Guías de supervisión

Auditoría Externa de Sistemas

La Gerencia de Auditoría Externa de Sistemas, en función de la evolución de la infraestructura tecnológica del sistema financiero, que tiene lugar a partir de la incorporación continua de nuevos recursos o funcionalidades, creó la Comisión Interna de Nuevas Tecnologías. Su función consiste en analizar el impacto de la innovación tecnológica y abordar el análisis y la creación de nuevas prácticas de supervisión en las entidades, acordes con los cambios que se prevean o detecten.

Esta comisión definió la elaboración de una serie de documentos referidos a los procedimientos de revisión de los controles implementados por las entidades financieras, cuya publicación responde a tres objetivos fundamentales:

Brindar mayor transparencia al proceso de supervisión de objetivos de control vinculados con la tecnología, los sistemas y la seguridad de la información de las entidades.

Mantener actualizadas las prácticas de supervisión en un contexto de importantes cambios e innovaciones.

Propender a la implementación de robustos sistemas de control en las entidades financieras.

Se elaboraron guías de supervisión que pretenden alinear el marco metodológico con el escenario tecnológico descripto.

Guías de supervisión para la Ciberseguridad y Ciberresiliencia

Los procedimientos de supervisión estarán destinados a determinar la implementación de controles que permitan a las entidades financieras una adecuada gestión de la ciberseguridad y la ciberresiliencia. Entre otros aspectos, se evaluarán:

Estructura, roles y responsabilidades:

• La existencia de roles y funciones vinculadas a la gestión de la ciberseguridad/ciberresiliencia a fin de minimizar los impactos negativos de los ciberataques reales o futuros.
• La participación en el Comité de Tecnología Informática, del responsable de la gestión de la ciberseguridad/ciberresiliencia.

Estrategia, políticas, normas y procedimientos:

• La existencia de una estrategia de ciberseguridad/ciberresiliencia que permita en forma coordinada y metodológica anticiparse, resistir, recuperarse y evolucionar frente a las ciber-amenazas.
• En la gestión de riesgos, la incorporación e identificación de amenazas y vulnerabilidades relacionadas con ciberseguridad/ciberresiliencia.
• Promover el conocimiento y el desarrollo de habilidades y conocimientos de las personas en apoyo de sus misiones y funciones en la consecución y el mantenimiento de la ciberresiliencia operacional y la protección.
• La existencia de iniciativas y actividades de concientización acerca de ciberseguridad/ciberresiliencia que incorporen prácticas en la organización a través de las cuales se pueden disminuir los riesgos inherentes asociados a las ciber-amenazas.

Gestión de monitoreo y control

• La existencia de un sistema de control interno que asegure la eficacia y la eficiencia de las operaciones garantizando el funcionamiento de los servicios críticos y los activos que los soportan.
• Mantener una base de conocimiento que contenga todos los eventos de ciberseguridad recolectados, que posibiliten la identificación de potenciales ciberataques.
• Mecanismos para identificar y bloquear automáticamente los accesos a la red en forma no autorizada.
• Mecanismos para la gestión del uso de claves y cuentas privilegiados.
• La existencia de procesos para prevenir y detectarla fuga de información.

Gestión de incidentes

• La existencia de procesos para identificar y analizar los acontecimientos, detectar incidentes, y determinar y aplicar una adecuada respuesta.
• La existencia de un área/sector para la gestión integral de incidentes, para responder en tiempo y forma y en todos los niveles relacionados con la ciberseguridad.

Gestión de la continuidad

La definición de planes de continuidad que contemplen:
• la identificación de posibles escenarios vinculados con ciberataques que puedan afectar la continuidad de los servicios críticos;
• la alineación con las necesidades de negocios que la entidad ha establecido en el BIA, y con el modelo de gestión de riesgos operacionales y/o tecnológicos definidos, y
• la realización de testeos sobre posibles escenarios vinculados con ciberataques que puedan afectar la continuidad de los servicios críticos definidos por la entidad.

Gestión de Terceras Partes

La existencia de prácticas relacionadas con la contratación de terceras partes en las que se consideren:
• el cumplimiento de requisitos regulatorios;
• el establecimiento de roles y responsabilidades;
• la identificación de actividades relacionadas con la continuidad de negocio y la disponibilidad;
• las facultades de realización de auditorías por parte del supervisor y de la entidad, y
• la realización de testeos sobre posibles escenarios y los niveles de seguridad implementados vinculados con ciberataques que puedan afectar la continuidad de los servicios prestados por la tercera parte.

