye requisitos de seguridad más detallados y específicos que la comunicación "A" 4609, como la implementación de controles de acceso, la realización de pruebas de penetración, la gestión de vulnerabilidades, entre otros.
5. Monitoreo y reporte de incidentes: La comunicación "A" 7724 establece requerimientos más precisos en cuanto al monitoreo y reporte de incidentes de seguridad informática por parte de las entidades financieras, así como la creación de un comité de gestión de riesgos informáticos.

Principales mejoras

En cuanto a las principales mejoras que introduce la comunicación "A" 7724 en comparación con la comunicación "A" 4609, se pueden mencionar las siguientes:

1. Enfoque en gestión de riesgos: La comunicación "A" 7724 establece un enfoque más completo y detallado en cuanto a la gestión de riesgos informáticos, lo que permite a las entidades financieras tomar decisiones más informadas y efectivas en este ámbito.
2. Adaptación a nuevas amenazas: incluye requisitos de seguridad más actualizados y específicos para hacer frente a nuevas amenazas de seguridad informática que pueden surgir en el entorno financiero.
3. Mejora en la gestión de incidentes: establece un marco más claro y detallado en cuanto a la gestión de incidentes de seguridad informática, lo que permite a las entidades financieras responder de manera más rápida y efectiva ante eventos de este tipo.
4. Mayor supervisión y control: establece requerimientos más detallados y rigurosos en cuanto a la supervisión y control de la seguridad informática por parte del Banco Central, lo que contribuye a garantizar la integridad y estabilidad del sistema financiero en Argentina.

Sin dudas estamos frente a desafíos importantes sobre el aumento de ciberataques en la industria financiera y bancaria de América Latina, lo que ha llevado a la adopción de regulaciones más estrictas por parte del Banco Central de la República Argentina. Las principales estadísticas que respaldan el impacto de los ciberataques en la región, incluyendo el impacto económico grave que pueden tener en algunos países.

Es evidente que la industria de los negocios en general necesita un mayor nivel de protección contra las amenazas de ciberseguridad, especialmente en el sector financiero y bancario. En este sentido, la comunicación "A" 7724 del Banco Central de la República Argentina representa una importante actualización en la gestión de los riesgos de la tecnología y seguridad de la información, la continuidad del negocio, la tecnología, la infraestructura informática y la gestión de ciberincidentes.

En tal sentido, es importante que las entidades financieras realicen una auditoría y revisión de su estado actual de ciberseguridad para cumplir con las nuevas regulaciones y garantizar la seguridad de sus clientes y su propia estabilidad financiera.

*****

Fabián Descalzo | Socio Cyber/DRAS & DPO de BDO en Argentina | Asesor C-Level | Gobierno de tecnología, Seguridad de la información, Ciberseguridad | Innovación y Transformación Digital Segura | Autor y Conferencista Internacional.

*****

Descubra las soluciones que BDO Argentina desarrolla en seguridad de la información, ciberseguridad, gestión y gobierno de la tecnología 👉 https://landing.bdoargentina.com/aseguramiento-de-procesos-informaticos/

🙌 Formá parte del Grupo Linkedin “𝐁𝐃𝐎 𝐀𝐑𝐆𝐄𝐍𝐓𝐈𝐍𝐀 - 𝐀𝐒𝐄𝐆𝐔𝐑𝐀𝐌𝐈𝐄𝐍𝐓𝐎 𝐃𝐄 𝐏𝐑𝐎𝐂𝐄𝐒𝐎𝐒 𝐈𝐍𝐅𝐎𝐑𝐌𝐀́𝐓𝐈𝐂𝐎𝐒” 🔗  https://www.linkedin.com/groups/12188431/ donde se comparte información para prevenir, proteger y educar.

𝐁𝐃𝐎 𝐀𝐏𝐈 seguinos en ▶ Sitio Web ▶ Blog ▶ BDO Academy ▶ Grupo Linkedin  ▶ Canal Youtube Fabián Descalzo ▶ PlayList Youtube BDO