La opinión de I-SEC

¿Será necesaria una prórroga para implementar la normativa 4609 del Banco Central?

2 de Mayo de 2007

Establece una serie de requisitos mínimos que las entidades financieras deben cumplir en las áreas de tecnología y sistemas. Fue lanzada el pasado 27 de diciembre y el próximo 1 de julio se vece el plazo para implementarla. Canal AR dialogó con Cristian Vila, consultor senior de I-SEC, para saber si las entidades financieras realmente necesitarán una prórroga para avanzar en el tema

“Requisitos mínimos de gestión, implementación y control de los riesgos relacionados con tecnología informática y sistemas de información”, es la comunicación A 4609 que el Banco Central de la República Argentina lanzó el 27 de diciembre pasado. Esta dejó sin efecto la comunicación A 3198, para el caso de las Entidades Financieras, que fijaba un marco mínimo al cual debía ajustarse la gestión de tecnología y sistemas de entidades financieras.

El 1 de julio se vence el plazo establecido por la comunicación y Canal AR dialogó con Cristian Vila, consultor senior de I-SEC, para conocer qué opinan las entidades financieras y cómo han ido avanzando en la implementación de esta medida cuyo propósito es que los procesos y estándares de la tecnología informática que utilizan estos importantes actores del mercado, mejoren.

- ¿Será necesaria una prórroga?

- En realidad no creo que sea necesaria una prórroga para certificar las medidas, sino que, por ejemplo, si un banco necesita sacar home-banking por Internet, no lo va a poder hacer hasta que no tenga los requisitos que le pida esta norma. Y la norma no es más que la orientación de la norma ISO/IEC 17799, que se relaciona con implementar seguridad informática de forma ordenada.

- ¿Cuáles son los beneficios de su aplicación?

- Lo que tiene de bueno es que tiene una parte de organización de la gestión de la seguridad de la información. Prácticamente te ordena como vos tenés que implementar la seguridad informática en el banco. El BCRA no te dice “implementá con este software” sino que facilita un poco más la tarea. Te da controles e indicativos técnicos para que los procesos sean ordenados. Los beneficios de la normativa: facilitar la tarea a las oficinas de seguridad informática. Se adapta a la tecnología nueva, da herramientas para las nuevas tecnologías, dispositivos móviles, home-banking.

- ¿Cuáles son los puntos flojos de la normativa?

En lo que respecta a tecnología no le veo punto en contra. Lo que puede ser es que por el afán de querer implementar esta norma, se incorporen tecnologías para las cuales los bancos no están preparados aún. El hecho de que se implemente ésta normativa no significa que el cliente pueda estar cien por ciento seguro de que nada va a pasar. Un ejemplo es que cuando vas a hacer una transacción vía Internet, aparece la pantalla correspondiente para poner usuario y contraseña. Para mayor seguridad podés usar un teclado virtual, para que, si existe algún programa malicioso, no pueda reconocer lo que tipeás. Ahora hay un nuevo virus que cada vez que clikeás en una letra del teclado virtual, le saca una foto a la pantalla. Esos son keyloggers, y por ejemplo, no están contemplados en esta normativa.

La normativa establece una serie de requisitos mínimos que las entidades financieras deberán cumplir y que serán supervisados por la Superintendencia de Entidades Financieras y Cambiarias. Entre otras cosas, se destaca:

Que el directorio es el responsable de la existencia de un área (Comité de Tecnología Informática, cuya periodicidad mínima de reuniones será trimestral) que gestione la administración y el procesamiento de datos, sistemas o tecnologías relacionadas para todos los canales electrónicos por los que las entidades financieras realizan el ofrecimiento de sus productos y servicios; y de que existan políticas generales y planes estratégicos de corto y mediano plazo, y de la asignación de los recursos necesarios para la mencionada área.

La información crítica o sensible debe ser protegida a fin de evitar su uso no autorizado.

Los recursos y la información, ante su requerimento, deben estar disponibles en tiempo y forma.

El Directorio debe observar la existencia de políticas y procedimientos para administrar el riesgo relacionado a los sistemas de información y la tecnología informática.

Las entidades deben definir una estrategia de protección de activos de información y deben establecer adecuados derechos de acceso a los datos administrados en sus sistemas de información.

Se deben implementar métodos de identificación y autenticación para controlar el acceso lógico a los sistemas y servicios informáticos, como por ejemplo: cambio obligatorio de las contraseñas de acceso en el primer inicio de sesión, contraseñas de 8 caracteres, control de la composición de las contraseñas, registros histórico de las últimas 12 contraseñas utilizadas, el bloqueo permanente de la cuenta del usuario ante 3 intentos de acceso fallidos, técnica de encriptación con algoritmos de robustez reconocida internacionalmente para el archivo de contraseñas, etc.

Implementación de controles de seguridad física aplicados a los activos de información.

Más información: www.bcra.gov.ar.