Glosario de términos

Ciberresiliencia: capacidad de una organización para continuar funcionando con la menor cantidad de interrupciones frente a los Ciberataques. Es un enfoque de extremo a extremo, que reúne la seguridad de la información, la continuidad del negocio y la capacidad de recuperación de las redes de la empresa para garantizar que la organización sigue funcionando durante los ciberataques y las interrupciones cibernéticas.

Evento cibernético (Cyber event): Cualquier ocurrencia observable en un sistema de información. Los eventos cibernéticos a veces indican que se está produciendo un incidente cibernético.

Alerta cibernética (Cyber alert): Notificación de que se ha producido un incidente cibernético específico o ha sido dirigida una amenaza cibernética a los sistemas de información de una organización.

Incidente cibernético (Cyber incident): Un evento cibernético que, como resultado de una actividad maliciosa o no:
– pone en peligro la seguridad cibernética de un sistema de información o la información que el sistema procesa, almacena o transmite; o
– viola las políticas de seguridad, procedimientos de seguridad o políticas de uso aceptable.

Amenaza cibernética (Cyber threat): Una circunstancia con el potencial de explotar una o más vulnerabilidades que afecta negativamente a la seguridad cibernética.

Mayo, 2019. Versión inicial

Guía de Supervisión de Gestión de Continuidad del Negocio

Los procedimientos de supervisión estarán destinados a determinar la implementación de controles que permitan a las entidades una adecuada Gestión de la Continuidad del Negocio.

Entre otros aspectos, se evaluarán:

Programa de Gestión de Continuidad del Negocio en la Cultura de la Organización

• La conformación de un Programa para la Gestión de la Continuidad del Negocio (GCN) acorde a la estructura y el volumen de operaciones de la entidad que considere, entre otros aspectos:

• El establecimiento de una Política de Gestión de la Continuidad del negocio.
• La identificación de las necesidades del negocio.
• La definición de un programa de capacitación y concientización sobre las capacidades de resiliencia tecnológica.
• La identificación y el tratamiento de los riesgos.
• Los procedimientos de recuperación adoptados para distintos escenarios.

• La integración en el marco del programa de las diferentes jerarquías organizacionales e infraestructuras tecnológicas existentes en la entidad, como así también a los servicios prestados por las terceras partes vinculadas.

• El entendimiento del nivel de concientización, conocimiento y entrenamiento existente en la entidad.

Estructura, roles y responsabilidades

• El establecimiento del Directorio o autoridad equivalente de la entidad, como responsable primario de aprobar y supervisar la ejecución de la Política de Gestión de Continuidad del Negocio.

• La asignación de los recursos necesarios para la creación, el mantenimiento y la prueba de planes de continuidad operables y funcionales, acordes a los requerimientos de negocio de la entidad y de los organismos de regulación y control.

• La designación formal de un área o sector, responsable de la coordinación del Programa de GCN y de las actividades vinculadas con las diferentes etapas establecidas en el mismo.

• La inclusión dentro de la GCN de todas las etapas del proceso, desde la recuperación durante la contingencia, hasta la vuelta a la normalidad.

Política de Gestión de Continuidad del Negocio

• El establecimiento de una Política de GCN que establezca el alcance y el marco de gobierno del Programa de Continuidad del Negocio, proporcione el contexto de las actividades que lo conforman e identifique los principios sobre los cuales se funda el mismo.

• El alineamiento de la Política de GCN con la estrategia de la organización (negocio, tecnología y sistemas y protección de activos), sus objetivos y su cultura.

• La identificación de las áreas de la organización, los productos y servicios incluidos dentro del programa, al igual que los sitios de procesamiento propios y de terceros con los que cuenta la organización.

Análisis de Impacto del Negocio

• La responsabilidad del Directorio o autoridad equivalente, de observar la ejecución de evaluaciones de riesgos para determinar el impacto de distintos eventos, tanto en términos de magnitud de daño como del período de recuperación y la vuelta a la normalidad.

