Comunicación «A» 7724 del BCRA:
¿Cómo aplicarla para garantizar la
seguridad de los bancos en Argentina?

Noticias y Novedades

La Comunicación «A» 7724 del Banco Central de la República Argentina garantiza el tratamiento adecuado de datos sensibles y la trazabilidad ante posibles fugas en las entidades financieras del país. A pesar de la conveniencia que la tecnología ha aportado a nuestras vidas, también ha permitido a los cibercriminales emplear inteligencia artificial (IA) y machine learning (ML) para obtener información delicada, incluida la manejada por las mencionadas instituciones. En este contexto digital, el cibercrimen es omnipresente, lo que exige que las empresas cumplan con requisitos mínimos para proteger la información o, en última instancia, rastrear y resolver problemas. Ante el aumento de fraudes electrónicos en toda Latinoamérica, el Banco Central de la República Argentina ha respondido al crear la Comunicación «A» 7724 para actualizar el cumplimiento en las entidades financieras del país.

 

1- ¿En qué consiste la 1 Comunicación “A” 7724?

 

La Comunicación «A» 7724 del BCRA, en vigor desde marzo de 2023, establece requisitos mínimos para la gestión de riesgos tecnológicos y de seguridad. Reemplaza a la obsoleta Comunicación «A» 7370 y se basa en neutralidad tecnológica y estándares actuales. Adapta buenas prácticas, incluido el modelo de 3 líneas, para abordar diversas áreas de relevancia en el sector financiero.

 

2- ¿Cómo se estructura la norma?

 

La Comunicación “A” 7724 contiene 12 secciones. Las primeras 10 listan los requisitos que las entidades bancarias y financieras en Argentina deben cumplir para garantizar el control interno y la gestión de riesgos de su entorno de TI. Con este fin, la normativa tomó referencias de estándares internacionales como COBIT 2019, NIST e ISO 27001.

 

3- Cómo puede ayudar ManageEngine en el cumplimiento de la norma?

 

Si hubiera que escoger una herramienta para cumplir lo mínimo de la Comunicación “A” 7724, Endpoint Central sería la ideal. Esta solución de UEM ayuda a administrar servidores y puede escalar fácilmente. Por supuesto, no es obligatorio limitarse a una sola herramienta. La sinergia entre las diferentes soluciones de ManageEngine otorga una visibilidad total del entorno de TI. A continuación, encontrará un listado de las herramientas que le ayudarán a cumplir a cabalidad todas las condiciones de las 10 secciones de la Comunicación “A” 7724.

 

3.1- Gestión de riesgos de tecnología y seguridad de la información.

 

Como se mencionó, la normativa tiene un enfoque de gobernanza de tecnologías y seguridad de la información. Esto se logra asignando responsabilidades e incluyendo la gestión de ciberincidentes. Asimismo, la ley tiene un enfoque de riesgos para todas las entidades.

Con el fin de proteger a su compañía de riesgos relacionados con la tecnología y la seguridad de la información, puede utilizar las siguientes herramientas para dar seguimiento: EventLog Analyzer, ServiceDesk Plus, ADManager, ADAudit y Endpoint Central.

 

3.2- Gestión de tecnología de información

 

Las entidades deben establecer roles y responsabilidades para la definición del contexto en que operan estos algoritmos, además de métricas y umbrales precisos para evaluar la confiabilidad de las soluciones implementadas. También tiene que haber procesos que promuevan la confiabilidad en el uso de estas tecnologías.

 

  • • Arquitectura empresarial. OPManager Plus cuenta con una función de monitoreo de infraestructura. Al garantizar el rendimiento óptimo de 3.2. Gestión de tecnología de la información, los elementos individuales, la coordinación de la estrategia de datos, la arquitectura de tecnología y las aplicaciones con los procesos del negocio es más fácil.

 

  • • Presupuesto, inversiones y gestión de portafolio. ServiceDesk Plus facilita la gestión de activos. Incluyen sistemas de información: hardware, software, etc.

 

  • • Clasificación de los datos e información. A través de la función homónima de Endpoint DLP Plus, podrá proteger su información sensible detectándola y etiquetándola apropiadamente. De esta forma, es mucho más fácil crear políticas que dicten exactamente cómo se debe tratar el contenido especificado.

