La problemática de la seguridad de los sistemas de información fue siempre, desde la irrupción de la informática en la operatoria de las organizaciones, un tema que tempranamente ha preocupado a los gestores de los sistemas de información, así como a la alta gerencia de las empresas.
Durante largo tiempo, cuando se analizaba la problemática de la seguridad, se consideraba que su abordaje era un tema de los especialistas técnicos, quienes, detectando las soluciones más adecuadas que el desarrollo de la tecnología ponía a su disposición, estarían en condiciones de acotar el riesgo.
Hoy, el desarrollo de la tecnología ha producido un acentuamiento de la problemática de la seguridad, en la medida en que la información, los documentos digitales almacenados y los bancos de datos de las organizaciones se han ido transformando en el segmento más importante del patrimonio de las empresas.
Asimismo, ello ha conducido a acuñar internacionalmente un moderno concepto de la seguridad de los sistemas de información que, superando el viejo concepto antes mencionado, exclusivamente técnico, considera que el abordaje de la seguridad informática requiere una adecuada sinergia entre aquello que la tecnología pone a nuestra disposición para dar seguridad a nuestros bancos de datos y a nuestros sistemas, y la normativa jurídica interna que cierre el círculo de la seguridad.
En definitiva, la seguridad en la actualidad es un problema de técnicos y abogados especializados en derecho informático: la respuesta adecuada es técnico-jurídica.
Ante la realidad antes reseñada, el Banco Central de la República Argentina (BCRA) sancionó la comunicación “A” 7724 mediante resolución del 10 de febrero del corriente año. El objetivo fue actualizar la normativa regulatoria de la seguridad de los sistemas de información en las entidades financieras, receptando, como veremos, el moderno concepto de adecuada sinergia entre tecnología y derecho, a fin de acotar el riesgo de las organizaciones.
Por ello nos hemos propuesto analizar en líneas generales el contenido de la mencionada normativa regulatoria, intentando detectar la problemática planteada y preocupándonos por señalar también los lineamientos de una metodología adecuada para su abordaje, atendiendo en primer lugar al hecho de que la norma en análisis establece plazos y etapas de cumplimiento, pero teniendo presente que su vigencia, en lo que se refiere a su contenido, será de aplicación permanente en todas las entidades que operan en el sistema financiero.
Es importante señalar que la comunicación BCRA “A” 7724 se propone determinar los requisitos mínimos para la gestión y control de los riesgos de tecnología y seguridad de la información, en la coyuntura actual, lo que ha obligado al ente regulador de la actividad financiera a la actualización de normativas anteriormente sancionadas.
La comunicación que analizamos se encuentra ordenada en diferentes bloques temáticos que van determinando desde el inicio, los diferentes ámbitos a tener en cuenta. Esos bloques son:
* Gobierno de tecnología y seguridad de la información.
* Gestión de riesgos de tecnología y seguridad de la información.
* Gestión de continuidad de negocios.
* Gestión de ciberincidentes.
* Desarrollo, adquisición y mantenimiento de software.
* Gestión de relación con terceras partes.
* Canales electrónicos.
Del simple señalamiento de los bloques temáticos de la norma surgen con claridad, a nuestro criterio, los diferentes ámbitos tecnológicos tenidos en cuenta sobre los que la normativa resuelve el establecimiento de requisitos mínimos de seguridad.
Es necesario acotar que la adecuación de las entidades financieras a los lineamientos de la norma es obligatoria, tiene plazos establecidos por ésta y prevé las pertinentes auditorías técnico jurídicas.
Al referirse a los sujetos obligados, las entidades financieras, resalta la necesidad de demostración de comprensión de los riesgos, estableciendo un marco de referencia para su gestión, atendiendo a su complejidad; determina la necesidad de la estructuración del marco normativo interno y sostiene la necesidad del abordaje de los aspectos de seguridad como un proceso de mejora continua que responda a estándares internacionales.
Sólo queremos señalar a esta altura de nuestro análisis preliminar que la comunicación BCRA “A” 7724 determina claramente la estructuración del marco normativo interno de cada entidad financiera, y como veremos más adelante, previendo normativas internas específicas en cada uno de los bloques temáticos antes señalados.