• La implementación de una metodología formalmente aprobada para la gestión de los análisis de impacto del negocio (BIA), que considere la participación del personal de áreas técnicas y del negocio, la confección de métricas para la determinación de las estrategias de recuperación (RTO y RPO, entre otras), y los servicios de tecnología tercerizados.

• La identificación de los eventos que puedan ocasionar interrupciones en los procesos críticos de la entidad.

• La participación de las personas propietarias de los procesos y recursos del negocio en el análisis.

• La consideración de todos los procesos de negocio, las instalaciones de procesamiento de la información, y todos los recursos relacionados.

• Los resultados de los análisis de impacto y de los análisis de riesgos efectuados.

• La toma de conocimiento y aprobación de los resultados generados por los análisis de impacto por el Directorio o autoridad equivalente de la entidad.

Evaluación de riesgos y escenarios

• El desarrollo de escenarios de amenazas que pudieran alterar los procesos de negocio y la capacidad de la entidad para cumplir con las expectativas de los clientes (internos o externos), sobre la base de experiencias prácticas, eventos previos y circunstancias posibles.

• La inclusión de escenarios de amenazas de diferentes niveles de probabilidad de ocurrencia e impacto, desde catástrofes (como huracanes), hasta incidentes leves (por ejemplo, cortes breves de energía), que pudieran afectar a personal o áreas de trabajo específicas, instalaciones, sistemas o sitios geográficos.

• El análisis por parte de la entidad de la ubicación geográfica de todas las instalaciones, propias y de terceras partes, su susceptibilidad a las amenazas, la proximidad de las infraestructuras críticas (fuentes de energía, aeropuertos, carreteras principales, ferrocarriles, etc.), y el monitoreo de factores externos a través de la comunicación fluida con las autoridades civiles y regulatorias.

• La priorización de los procesos de negocio en función de los resultados de los análisis de impacto y la estimación de cómo podrían ser interrumpidos bajo diferentes escenarios de amenaza definidos.

Resiliencia tecnológica

• La responsabilidad del Directorio o autoridad equivalente en:

– El establecimiento de la dirección y la supervisión de la estrategia de resiliencia tecnológica de la entidad implementada por la Alta Gerencia.
– La evaluación de las repercusiones de las decisiones comerciales y políticas en las operaciones críticas de la entidad.
– La aprobación y revisión de la tolerancia al impacto ante la interrupción de las operaciones críticas.
– La revisión periódica de la implementación de la estrategia de resiliencia operativa de la entidad.

• La identificación de los recursos humanos, la tecnología, los procesos, la información, las instalaciones y sus interconexiones necesarias para realizar las operaciones críticas de la entidad, incluidas aquellas que dependen de terceras partes.

• La consideración de los siguientes elementos:

– Identificación de activos y operaciones críticas.
– Adecuación de las prácticas de resiliencia, incluida la adecuación de la infraestructura de recuperación y los procesos de respaldo.
– Implementación de medidas de ciber resiliencia lo suficientemente flexibles como para adaptarse a una amplia gama de eventos.
– Implementación de respuestas a incidentes, en donde se desarrollen pasos para responder y recuperarse ante cualquier evento.
– Integración con los servicios de recuperación ante desastres para proteger contra la destrucción de datos.
– Evaluación de la infraestructura alternativa de comunicaciones de datos entre la entidad y quienes proveen servicios críticos de terceros.
– Desarrollo de pautas, acordes con el tamaño, la complejidad y el perfil de riesgo de la entidad, para diversificar las conexiones y mitigar el riesgo de una falla de telecomunicaciones.
– Evaluación de la susceptibilidad de la entidad a múltiples escenarios de amenazas en las estrategias de planificación, prueba y recuperación de resiliencia.
– Designación de personal de emergencia, incluso para las personas empleadas indispensables a nivel de procesos de negocios críticos.
– Existencia de recursos técnicos y de telecomunicaciones seguras para el personal que deba trabajar desde una ubicación alternativa.
– Asignación de recursos alternativos (por ejemplo, personal y sistemas) para aquellas situaciones en las que no se pueden prestar los servicios primarios.
– Capacidad de un proveedor de servicios externo (tercera parte) para cumplir los objetivos de recuperación de la entidad en los acuerdos de nivel de servicio, en relación con las necesidades de otras personas clientas.
– Capacidad para trasladar procesos tercerizados o descentralizados, ya sea internamente o a otro proveedor de servicios externo.
– Confidencialidad, integridad y disponibilidad de datos (por ejemplo, transportabilidad e interoperabilidad).
– Fuentes de energía alternativas (por ejemplo: generadores, unidades de entrega de energía sin interrupción (ups) y múltiples redes de energía).
– Consideraciones vinculadas a la provisión de combustible, tanto para el que se encuentra disponible como contratos con proveedores para entregas durante eventos, y cualquier impedimento potencial para obtener combustible.

