Ser-Informatica-logos

Ser Informática

Computer Solutions Company

  • Inicio
  • Servicios
    • Mesa de Ayuda I.T.
    • App Token – Llave digital
    • Nube privada – VPS
  • Blog
  • Contacto

Para que no te vacíen la cuenta: el BCRA estableció nuevas obligaciones de ciberseguridad

  • marzo 22, 2023
  • |
  • por
  • |
  • Gabriel Basetti

El Banco Central emitió una detallada norma de ciberseguridad, con la mira en evitar fraudes a clientes bancarios cada vez más frecuentes

El Banco Central dictó una comunicación sobre ciberseguridad para los bancos, en vista de los crecientes fraudes a clientes que ven vaciadas sus cuentas en pocos minutos o que pidieron préstamos sin que fuera su real voluntad.

La flamante Comunicación A 7724 del BCRA impulsa una actualización de las exigencias vinculadas con la gestión de los riesgos de la tecnología y seguridad de la información, la continuidad del negocio, la tecnología, la infraestructura informática y la gestión de ciberincidentes, explicó Agustín Allende, socio de Crearis Latam.

Esta norma tendrá vigencia a partir del 10 de septiembre próximo.

Cuáles son las nuevas obligaciones para los bancos

Los recaudos más relevantes que impone esta Comunicación pueden resumirse como sigue, indicó Allende:

Gobierno de tecnología y seguridad de la información

El gobierno de la tecnología y seguridad de la información a ser establecido por las entidades deberá ser hecho a medida conforme sus operaciones, procesos y estructura. Pero deben asegurar supervisión adecuada de las actividades de tecnología de la información y gestión de los riesgos relacionados con la tecnología y seguridad de la información.

Si bien establece obligaciones al directorio y a la alta gerencia, la norma omite considerar entre sus objetivos la protección de los datos personales.

Las medidas de ciberseguridad deben ser diseñadas a medida por los bancos

Las medidas de ciberseguridad deben ser diseñadas a medida por los bancos

Gestión de riesgos de tecnología y seguridad de la información

Los riesgos relacionados con la tecnología y seguridad de la información a ser incluidos en la evaluación son, especialmente, los que siguen:

  • Escenarios que afecten la resiliencia tecnológica.
  • Obsolescencia de la tecnología y los sistemas.
  • Gestión de la relación con terceras partes.
  • Desarrollo y utilización de algoritmos de inteligencia artificial o aprendizaje automático.
  • Adopción de tecnología nueva o emergente.
  • Software o aplicaciones utilizadas por usuarios que no fueron formalmente autorizados.
  • Aspectos de protección de datos personales en el uso de tecnologías asociadas a blockchain.
  • Escenarios de ciberincidentes relacionados con datos personales.

Inteligencia artificial, bancos y derechos del usuario

La comunicación incorpora el análisis de la inteligencia artificial (IA) y machine learning (ML) debiendo identificar y documentar el objetivo del uso, por sí o por terceros, de software que utilice algoritmos de IA o ML en sus proyectos o procesos, afirmó Allende.

El BCRA prevé el uso de inteligencia artificial por los bancos y los derechos del usuario

El BCRA prevé el uso de inteligencia artificial por los bancos y los derechos del usuario

Exige establecer roles y responsabilidades para la definición del contexto en que operan los sistemas de IA, la identificación de los modelos, algoritmos y los conjuntos de datos utilizados, y la definición de métricas y umbrales precisos para evaluar la confiabilidad de las soluciones implementadas.

Estos análisis de riesgos deberán considerar, como mínimo lo siguente, sostuvo Allende:

  • Los modelos adoptados, su entrenamiento y las posibles discrepancias con la realidad del contexto.
  • Los datos utilizados para el entrenamiento, su volumen, complejidad y obsolescencia.
  • La privacidad y la afectación a los usuarios en su calidad de consumidores.
  • El nivel de madurez de los estándares de pruebas de software y las dificultades para documentar las prácticas basadas en IA.