Constituye uno de los requisitos mínimos normados la definición del papel del directorio y alta gerencia, junto a las gerencias directamente involucradas, en lo que la norma denomina el “Gobierno de Tecnología y Seguridad de la Información”. En este aspecto, determina el papel de cada nivel jerárquico de las entidades, la previsión de una supervisión adecuada, así como las auditorías de seguimiento y el monitoreo permanente.
Asimismo, aborda con detenimiento la problemática de la definición de roles diferenciados en cuanto a las responsabilidades específicas relacionadas con la seguridad, determinando las funciones del directorio y su supervisión de las estructuras organizacionales y los planes estratégicos y de monitoreo continuo, destacando la necesidad de la oportuna sanción del marco normativo interno.
En el acápite correspondiente a la alta gerencia de las entidades financieras, junto a destacar claramente sus funciones y responsabilidades, determina particularmente la obligación de establecer “el marco normativo de la seguridad de los sistemas de información”.
Define la norma que comentamos la obligatoriedad de estructuración de un comité de gobierno en el ámbito de cada entidad, destacando la obligatoriedad de su constitución y funcionamiento, integrado por representantes del directorio, la alta gerencia y los demás representantes de las áreas involucradas. Entre las funciones del comité de gobierno se señala “el control de cumplimiento de la normativa interna”, estableciendo mecanismos para la adecuada documentación de su funcionamiento.
La norma acentúa la preocupación por la segregación de funciones, sosteniendo que la función de cada rol deberá ser determinada por la normativa interna, de manera tal de impedir superposiciones.
Con referencia al marco normativo, a que hemos hecho reiterada referencia, destaca que está constituido por un “conjunto de normas de carácter general y particular de cada sector de la institución, que incluye políticas, normas y procedimientos para la efectiva gestión de la seguridad informática y el control de riesgos. Dichas normativas deberán ser claramente comunicadas y ser objeto de su actualización periódica”.
Señalamos más arriba que la importancia del abordaje de la problemática de la seguridad de los sistemas de información se fundamenta en que los datos de toda organización se han ido transformando en la parte más importante de su patrimonio.
Coherente con dicho concepto, la comunicación “A” 7724 señala mecanismos para el control de su uso, de la calidad de su contenido, así como de adecuados métodos para el intercambio de datos con terceras partes, los que deberán estar claramente determinados por la normativa interna.
En otros acápites y con el mismo criterio la norma se refiere a la gestión de activos, la incorporación de sistemas de inteligencia artificial y aprendizaje automático, control y reportes de gestión.
En el articulado referido a las normas y procedimientos, se referencia puntualmente que su contenido debe abordar aspectos tales como el control de acceso, contraseñas, gestión de vulnerabilidades, definición de criterios para compartir información, dispositivos móviles, uso de software no autorizado y estándares de informática forense.
En el ámbito de la comunicación telemática, la norma incluye un apartado referido a los métodos de autenticación, estableciendo que para su selección “se debe considerar en cada caso el análisis de riesgo y el cumplimiento de las políticas y los procedimientos de control de acceso”, destacando la importancia y requerimiento de la encriptación y la identificación por diferentes factores complementarios, haciendo particular referencia a la registración de datos biométricos.
Lo mencionado tiene directa relación con el tratamiento por la norma de los canales electrónicos, para cuya operatoria aborda aspectos de concientización y capacitación, control de acceso e identificación y la elaboración de una normativa jurídica específica que prevea adecuada documentación de todos los procesos.
Intentamos un somero análisis de la norma a fin de destacar su trascendencia y la recepción por el BCRA en su requerimiento de elaboración de una normativa interna, como se ha señalado, de carácter general y particular.
Ahora bien, la adecuación de las entidades financieras a los requerimientos mínimos de seguridad de sus sistemas de información precisará abordar el proyecto de conformidad con la adopción de una metodología que determine claramente el camino crítico para responder a los requerimientos del BCRA que deberá abordar aspectos de información, organización, tecnología y normativa jurídica partiendo del relevamiento y documentación de la realidad actual y adecuando sistemas, gobierno y normativa interna a los requerimientos de la disposición.
(*) Zang, Bergel & Viñes Abogados
www.abogados.com.ar