COMUNICACIÓN A 7724 BCRA

COMUNICACIÓN A 7724 BCRA: Plan para No Salir del Mercado

/ Ciberseguridad, Innovación / Por

Análisis y comprensión para poder cumplimentar los requisitos mínimos para la gestión y control de
los riesgos de tecnología y seguridad de la información. COMUNICACIÓN A 7724 Banco Central de la República Argentina (BCRA)

Para cumplimentar de manera adecuada con la comunicación A 7724 del Banco Central de la República Argentina (BCRA), es crucial llevar a cabo un estudio minucioso y detallado de la normativa específica emitida por el BCRA que aplique a tu entidad.

COMUNICACIÓN A 7724
COMUNICACIÓN A 7724

Este proceso de estudio exhaustivo tiene como objetivo fundamental familiarizarse en profundidad con los requisitos y lineamientos establecidos en cada sección de la comunicación A 7724.

Es necesario dedicar tiempo y esfuerzo para analizar cuidadosamente cada sección de la normativa, asegurándose de comprender plenamente las directrices y disposiciones que se detallan en ellas, lo ideal, si no se cuenta con todo el conocimiento en una sola persona, es necesario formar una comité interno para atender al cumplimiento.

Esto implica leer atentamente cada uno de los apartados y subapartados, prestando especial atención a los términos utilizados, las especificaciones técnicas, los procedimientos y los requerimientos exigidos.

El objetivo principal de este estudio detallado es garantizar una comprensión profunda de los requisitos establecidos por el BCRA, ya que el tiempo es finito y la entrada en vigencia está a la vuelta de la esquina.

Es importante identificar de manera precisa los estándares y las expectativas que la entidad financiera debe cumplir, ya sea en términos de gobernanza de tecnología y seguridad de la información, gestión de riesgos, gestión de tecnología de la información, gestión de seguridad de la información, gestión de la continuidad del negocio.

Como también  en infraestructura tecnológica y procesamiento, gestión de ciberincidentes, desarrollo y mantenimiento de software, gestión de la relación con terceras partes, o canales electrónicos, entre otros aspectos abordados en la comunicación A 7724.

Además de comprender los requisitos y lineamientos, es fundamental asegurarse de que la entidad financiera cuente con los procesos, controles y medidas necesarios para cumplir con la normativa establecida.

Esto puede requerir la implementación de políticas y procedimientos internos, la asignación clara de responsabilidades, la adopción de medidas de seguridad adecuadas, la realización de pruebas y evaluaciones periódicas, y la documentación y presentación de informes en conformidad con lo establecido en la comunicación A 7724.

En resumen, el estudio detenido y la familiarización con la normativa del BCRA es un paso esencial para lograr el cumplimiento de la comunicación A 7724.

Este proceso proporcionará a la entidad financiera los conocimientos y la claridad necesarios para implementar y mantener un marco de seguridad y cumplimiento sólido, en línea con las regulaciones establecidas por el BCRA para garantizar la protección de la tecnología y la seguridad de la información en el ámbito financiero.

Evaluación de la situación actual:

En relación con la normativa aplicable a la entidad, se requiere un análisis específico para poder ofrecerte una evaluación precisa. Necesitaría más información sobre el tipo de entidad y la normativa relevante para poder identificar las brechas y deficiencias existentes.

Sin embargo, en términos generales, es común encontrar deficiencias en las áreas de cumplimiento normativo, seguridad de la información, gestión de riesgos y gobierno de tecnología. Estas brechas suelen surgir debido a la falta de políticas y procedimientos claros, falta de asignación de roles y responsabilidades, falta de capacitación y conciencia de los empleados, y falta de supervisión y seguimiento adecuados.

Definición de roles y responsabilidades:

Para establecer roles y responsabilidades claros en la gestión de tecnología y seguridad de la información, se sugiere lo siguiente:

  1. Designar a un responsable de tecnología y seguridad de la información: Esta persona será responsable de liderar y supervisar todas las actividades relacionadas con la gestión de tecnología y seguridad de la información en la entidad. Debe contar con los conocimientos y la experiencia necesarios para desempeñar esta función de manera efectiva.
  2. Formar un equipo de seguridad de la información: El responsable de tecnología y seguridad de la información debe contar con un equipo dedicado a la implementación y supervisión de las medidas de seguridad de la información. Este equipo puede incluir a especialistas en seguridad de la información, analistas de riesgos y personal técnico.
  3. Asignar responsabilidades específicas: Cada miembro del equipo debe tener roles y responsabilidades claras. Esto puede incluir tareas como la evaluación de riesgos, la implementación y monitoreo de controles de seguridad, la gestión de incidentes de seguridad y la capacitación de los empleados.