 

  • • Gestión de activos de información. Endpoint Central y Asset Explorer facilitan la identificación de vulnerabilidades. Estas pueden ir desde hardware obsoleto hasta software desactualizado. Así se puede garantizar el cumplimiento de los estándares internos de configuración y seguridad.

 

  • • Inteligencia artificial o aprendizaje automático. Log360 puede ayudar a identificar y documentar el objetivo del uso de software que utilice algoritmos de IA o aprendizaje automático por medio del análisis de logs y datos.

 

  • • Control y reportes de gestión. ServiceDesk Plus, OpManager Plus, Endpoint Central y Asset Explorer conceden una visibilidad total de la infraestructura TI. Esto incluye información como el rendimiento de los sistemas. Estos datos son la mejor herramienta para hacer una auditoría de riesgos y controlarlos.

 

3.3- Gestión de seguridad de la información

 

Esta sección abarca seguimiento de amenazas, gestión de vulnerabilidades, capacitación en riesgos, control de acceso, autenticación y operaciones de seguridad, así como detección y análisis de eventos.

  • • Marco de gestión de seguridad de la información. A través de EventLog Analyzer, Data Security Plus y PAM360, es posible proteger los activos, detectar incidentes que podrían conllevar a un ciberataque y tomar medidas preventivas.

 

  • • Estrategia de seguridad de la información. Para prevenir un ataque, es necesario establecer una estrategia de seguridad que se ciña al marco MITRE ATT&. En este caso, su mejor aliado es la función UEBA de Log360. Esta monitorea la actividad del usuario para identificar cambios de comportamiento.

 

 

  • • Control y reportes de gestión. PAM360, Endpoint Central, ADAudit Plus y Log360 permiten hacer un seguimiento y una evaluación de las tareas desarrolladas y el cumplimiento de objetivos. Las métricas provistas por estas herramientas ayudan a controlar los desvíos y establecer acciones correctivas.

 

  • • Control de accesos físicos a sistemas y datos. Con el fin de reducir el riesgo que presentan las áreas destinadas al procesamiento, la transmisión y el almacenamiento de datos, PAM360, Endpoint DLP Plus y OpManager ayudan a implementar medidas de prevención, detección y corrección.

 

 

3.4- Gestión de la continuidad del negocio

 

Esta sección se centra en los procesos necesarios para atender eventos de disrupción basados en riesgos y el análisis de impacto. Estos procesos promueven la capacitación y los ejercicios para probar los planes de continuidad y su actualización.

  • • Marco de gestión de la continuidad. A través de Endpoint Central y Log360, es sencillo detectar preventivamente incidentes que podrían conllevar a la caída del servicio. También facilitan el trabajo de los responsables de la coordinación de las actividades vinculadas con la gestión de la continuidad del negocio.

 

  • • Ciberresiliencia en la continuidad del negocio & Estrategias de continuidad del negocio. Recovery Manager permite respaldar todos sus directorios activos (AD), servidores Exchange, buzones de correo y servicios en la nube.

 

3.5- Infraestructura tecnológica y procesamiento

 

Esta sección se enfoca en las condiciones que debe cumplir su compañía para garantizar la salud de su infraestructura. Esto va más allá de protegerse contra amenazas. El estado de actualizaciones de los diferentes elementos tecnológicos juega un importante papel dentro de la resiliencia de su organización.

  • • Gestión de la infraestructura tecnológica. OpManager Plus y Site24x7 se encargan del monitoreo de la infraestructura, la operación de los sistemas y la gestión de las comunicaciones. Esto permite alinear todos estos aspectos.

 

  • • Gestión de cambios. Con la gestión integral de cambios de SDP, organizar los cambios de TI es más fácil y eficiente. No importa su escala. Maneje los cambios en su mesa de ayuda con una mínima interrupción de los servicios.

 

 

  • • Gestión de las comunicaciones. La función de gestión de red de OpManager detecta, aísla y soluciona las fallas. También eleva las alarmas para remediarlas rápidamente. De esta forma, puede conseguir una red libre de errores.

 

  • • Procesamiento de datos. El monitoreo de procesos de OpManager provee datos valiosos sobre el rendimiento de cada proceso crítico asociado con las aplicaciones y los servicios. Esto garantiza el desempeño óptimo del servidor.

