El Banco Central dictó una comunicación sobre ciberseguridad para los bancos, en vista de los crecientes fraudes a clientes que ven vaciadas sus cuentas en pocos minutos o que pidieron préstamos sin que fuera su real voluntad.
La flamante Comunicación A 7724 del BCRA impulsa una actualización de las exigencias vinculadas con la gestión de los riesgos de la tecnología y seguridad de la información, la continuidad del negocio, la tecnología, la infraestructura informática y la gestión de ciberincidentes, explicó Agustín Allende, socio de Crearis Latam.
Esta norma tendrá vigencia a partir del 10 de septiembre próximo.
Los recaudos más relevantes que impone esta Comunicación pueden resumirse como sigue:
Gobierno de la tecnología y seguridad de la información a ser establecido por las entidades deberá ser hecho a medida conforme sus operaciones, procesos y estructura. Pero deben asegurar supervisión adecuada de las actividades de tecnología de la información y gestión de los riesgos relacionados con la tecnología y seguridad de la información.
Si bien establece obligaciones al directorio y a la alta gerencia, la norma omite considerar entre sus objetivos la protección de los datos personales.
Las medidas de ciberseguridad deben ser diseñadas a medida por los bancos
También se ocupa de obsolescencia de la tecnología y los sistemas, gestión de la relación con terceras partes, desarrollo y utilización de algoritmos de inteligencia artificial o aprendizaje automático, adopción de tecnología nueva o emergente, software o aplicaciones utilizadas por usuarios que no fueron formalmente autorizados, aspectos de protección de datos personales en el uso de tecnologías asociadas a blockchain, escenarios de ciberincidentes relacionados con datos personales, etc.
La comunicación incorpora el análisis de la inteligencia artificial (IA) y machine learning (ML) debiendo identificar y documentar el objetivo del uso, por sí o por terceros, de software que utilice algoritmos de IA o ML en sus proyectos o procesos, afirmó Allende.
Exige establecer roles y responsabilidades para la definición del contexto en que operan los sistemas de IA, la identificación de los modelos, algoritmos y los conjuntos de datos utilizados, y la definición de métricas y umbrales precisos para evaluar la confiabilidad de las soluciones implementadas.
El algoritmo de IA no debe discriminar entre usuarios o grupos de clientes Adicionalmente, se deberán implementar procesos que promuevan la confiabilidad en el uso de este tipo de algoritmos e incluyan al menos, aclaró Allende:
Otro item son las medidas para evitar la existencia de sesgos o discriminación contra grupos o segmentos de clientes o usuarios de los productos y/o servicios financieros.
La nueva norma define a un ciberincidente como aquel evento cibernético que:
- Pone en peligro la ciberseguridad de un sistema de información o la información que el sistema procesa, almacena o transmite.
- Infringe las políticas de seguridad, los procedimientos de seguridad o las políticas de uso aceptable, sea o no producto de una actividad maliciosa.
Allende celebró que esta comunicación comulgue con convenios internacionales, pero consideró preocupante que todavía en el país no exista un marco general establecido por ley respecto a la ciberseguridad, especialmente cuando está en juego una infraestructura crítica como la del sector financiero.