Desarrollo de políticas y procedimientos:

Para desarrollar políticas y procedimientos internos alineados con los requisitos de la normativa, se recomienda lo siguiente:

  1. Identificar los requisitos normativos relevantes: Realizar un análisis exhaustivo de las normativas aplicables a la entidad y determinar los requisitos específicos que deben cumplirse.
  2. Desarrollar políticas y procedimientos: Crear documentos formales que establezcan las políticas y procedimientos para el gobierno de tecnología, gestión de riesgos, seguridad de la información, continuidad del negocio y gestión de terceros. Estos documentos deben ser claros, concisos y fáciles de entender para todos los empleados.
  3. Implementar y comunicar las políticas: Asegurarse de que las políticas y procedimientos se implementen en toda la organización y que todos los empleados estén al tanto de su existencia y contenido. Proporcionar capacitación adecuada sobre las políticas y procedimientos para garantizar el cumplimiento y la comprensión.
  4. Monitorear y actualizar regularmente: Establecer un proceso de monitoreo continuo para evaluar la efectividad de las políticas y procedimientos implementados. Realizar revisiones periódicas y realizar actualizaciones según sea necesario para garantizar que sigan siendo relevantes y eficaces.

Tenes que tomar en cuenta que estos son solo pasos generales y que cada entidad puede tener requisitos y necesidades específicas. Se recomienda buscar asesoramiento especializado para adaptar estas recomendaciones a la situación particular de tu entidad.

Implementación de controles y medidas de seguridad:

Para la implementación de controles y medidas de seguridad necesarios según los requisitos de la normativa, se sugiere seguir los siguientes pasos:

  1. Identificar los requisitos de seguridad: Analiza detalladamente los requisitos de seguridad establecidos por la normativa aplicable. Esto te ayudará a comprender qué controles y medidas de seguridad específicos deben implementarse en tu entidad.
  2. Realizar una evaluación de riesgos: Lleva a cabo una evaluación de riesgos para identificar las posibles vulnerabilidades y amenazas a la seguridad de la información en tu entidad. Esto te permitirá priorizar y enfocar tus esfuerzos en los controles más críticos.
  3. Diseñar un plan de implementación: Basándote en los resultados de la evaluación de riesgos, elabora un plan de implementación que detalle los controles y medidas de seguridad que se deben implementar. Asegúrate de considerar aspectos como la segregación de funciones, la gestión de activos de información, la gestión de accesos y privilegios, la gestión de vulnerabilidades y la protección de la infraestructura tecnológica.
  4. Implementar los controles y medidas: Pon en marcha el plan de implementación, asegurándote de seguir las mejores prácticas de seguridad de la información. Esto puede incluir la configuración segura de sistemas y redes, la implementación de sistemas de detección y prevención de intrusiones, el establecimiento de políticas de gestión de contraseñas, entre otros.
  5. Monitorear y auditar: Una vez que los controles y medidas de seguridad estén implementados, es crucial establecer un proceso de monitoreo continuo y realizar auditorías periódicas para verificar su efectividad y cumplimiento. Esto te permitirá identificar cualquier brecha de seguridad y tomar medidas correctivas de manera oportuna.
  6. Mantenerse actualizado: La seguridad de la información es un campo en constante evolución, por lo que es importante mantenerse actualizado sobre las últimas amenazas y vulnerabilidades. Realiza actualizaciones periódicas de los controles de seguridad y revisa regularmente las políticas y procedimientos para asegurarte de que sigan siendo efectivos y relevantes.

La implementación de controles y medidas de seguridad debe ser un proceso continuo y estar respaldado por una cultura de seguridad en toda la entidad.

Además, es recomendable buscar asesoramiento especializado para garantizar que se implementen los controles y medidas de seguridad adecuados según los requisitos de la normativa y las necesidades específicas de tu entidad.

Capacitación y concientización:

Diseñar y llevar a cabo programas de capacitación y concientización es fundamental para promover una cultura de seguridad de la información en la entidad.

