Finalmente el BCRA ha publicado el reemplazo de la Com. A 4609 “Requisitos mínimos de gestión, implementación y control de los riesgos relacionados con tecnología informática y sistemas de información”, que se encuentra vigente desde diciembre de 2006.
Conforme ha avanzado la tecnología surgieron nuevas necesidades de regulación para salvaguardar la información, tanto de las entidades como de los usuarios, para hacer frente a los ciberdelitos y prevenir fraudes. Es así que, el Banco Central ha difundido la Comunicación A 7724, que a partir del 6 de septiembre 2023 entrará en vigencia derogando a la Com. A 4609 y será de cumplimiento obligatorio para todas las Entidades Financieras.
“La importancia de esta norma es que actualiza los requisitos obligatorios que deben implementar las entidades financieras de Argentina para la gestión de sistemas y tecnologías de la información. Incorpora nuevos controles y temáticas a considerar con un plazo de implementación bastante exiguo, ya que propone 180 días a partir de su publicación, el 10 de marzo de este año", explica Fabián Bogado, Director de IT Advisory de Grant Thornton Argentina.
Esta Comunicación busca solidificar la gestión de las tecnologías, sistemas, seguridad de información, riesgos y ciberseguridad.
Con el fin de asegurar la implementación de “prácticas efectivas para el control interno y la gestión de riesgos de su entorno operativo de tecnología y seguridad de la información”, el Banco Central estableció un conjunto de requisitos mínimos aplicables a los procesos, estructuras y activos de información.
Todas las entidades que operen en el país deberán definir los roles y responsabilidades de cada actor y nivel jerárquico, establecer políticas y procedimientos para la gestión de la información e implementar un marco de gestión para riesgos de TI/SI integrado con procesos operacionales que consideren:
✓ El establecimiento de objetivos estratégicos y metas
✓ La definición de planes de acción para alcanzar los objetivos
✓ La revisión de los planes de acción
✓ El seguimiento y medición de los resultados.
Esta comunicación busca una alineación con la resiliencia operacional y establece procesos de mejora continua, promoviendo la adopción de estándares, un esquema de 3 líneas de defensa y una cultura de gestión de riesgos.
La gestión de riesgos de tecnología y seguridad de la información deberá considerar especialmente aquellos escenarios que afecten la resiliencia tecnológica, la obsolescencia, la inteligencia artificial, la adopción de tecnologías nuevas o emergentes, los aspectos de protección de datos personales y los escenarios de ciberincidentes, entre otros.
El BCRA hace un énfasis especial en la gestión de la inteligencia artificial (IA) y el aprendizaje automático (o machine learning – ML) por el riesgo que conllevan estas tecnologías. Su gestión implicará fuertes controles y evaluaciones.
Las entidades tendrán la obligación de “asegurar la realización de evaluaciones de impacto y definición de apetitos de riesgo para la utilización de IA” e identificar y documentar el porqué del uso (por sí o terceros) de estas tecnologías en proyectos o procesos.
El análisis de riesgos asociados a la IA y ML tienen que sopesar como mínimo la privacidad y la afectación a los usuarios como consumidores, los datos utilizados para su entrenamiento, el nivel de madurez de los estándares de las pruebas de software y las posibles discrepancias de los modelos con la realidad del contexto. Adicionalmente, “se deberán implementar procesos que promuevan la confiabilidad en el uso de este tipo de algoritmos”.
La nueva comunicación también establece medidas en torno al usuario. A través de ella, establece que las entidades deben brindar programas de capacitación y concientización en materia de seguridad de la información, que alcancen a toda la organización, terceros, clientes y usuarios de servicios financieros. También insta a que los procesos de gestión de la IA incluyan medidas para evitar la existencia de sesgos o discriminación contra grupos o segmentos de clientes o usuarios de los productos y/o servicios financieros.
“La importancia de la nueva regulación del BCRA para los usuarios de servicios financieros radica en que se eleva sensiblemente la vara en relación con las medidas de tecnología y seguridad de la información que deben implementar las Entidades Financieras. De esta forma, los usuarios podrán esperar mayor resguardo de su información y más protección y confiabilidad en los servicios que recibe”, concluye Bogado.
Si querés saber más sobre esta nueva normativa o que nuestros equipos de IT Advisory y BRS - Servicios Financieros trabajen con tu empresa para cumplir con la Com. A7724, comunicate con nosotros.