Estrategias de Continuidad del Negocio

• El desarrollo de estrategias de continuidad del negocio basadas en la evaluación de riesgos y el análisis de impacto en el negocio.

• La inclusión en las estrategias de continuidad de los siguientes puntos:

– La asignación de recursos para cumplir con los objetivos de resiliencia y recuperación.
– La evaluación de aspectos vinculados con el transporte o alojamiento de personal en instalaciones alternativas, el establecimiento de métodos de comunicación con el personal , clientes/as y terceras personas, la definición de sitios de trabajo redundantes y/o procesos manuales para operaciones de las líneas de negocios.
– La evaluación de los centros de procesamiento de datos, la diversidad geográfica, las medidas de protección y la redundancia de las fuentes de energía.
– Arquitecturas en la nube, virtualización y otras tecnologías.
– Medidas definidas para mitigar amenazas específicas o únicas, como la pérdida de servicios de terceras partes críticos o las amenazas cibernéticas. – La existencia de alternativas para los sistemas propietarios, herramientas de personas usuarias o activos críticos no informatizados, dados los riesgos significativos y únicos para las actividades comerciales de una entidad.
– Las capacidades de acceso para voz y datos, la infraestructura de tecnología de mapeo a las necesidades de los empleados, y la capacidad interna y externa (incluida la capacidad remota) para determinar si las estrategias de teletrabajo son suficientes.
– La definición de distintas combinaciones de copias de seguridad, replicación y almacenamiento para lograr diferentes niveles de continuidad y resiliencia.

Planes de Continuidad del Negocio (BCP)

• El establecimiento y la implementación de planes, procedimientos y la definición de las responsabilidades para la continuidad del negocio que involucren a todo el personal de la entidad, en función de la estructura organizacional, la complejidad tecnológica y el volumen de negocios.

• El establecimiento de planes de continuidad del negocio que permitan:

– sostener el desarrollo de las operaciones durante el lapso de restablecimiento de los servicios tecnológicos,
– garantizar razonablemente la recuperación operativa de los procesos, y
– reducir el impacto en las actividades y la atención en sucursales.

• La elaboración de los planes en función de los análisis de impacto y la evaluación de escenarios, cuyo objetivo principal sea la reanudación de los procesos de negocio.

• La existencia de planes o procedimientos escritos y formalmente aprobados para atender la continuidad del procesamiento de datos y las actividades vinculadas, y dar respuesta eficiente y efectiva en el caso que se presenten contingencias o emergencias.

• La definición de planes que contengan una visión general simple y de alto nivel de la secuencia de recuperación para cada escenario contemplado y hagan referencia a procedimientos más detallados de recuperación.

• La consideración en los planes de escenarios vinculados con pérdidas de bases de datos, equipos de infraestructura y sistemas críticos, de conectividad de la red, sitios de procesamiento, provisión de servicios clave, entre otros.

• La inclusión de estrategias integrales de recuperación para resolver problemas que pueden derivarse de las interdependencias internas y externas, basadas en los resultados del análisis de impacto y la evaluación de los escenarios.

• La consideración de los siguientes elementos en la conformación de los planes de continuidad:

– Procedimientos para la declaración de un desastre (escalamiento) y criterios para la activación de los planes.
– El detalle de quienes proveen servicios involucrados en las acciones de contingencia / emergencia.
– El detalle de los equipos de recuperación y sus responsabilidades asociadas.
– Procedimientos detallados sobre los procesos de recuperación con identificación de los sistemas y componentes críticos y su orden o precedencia de recuperación, así como también las facilidades de comunicaciones, y aquellos de regreso a la operación normal.
– Los datos de contacto actualizados del personal clave para cada función en la ejecución del plan y la modalidad de trabajo según sea el caso.
– Procedimientos de comunicación en emergencia que describan las acciones a emprender una vez ocurrido un incidente y disposiciones para la gestión de vínculos eficaces con las autoridades civiles y regulatorias.
– La información logística de la localización de recursos claves, incluyendo: instalaciones alternativas, de los resguardos de datos, de los sistemas operativos, de las aplicaciones, los archivos de datos, los manuales de operación y documentación de programas / sistemas / usuarios y copias del plan de continuidad.
– Los procedimientos de emergencia que describan las acciones a emprender para el traslado de actividades esenciales a las ubicaciones transitorias alternativas, y para el restablecimiento de los procesos de negocio en los plazos requeridos.
– La inclusión de los planes de reconstrucción para la recuperación de todos los sistemas y recursos.

Gestión de crisis o emergencias

• El abordaje por parte de la función que lidere la gestión de crisis o emergencias de los Planes de Continuidad de Negocio, de la coordinación con las autoridades civiles y regulatorias.

• Los escenarios tienen que detallar las interrupciones y no limitarse a un solo evento, instalación o área geográfica. Además, los planes de gestión de crisis o emergencias tienen que abordar las interrupciones simultáneas de las telecomunicaciones y la mensajería electrónica, incluso entre la entidad, su personal y quienes proveen servicios externos.

• La consideración en los planes de gestión de crisis o emergencias de escenarios vinculados con la interrupción simultánea de las telecomunicaciones y la mensajería electrónica, incluso entre la entidad, su personal y quienes proveen servicios externos.

• La designación del personal clave de los departamentos correspondientes para actuar durante una situación de crisis o emergencia, de acuerdo con el tamaño y la complejidad de la entidad. El personal clave puede incluir:

– Alta Gerencia para el liderazgo.
– Gestión de instalaciones de seguridad y seguridad física.
– Recursos humanos para asuntos de personal, viajes y reubicación.
– Relaciones con los medios para gestionar las comunicaciones.
– Finanzas y contabilidad para el desembolso de fondos y decisiones financieras, incluidos los gastos no anticipados.
– Legal y cumplimiento de preocupaciones legales y regulatorias.
– Áreas de TI, incluida la seguridad de la información, y operaciones para respuestas tácticas específicas.

• La definición de protocolos de comunicación para crisis o eventos de emergencia que incluya:

– Listas de contactos actualizadas, distribuidas y accesibles para el personal clave.
– Métodos alternativos de comunicación con el personal y otras partes interesadas, incluido el personal ubicado en áreas aisladas o dispersas, y
– Disposiciones para contactar a la entidad cuando los canales de comunicación normales no funcionan.

Entrenamiento, ejercicios y testeos relacionados con las Estrategias de Continuidad del Negocio

• La inclusión de la capacitación como parte de un programa efectivo de continuidad del negocio para educar a las partes interesadas sobre resiliencia, metas de continuidad del negocio, objetivos corporativos, políticas y roles y responsabilidades individuales del personal.

• La consideración por parte de la Alta Gerencia de las habilidades actuales para la continuidad del negocio e identificar y abordar cualquier brecha. Cuando sea apropiado, el establecimiento de metas y objetivos para apoyar el Programa de Gestión de Continuidad del Negocio de la entidad como parte del proceso de gestión del desempeño.

• La realización de pruebas periódicas de las estrategias de continuidad del negocio, como mínimo una vez al año, considerando los siguientes aspectos:

– La simulación de escenarios de amenazas establecidos y la ejecución de las estrategias de recuperación definidas en los planes para cada escenario, teniendo en cuenta las condiciones de prestación de servicios comprometidos durante los momentos de mayor actividad.
– El aseguramiento que la operatoria integral de todos los sistemas automatizados críticos, de acuerdo con los análisis de impacto del negocio efectuados, a efectos de verificar que el plan esté actualizado y sea eficaz.
– El conocimiento de los planes por todo el equipo de recuperación y el resto del personal relevante.

• La definición de una frecuencia de ejecución de los ejercicios basada en el tamaño y la complejidad de la entidad, los elementos del programa de concientización, los riesgos y la iteración del programa de prueba.

• La existencia de un cronograma formal de pruebas que indique cómo se prueba cada elemento de los planes, y la fecha de ejecución de cada una de las pruebas.