Aquí tienes algunos pasos para implementar estos programas:

  1. Identificar las necesidades de capacitación: Realiza una evaluación de las necesidades de capacitación en seguridad de la información en tu entidad. Identifica los conocimientos y habilidades necesarios para que el personal comprenda los riesgos y las responsabilidades relacionadas con la seguridad de la información.
  2. Elaborar un plan de capacitación: Basándote en las necesidades identificadas, elabora un plan de capacitación que incluya los temas relevantes, los métodos de entrega (como cursos presenciales, capacitación en línea, material escrito, etc.) y la frecuencia de la capacitación.
  3. Desarrollar materiales de capacitación: Crea materiales de capacitación que sean claros, concisos y fáciles de entender. Puedes incluir presentaciones, guías de referencia, casos de estudio, ejercicios prácticos y otros recursos que ayuden al personal a comprender los conceptos y prácticas de seguridad de la información.
  4. Impartir sesiones de capacitación: Lleva a cabo sesiones de capacitación utilizando los materiales desarrollados. Asegúrate de que las sesiones sean interactivas y fomenten la participación activa de los empleados. Proporciona ejemplos relevantes y casos de estudio para ilustrar los riesgos y las mejores prácticas de seguridad.
  5. Fomentar la concientización continua: La capacitación en seguridad de la información no debe ser un evento único. Promueve la concientización continua mediante la realización de campañas de sensibilización, boletines informativos, correos electrónicos recordatorios y sesiones de actualización periódicas.
  6. Proporcionar recursos y soporte: Además de la capacitación, asegúrate de proporcionar recursos y soporte continuo al personal. Esto puede incluir manuales de referencia, políticas y procedimientos actualizados, contactos de apoyo en caso de dudas o incidentes, y canales de comunicación para informar sobre posibles problemas de seguridad.
  7. Evaluar el impacto y la efectividad: Realiza evaluaciones periódicas para medir el impacto y la efectividad de los programas de capacitación y concientización. Puedes utilizar encuestas, pruebas de conocimiento o evaluaciones de desempeño para determinar si el personal ha adquirido los conocimientos y habilidades necesarios.

Recuerda que la concientización en seguridad de la información debe ser un esfuerzo continuo y estar respaldada por el compromiso de la alta dirección. Además, es importante adaptar los programas de capacitación a las necesidades y características específicas de tu entidad.

Pruebas y evaluación periódica:

BCRA establece nuevas normas de seguridad cibernética al mercado financiero
BCRA establece nuevas normas de seguridad cibernética al mercado financiero

Realizar pruebas y evaluaciones periódicas es esencial para garantizar la eficacia de los controles implementados y el cumplimiento de la normativa.

Aquí te presento algunos pasos para llevar a cabo estas actividades:

  1. Pruebas de seguridad y evaluaciones de vulnerabilidades: Realiza pruebas periódicas de seguridad y evaluaciones de vulnerabilidades en los sistemas, redes y aplicaciones de tu entidad. Estas pruebas ayudarán a identificar posibles brechas de seguridad y vulnerabilidades que podrían ser explotadas por atacantes. Puedes utilizar herramientas automatizadas de escaneo de vulnerabilidades o contratar servicios de terceros especializados en pruebas de seguridad.
  2. Pruebas de penetración: Considera realizar pruebas de penetración, también conocidas como “penetration testing”, en las que se simulan ataques controlados a los sistemas de tu entidad para evaluar su resistencia. Estas pruebas pueden revelar debilidades significativas y ayudar a fortalecer los controles de seguridad.
  3. Auditorías internas: Realiza auditorías internas periódicas para evaluar el cumplimiento de los controles de seguridad y los requisitos de la normativa. Las auditorías internas pueden ser realizadas por un equipo interno de auditoría o por un auditor independiente designado dentro de la organización. Asegúrate de que las auditorías internas sean imparciales y se realicen de acuerdo con las mejores prácticas de auditoría.
  4. Auditorías externas: Considera realizar auditorías externas a través de terceros independientes. Estas auditorías permiten obtener una evaluación objetiva de los controles de seguridad y el cumplimiento de la normativa. Los auditores externos deben tener experiencia y conocimientos especializados en la normativa específica aplicable a tu entidad.
  5. Evaluación del cumplimiento normativo: Realiza evaluaciones periódicas para verificar el cumplimiento de la normativa aplicable a tu entidad. Asegúrate de revisar regularmente los requisitos normativos y compararlos con los controles implementados. Identifica posibles brechas o deficiencias y toma las medidas necesarias para corregirlas.
  6. Documenta los hallazgos y toma medidas correctivas: Durante las pruebas y evaluaciones, documenta todos los hallazgos, incluidas las debilidades identificadas y las recomendaciones para mejorar los controles de seguridad. Toma medidas correctivas para abordar las brechas de seguridad y garantizar el cumplimiento de los requisitos normativos.