El algoritmo de IA no debe discriminar entre usuarios o grupos de clientes

El algoritmo de IA no debe discriminar entre usuarios o grupos de clientes

Adicionalmente, se deberán implementar procesos que promuevan la confiabilidad en el uso de este tipo de algoritmos e incluyan al menos, aclaró Allende:

  • Medidas para evitar la existencia de sesgos o discriminación contra grupos o segmentos de clientes o usuarios de los productos y/o servicios financieros.
  • Documentación respecto de la transparencia, la explicabilidad de los modelos utilizados y la interpretabilidad de los resultados.
  • La ejecución de revisiones periódicas de los resultados respecto de la tolerancia al riesgo definida.
  • La comunicación al cliente cuando utilice servicios soportados por este tipo de tecnología.

El pishing y la responsabilidad de los bancos

Gestión de seguridad de la información

La seguridad de los datos biométricos y su vulnerabilidad es seguida de cerca por el BCRA

La seguridad de los datos biométricos y su vulnerabilidad es seguida de cerca por el BCRA

El BCRA establece los requisitos generales para los factores de autenticación mediante el uso de datos biométricos: En la implementación de métodos de autenticación que utilicen datos biométricos, se deberán evaluar y mitigar los riesgos derivados de las siguientes características, precisó Allende:

  • Las limitaciones para asegurar la autenticación del suscriptor debido al carácter probabilístico del método, la tasa de falsos positivos (FMR) y la falta de secreto del dato biométrico.
  • La necesidad de establecer un proceso para la revocación de credenciales de este tipo.
  • Las posibles vulnerabilidades en los dispositivos y sistemas utilizados para la captura y validación de las credenciales.
  • El impacto en la privacidad de los usuarios.

Gestión de ciberincidentes

La nueva norma define a un ciberincidente como aquel evento cibernético que:

  • Pone en peligro la ciberseguridad de un sistema de información o la información que el sistema procesa, almacena o transmite.
  • Infringe las políticas de seguridad, los procedimientos de seguridad o las políticas de uso aceptable, sea o no producto de una actividad maliciosa.

Un ciberincidente infringe normas de seguridad en forma maliciosa o no

Un ciberincidente infringe normas de seguridad en forma maliciosa o no

Las políticas para la gestión de ciberincidentes deben definir, al menos, lo siguiente remarcó Allende:

  • El alcance y las áreas participantes de la respuesta ante ciberincidentes para la entidad, indicando los roles y responsabilidades de cada área.
  • Los objetivos y prioridades de la respuesta alineados a la gestión del riesgo y la continuidad del negocio.
  • Los principios para priorizar y escalar ciberincidentes.
  • Las métricas para realizar los controles para una gestión efectiva.

Allende celebró que esta comunicación comulgue con convenios internacionales, pero consideró preocupante que todavía en el país no exista un marco general establecido por ley respecto a la ciberseguridad, especialmente cuando está en juego una infraestructura crítica como la del sector financiero.

Vía: http://www.iprofesional.com

  • Tags: argentina, cibercrimen, ciberseguridad, login, phishing
PrevAnterior¿Cómo proteger tus recursos tecnológicos con la Llave Digital?
SiguienteEstafas y engaños alrededor de ChatGPTNext

+54 358 4210789

[email protected]

Pje. Pacheco de Melo 1968
Oficina F

Río Cuarto – Cba.

¿Listo para un futuro más simple?

Comencemos
© 2022 Developed by VieyraWeb .
  • Privacy Policy
  • Term Condition
Shopping Basket
Utilizamos cookies para optimizar nuestro sitio web y nuestro servicio.
No vender mi información personal.
AjustesAceptar
Manage consent

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary
Siempre activado
Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsThis cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional11 monthsThe cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary11 monthsThis cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others11 monthsThis cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance11 monthsThis cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy11 monthsThe cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
Functional
Functional cookies help to perform certain functionalities like sharing the content of the website on social media platforms, collect feedbacks, and other third-party features.
Performance
Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.
Analytics
Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.
Advertisement
Advertisement cookies are used to provide visitors with relevant ads and marketing campaigns. These cookies track visitors across websites and collect information to provide customized ads.
Others
Other uncategorized cookies are those that are being analyzed and have not been classified into a category as yet.
GUARDAR Y ACEPTAR