• La participación en las pruebas de las áreas usuarias de los procesos de negocio, áreas técnicas relacionadas, las terceras partes involucradas y la auditoría interna.

• La inclusión de la siguiente documentación en los resultados de las pruebas:

– Fechas y lugares.
– Un resumen ejecutivo que compare objetivos y resultados.
– Desviaciones materiales de los planes, incluso si se logró la participación prevista.
– Problemas identificados y lecciones aprendidas.
– Asignación de responsabilidad para la resolución oportuna de los problemas identificados.

• El análisis de los resultados de los ejercicios y de las pruebas, su comparación con los objetivos y criterios de éxito, y su reporte a los niveles apropiados de gestión.

• La documentación de las decisiones para aceptar los riesgos identificados durante los ejercicios para aquellos ítems no remediados.

• Las decisiones tomadas por el Directorio o autoridad equivalente y la Alta Gerencia sobre la base de los resultados de los ejercicios y de las pruebas, a fin de determinar el cumplimiento de las necesidades establecidas en los análisis de impacto, la identificación de posibles fallos o inconvenientes y la solución apropiada de los mismos.

Mantenimiento y actualización de los Planes de Continuidad del Negocio

• El mantenimiento de los Planes de Continuidad del Negocio por medio de revisiones y actualizaciones periódicas para garantizar su eficacia permanente.

• La utilización de los resultados de los ejercicios y pruebas como elemento para la actualización de las estrategias de recuperación y los planes de continuidad.

• La existencia de procedimientos escritos a fin de asegurar que todo cambio en los procesos de negocio y en su tecnología relacionada se refleje en las actualizaciones sobre los planes de continuidad.

• La designación de una persona responsable formalmente identificada para el mantenimiento y adecuación del plan de continuidad, la ejecución de las revisiones periódicas, la identificación de cambios y su actualización.

• El establecimiento de un proceso formal de control de cambios que certifique la distribución de los planes actualizados a todas las personas responsables involucradas en su ejecución.

Terceras partes

• En el proceso de análisis de una descentralización, contratación y/o subcontratación de terceras partes (incluidos quienes presten servicios en la nube), la consideración por parte de la entidad de:

– La existencia de planes y recursos para la continuidad de las operaciones de las terceras partes involucradas.
– Su capacidad para recuperarse y reanudar las operaciones en caso de producirse una interrupción inesperada en el servicio.

• El establecimiento de controles tendientes a asegurar que los proveedores de servicios externos sean resistentes y tengan la infraestructura y el personal adecuados para restaurar servicios críticos de acuerdo con los requisitos comerciales y contractuales.

• La inclusión en los acuerdos de nivel de servicio de disposiciones que aseguren el derecho de la entidad de realizar o participar de las pruebas de continuidad efectuadas por las terceras partes y la efectivización de la mencionada participación.

Glosario de términos

Continuidad del Negocio: capacidad estratégica y táctica que tiene una organización para planificar y responder a incidentes e interrupciones, con el fin de mantener las operaciones y servicios críticos de tecnología que soporta al negocio, dentro de un nivel aceptable y asumible por dicha organización.

Gestión de la Continuidad del Negocio: Proceso de gestión integral que identifica amenazas tecnológicas potenciales para una organización y los impactos sobre las operaciones comerciales que esas amenazas podrían causar, y que proporciona un marco para construir la resiliencia organizacional con la capacidad de una respuesta efectiva que salvaguarda los intereses de sus principales personas interesadas, reputación, marca y actividades de creación de valor.

Planes de Continuidad del Negocio: Recopilación documentada de procedimientos e información para su uso en un incidente con el objetivo de permitir que una organización continúe entregando sus productos y servicios críticos a un nivel aceptable.

Resiliencia tecnológica: Es la capacidad de prepararse y adaptarse a las condiciones cambiantes, resistir y recuperarse rápidamente de las interrupciones. La capacidad de recuperación incluye la capacidad de resistir y recuperarse de ataques deliberados, accidentes, amenazas o incidentes naturales.

Junio, 2020. Versión inicial

Guía de Supervisión de Gestión de Tecnología Informática

Los procedimientos de supervisión estarán destinados a determinar la implementación de controles que permitan a las entidades una adecuada gestión de los sistemas de información, la tecnología informática y sus recursos asociados.