Las pruebas y evaluaciones periódicas deben ser parte de un enfoque continuo de mejora de la seguridad de la información.

Utiliza los hallazgos de las pruebas y auditorías para realizar ajustes y mejoras en los controles y procesos de seguridad de tu entidad.

Mantenimiento y mejora continua:

El mantenimiento y la mejora continua son fundamentales para asegurar que los controles de seguridad se mantengan efectivos y

BCRA
BCRA

alineados con los requisitos normativos y las mejores prácticas. Aquí tienes algunos pasos para llevar a cabo estas actividades:

  1. Revisión regular de políticas y procedimientos: Realiza revisiones periódicas de tus políticas y procedimientos internos para asegurarte de que estén actualizados y alineados con los requisitos normativos y las necesidades de tu entidad. Identifica cualquier cambio en la normativa o en el entorno operativo que pueda requerir ajustes en las políticas y procedimientos.
  2. Actualización de controles de seguridad: Evalúa regularmente tus controles de seguridad para asegurarte de que sigan siendo efectivos en la protección de la información y en el cumplimiento de los requisitos normativos. Considera las nuevas amenazas y vulnerabilidades que puedan surgir y adopta medidas para mitigarlos. Realiza ajustes en los controles existentes o implementa nuevos controles según sea necesario.
  3. Gestión de cambios: Establece un proceso formal de gestión de cambios para evaluar, aprobar y llevar a cabo modificaciones en los sistemas, infraestructura o procesos relacionados con la seguridad de la información. Asegúrate de que los cambios sean realizados de manera controlada y documentada, evitando riesgos y manteniendo la integridad de los controles de seguridad.
  4. Monitoreo y análisis de incidentes: Establece un sistema de monitoreo y análisis de incidentes de seguridad para identificar patrones y tendencias en los ataques o incidentes de seguridad. Utiliza esta información para mejorar los controles de seguridad existentes y prevenir futuros incidentes.
  5. Capacitación y concientización continuas: Proporciona capacitación y concientización periódicas a los empleados sobre las políticas, procedimientos y controles de seguridad. Mantén a tus empleados actualizados sobre las nuevas amenazas y mejores prácticas de seguridad de la información para que estén equipados para cumplir con sus responsabilidades de seguridad.
  6. Evaluación de proveedores y terceros: Realiza evaluaciones periódicas de tus proveedores y terceros para asegurarte de que cumplen con los requisitos de seguridad de la información establecidos por la normativa. Actualiza tus evaluaciones y requisitos a medida que surjan nuevas amenazas o cambien las condiciones del entorno.

La mejora continua debe ser parte de la cultura de seguridad de tu entidad. Fomenta la participación activa de todos los empleados y promueve una mentalidad de aprendizaje y adaptación constante frente a las amenazas emergentes y los cambios en la normativa.

 

Por Marcelo Lozano – General Publisher IT Connect Latam

 

Lea más sobre ciberseguridad en:
Cibercrimen vs Piratería Ética: 15 Tipos de Hackers Actuales
IA Generativa o ChatGPT corporativo seguro: Netskope 2023
TriangleDB: nuevas revelaciones al 21 de Junio
ChatGPT 100.000 cuentas comprometidas a la venta en la Dark Web
ChamelGang en Linux: Una expansión de capacidades de amenazas 2023

 

COMUNICACIÓN A 7724, COMUNICACIÓN A 7724, COMUNICACIÓN A 7724, COMUNICACIÓN A 7724, COMUNICACIÓN A 7724, COMUNICACIÓN A 7724, COMUNICACIÓN A 7724, COMUNICACIÓN A 7724, COMUNICACIÓN A 7724, COMUNICACIÓN A 7724, COMUNICACIÓN A 7724, COMUNICACIÓN A 7724, COMUNICACIÓN A 7724, COMUNICACIÓN A 7724, COMUNICACIÓN A 7724, 

COMUNICACIÓN A 7724, COMUNICACIÓN A 7724, COMUNICACIÓN A 7724, COMUNICACIÓN A 7724, COMUNICACIÓN A 7724, COMUNICACIÓN A 7724, COMUNICACIÓN A 7724, COMUNICACIÓN A 7724, COMUNICACIÓN A 7724, COMUNICACIÓN A 7724, COMUNICACIÓN A 7724, COMUNICACIÓN A 7724, COMUNICACIÓN A 7724, COMUNICACIÓN A 7724, COMUNICACIÓN A 7724, 

Scroll al inicio