 

  • • Monitoreo de la infraestructura tecnológica y procesamiento. Applications Manager genera informes sobre el rendimiento y el funcionamiento de aplicaciones y dispositivos. No importa si pertenecen a terceros.

 

3.6- Gestión de ciberincidentes

 

Siguiendo la Comunicación «A» 7266 sobre Respuesta y Recuperación ante CiberIncidentes, esta sección se enfoca en la gestión integrada para la continuidad del negocio y en la protección de la información de quejas de clientes. La Comunicación “A” 7724 define un ciberincidente como una amenaza para la seguridad del sistema y la información, incluso sin actividad maliciosa. Para prevenir y abordar ciberincidentes, se requiere un registro completo con eventos y evidencias, asegurando su integridad y confidencialidad.

  • • Preparación de la respuesta ante ciberincidentes. Log360 y Endpoint Central permiten establecer criterios para la priorización de la atención de ciberincidentes basados en la criticidad y el análisis e investigación forense.

 

  • • Ejercicios y pruebas de la respuesta ante ciberincidentes. La función de Inteligencia de Amenazas de EventLog Analyzer ayuda a detectar ataques ante el primer indicio de problemas a través del análisis y la correlación de una lista negra de IPs.

 

  • Control y reportes de gestión. Por medio del dashboard de Log360, puede recopilar y analizar logs de varias fuentes en su entorno, y obtener información en forma de gráficas e informes que ayudan a detectar amenazas de seguridad.

 

3.7- Desarrollo, adquisición y mantenimiento de software

 

Esta sección incluye aspectos puntuales sobre las aplicaciones que registran información de interés para el BCRA, la vinculación con la gestión de proyectos y las especificaciones para que el ciclo de vida del desarrollo haga cumplimiento. Estas incluyen el modelado de amenazas, las pruebas y la gestión de vulnerabilidades.

Requisitos para los sistemas y aplicaciones. ServiceDesk Plus le permite registrar y procesar la totalidad de las operaciones de su negocio. Esta mesa de ayuda también permite configurar todo lo relacionado con la normativa que reciban los usuarios.

Gestión del ciclo de vida de “software”. A través de Endpoint Central y Asset Explorer, puede verificar si su hardware y software requieren actualizaciones. Al reducir la obsolescencia, se reduce el posible riesgo de una brecha de seguridad.

 

3.8- Gestión de la relación con terceras partes

 

Es esencial implementar controles que garanticen la resiliencia, seguridad y continuidad del negocio en relación con terceros. Las amenazas de la cadena de suministros deben ser abordadas, por lo que se han incorporado requisitos para gestionar ciberincidentes desde la formalización de servicios de terceros.

Marco de gestión de la relación con terceras partes, Control y monitoreo. La Elevación de privilegios a tiempo y el Gobierno de cuentas privilegiadas de PAM360 permiten definir roles con el fin de evitar ataques internos.

Formalización de la relación. ServiceDesk Plus ofrece métricas y KPI que permiten cuantificar la calidad del servicio. Los KPI ayudan a mejorar la gestión de las mesas de ayuda de TI al identificar rápidamente los puntos débiles y los cuellos de botella.

Informes de auditoría interna y externa. Endpoint Central, ADAudit Plus, PAM360 y EventLog Analyzer permiten generar informes intuitivos sobre procesos, servicios y actividades.

 

4- Haga el salto para cumplir los requisitos mínimos para la gestión y control de los Riesgos de tecnología y seguridad de la información

 

Cumplir con todos los requisitos descritos a lo largo de la Comunicación “A” 7724 no será sencillo. Al fin y al cabo, implica una transformación estructural. Sin embargo, este cambio también garantiza beneficios como una mayor resiliencia tecnológica.

Por fortuna, ManageEngine ofrece su ayuda a las entidades bancarias en Argentina que estén dispuestas a dar el salto para garantizar una mayor seguridad a sus clientes. ¡Lo invitamos a que eche un vistazo a nuestro catálogo de soluciones y escoja la que más se adapte a su organización para dar comienzo a su transformación!

 

 

¿Le interesaría comunicarse con un consultor técnico?

Solicítelo a través de nuestro whatsapp

 

 

×