La Comunicación «A» 7724 del Banco Central de la República Argentina garantiza el tratamiento adecuado de datos sensibles y la trazabilidad ante posibles fugas en las entidades financieras del país. A pesar de la conveniencia que la tecnología ha aportado a nuestras vidas, también ha permitido a los cibercriminales emplear inteligencia artificial (IA) y machine learning (ML) para obtener información delicada, incluida la manejada por las mencionadas instituciones. En este contexto digital, el cibercrimen es omnipresente, lo que exige que las empresas cumplan con requisitos mínimos para proteger la información o, en última instancia, rastrear y resolver problemas. Ante el aumento de fraudes electrónicos en toda Latinoamérica, el Banco Central de la República Argentina ha respondido al crear la Comunicación «A» 7724 para actualizar el cumplimiento en las entidades financieras del país.
La Comunicación «A» 7724 del BCRA, en vigor desde marzo de 2023, establece requisitos mínimos para la gestión de riesgos tecnológicos y de seguridad. Reemplaza a la obsoleta Comunicación «A» 7370 y se basa en neutralidad tecnológica y estándares actuales. Adapta buenas prácticas, incluido el modelo de 3 líneas, para abordar diversas áreas de relevancia en el sector financiero.
La Comunicación “A” 7724 contiene 12 secciones. Las primeras 10 listan los requisitos que las entidades bancarias y financieras en Argentina deben cumplir para garantizar el control interno y la gestión de riesgos de su entorno de TI. Con este fin, la normativa tomó referencias de estándares internacionales como COBIT 2019, NIST e ISO 27001.
Si hubiera que escoger una herramienta para cumplir lo mínimo de la Comunicación “A” 7724, Endpoint Central sería la ideal. Esta solución de UEM ayuda a administrar servidores y puede escalar fácilmente. Por supuesto, no es obligatorio limitarse a una sola herramienta. La sinergia entre las diferentes soluciones de ManageEngine otorga una visibilidad total del entorno de TI. A continuación, encontrará un listado de las herramientas que le ayudarán a cumplir a cabalidad todas las condiciones de las 10 secciones de la Comunicación “A” 7724.
Como se mencionó, la normativa tiene un enfoque de gobernanza de tecnologías y seguridad de la información. Esto se logra asignando responsabilidades e incluyendo la gestión de ciberincidentes. Asimismo, la ley tiene un enfoque de riesgos para todas las entidades.
Con el fin de proteger a su compañía de riesgos relacionados con la tecnología y la seguridad de la información, puede utilizar las siguientes herramientas para dar seguimiento: EventLog Analyzer, ServiceDesk Plus, ADManager, ADAudit y Endpoint Central.
Las entidades deben establecer roles y responsabilidades para la definición del contexto en que operan estos algoritmos, además de métricas y umbrales precisos para evaluar la confiabilidad de las soluciones implementadas. También tiene que haber procesos que promuevan la confiabilidad en el uso de estas tecnologías.
Esta sección abarca seguimiento de amenazas, gestión de vulnerabilidades, capacitación en riesgos, control de acceso, autenticación y operaciones de seguridad, así como detección y análisis de eventos.
Esta sección se centra en los procesos necesarios para atender eventos de disrupción basados en riesgos y el análisis de impacto. Estos procesos promueven la capacitación y los ejercicios para probar los planes de continuidad y su actualización.
Esta sección se enfoca en las condiciones que debe cumplir su compañía para garantizar la salud de su infraestructura. Esto va más allá de protegerse contra amenazas. El estado de actualizaciones de los diferentes elementos tecnológicos juega un importante papel dentro de la resiliencia de su organización.
Siguiendo la Comunicación «A» 7266 sobre Respuesta y Recuperación ante CiberIncidentes, esta sección se enfoca en la gestión integrada para la continuidad del negocio y en la protección de la información de quejas de clientes. La Comunicación “A” 7724 define un ciberincidente como una amenaza para la seguridad del sistema y la información, incluso sin actividad maliciosa. Para prevenir y abordar ciberincidentes, se requiere un registro completo con eventos y evidencias, asegurando su integridad y confidencialidad.
Esta sección incluye aspectos puntuales sobre las aplicaciones que registran información de interés para el BCRA, la vinculación con la gestión de proyectos y las especificaciones para que el ciclo de vida del desarrollo haga cumplimiento. Estas incluyen el modelado de amenazas, las pruebas y la gestión de vulnerabilidades.
Requisitos para los sistemas y aplicaciones. ServiceDesk Plus le permite registrar y procesar la totalidad de las operaciones de su negocio. Esta mesa de ayuda también permite configurar todo lo relacionado con la normativa que reciban los usuarios.
Gestión del ciclo de vida de “software”. A través de Endpoint Central y Asset Explorer, puede verificar si su hardware y software requieren actualizaciones. Al reducir la obsolescencia, se reduce el posible riesgo de una brecha de seguridad.
Es esencial implementar controles que garanticen la resiliencia, seguridad y continuidad del negocio en relación con terceros. Las amenazas de la cadena de suministros deben ser abordadas, por lo que se han incorporado requisitos para gestionar ciberincidentes desde la formalización de servicios de terceros.
Marco de gestión de la relación con terceras partes, Control y monitoreo. La Elevación de privilegios a tiempo y el Gobierno de cuentas privilegiadas de PAM360 permiten definir roles con el fin de evitar ataques internos.
Formalización de la relación. ServiceDesk Plus ofrece métricas y KPI que permiten cuantificar la calidad del servicio. Los KPI ayudan a mejorar la gestión de las mesas de ayuda de TI al identificar rápidamente los puntos débiles y los cuellos de botella.
Informes de auditoría interna y externa. Endpoint Central, ADAudit Plus, PAM360 y EventLog Analyzer permiten generar informes intuitivos sobre procesos, servicios y actividades.
Cumplir con todos los requisitos descritos a lo largo de la Comunicación “A” 7724 no será sencillo. Al fin y al cabo, implica una transformación estructural. Sin embargo, este cambio también garantiza beneficios como una mayor resiliencia tecnológica.
Por fortuna, ManageEngine ofrece su ayuda a las entidades bancarias en Argentina que estén dispuestas a dar el salto para garantizar una mayor seguridad a sus clientes. ¡Lo invitamos a que eche un vistazo a nuestro catálogo de soluciones y escoja la que más se adapte a su organización para dar comienzo a su transformación!
© 2022 - Todos los derechos reservados.