Los bancos deberán reforzar su seguridad informática

Semanas atrás, Canal AR publicó una nota respecto a la circular 4609, emitida por el Banco Central de la República Argentina. La misma establece los "Requisitos mínimos de gestión, implementación y control de los riesgos relacionados con tecnología informática y sistemas de información" (ver nota). Este medio se preguntó si existirá una prorroga para que los bancos puedan llevar adelante las implementaciones necesarias para cumplir con los principales lineamientos que establece la comunicación.

En esta oportunidad, en diálogo con Canal AR, Pablo Romanos, gerente de Organización de la Seguridad de la consultora especializada Khu Technologies, brindó su opinión al respecto y explicó los motivos por los cuales no se otorgará una prorroga en la implementación de la comunicación 4609.

- ¿Cuáles considerás que son los pro de esta nueva circular?

- Refuerza muchos controles de seguridad respecto a la 3198, la anterior circular del año 2000. Si bien es una norma que tiene muchos componentes de la ISO 17799 que esencialmente sugiere pero no indica el cómo, agrega muchos controles técnicos específicos, como por ejemplo los referidos a los cajeros automáticos o a las contraseñas de las tarjetas, home-banking, etc.

- ¿Por qué no se otorga una prórroga para su implementación teniendo en cuenta que los bancos la solicitan?

- Si bien hay bancos que tienen implementadas medidas de seguridad del estilo de las propuestas por la circular, u otras basadas en estándares internacionales, hay otros que no. Yo creo que el BCRA no le da una prórroga a la implementación porque quiere inducir a esos bancos a que, al menos, inicien los proyectos de mejora. El BCRA lleva adelante auditorías periódicas a las entidades bancarias y les da un puntaje en función del cumplimiento de las normas que saca. La presión de saber que los van a auditar, seguramente va a movilizar a los más rezagados.

- ¿En qué estado se encuentran los bancos respecto a los cambios que tienen que generar?

- Algunos tienen implementadas medidas de seguridad aun superiores a las que propone la circular, al menos en algunos puntos, y a otros les falta todavía.

- ¿Es un verdadero cambio cultural?

- Hoy en día existen diferentes estándares aplicables al ámbito de la Seguridad de la Información. La tendencia indica una concepción desde el punto de vista de la gestión. Sin embargo esta Circular abarca mayormente aspectos técnicos, aunque la considero importante para facilitar la toma de conciencia.

- ¿Por qué los bancos y el Central tienen resistencia para hablar del tema?

- Supongo que es para no quedar expuestos respecto a las debilidades que pudieran tener y que deberían corregir.

- ¿Cómo están trabajando ustedes con los bancos?

- Lo que nosotros hacemos es obtener métricas precisas a partir de la 4609. Analizando estas métricas, utilizando una herramienta propia, identificamos un estado de situación real y un plan de mejora para lograr el cumplimiento completo de lo solicitado por el BCRA.

Más información: www.khutech.com.ar.