Entre otros aspectos, se evaluarán:

Estrategia de tecnología informática

• De acuerdo con las operaciones, los procesos y la estructura organizacional de la entidad, la existencia de una estrategia que les permita optimizar la efectividad en la administración, el control y la mejora continua en la gestión de los recursos de tecnología informática, procurando su alineación con los objetivos estratégicos y que exista una relación directa entre las necesidades del negocio, las soluciones y los servicios brindados.

• La definición de objetivos estratégicos compuestos por metas y cursos de acción necesarios para su cumplimiento, incluyendo objetivos a largo plazo, las inversiones y el presupuesto de tecnología informática, como así también la presentación de informes periódicos y controles de gestión.

• La existencia de una planificación formalizada bajo los mecanismos definidos por el Directorio o autoridad equivalente, que soporte los objetivos estratégicos, contenga un cronograma de proyectos y permita demostrar el grado de avance, la asignación de prioridades, los recursos y los sectores involucrados.

• La definición de mecanismos de revisión y análisis de la planificación, incluyendo procesos de identificación de riesgos que permitan evitar exposiciones u otras deficiencias que limiten o dificulten su implementación.

Arquitectura empresarial

• De acuerdo con las operaciones, los procesos y la estructura organizacional de la entidad, la existencia de una arquitectura o modelo marco que provea dirección, principios, estándares y sanas prácticas, para mejorar el diseño y el mantenimiento de la infraestructura tecnológica presente y futura.

• En función al modelo elegido, la inclusión en la arquitectura de los siguientes aspectos:

– Procesos de negocios
– Equipamiento
– Software de base
– Herramientas
– Aplicaciones
– Canales
– Middleware
– Datos
– Medidas de seguridad
– Medidas de conectividad
– Terceras partes

• La alineación entre la arquitectura definida o proyectada, con la estrategia de tecnología informática, la estrategia de protección de activos de información y el modelo de gestión de datos establecido.

Inversiones, porfolio y presupuesto

• La existencia de un presupuesto a fin de administrar las actividades financieras relacionadas con la tecnología informática, abarcando: la gestión de los costos, los beneficios y la priorización de los gastos mediante el uso de prácticas de presupuestación.
• Los mecanismos para la evaluación continua de las inversiones realizadas para el cumplimiento de los proyectos vinculados con la tecnología informática y su correspondencia con el presupuesto asignado, identificando y comunicando formal y oportunamente los desvíos en su ejecución.
• Los mecanismos para la medición de los beneficios no financieros resultantes de la inversión realizada en materia de tecnología informática en función de los planes estratégicos del negocio.

Gestión de proyectos

• De acuerdo con las operaciones, los procesos y la estructura organizacional de la entidad, el establecimiento de un área de gestión de proyectos, a fin de lograr un adecuado desempeño y seguimiento de los mismos, considerando la interrelación entre el producto, su duración y el presupuesto asignado.
• La existencia de una política que permita llevar adelante la gestión y el control de los proyectos relacionados con: la adquisición y el desarrollo de sistemas, las migraciones, los cambios en la infraestructura tecnológica, el mantenimiento de aplicaciones, y la tercerización/descentralización de actividades y/o servicios, entre otros.
• La definición de un modelo de gestión que permita comprender las distintas etapas de cada proyecto considerando las diferentes metodologías existentes.
• El desarrollo de documentación en cada etapa del proyecto y su vinculación con las necesidades de negocio en función de sus objetivos estratégicos.
• La existencia de un cronograma de actividades que incluya: las tareas a desarrollar, la asignación de recursos, los tiempos, los hitos, las prioridades y el grado de avance, entre otros.
• Mecanismos para establecer adecuados medios de comunicación a lo largo de las distintas etapas del proyecto a fin de verificar su cumplimiento, identificando los desvíos.

Gestión de la demanda

• La existencia de un proceso de gestión de la demanda que permita obtener una planificación eficiente de los requerimientos del negocio, en función de los recursos, los proyectos y los presupuestos existentes.
• De acuerdo con las operaciones, los procesos y la estructura organizacional de la entidad, el establecimiento de un área de gestión de la demanda a fin de centralizar la atención de los requerimientos y para que efectúe la intermediación entre las áreas de tecnología informática y las áreas de negocio.
• La vinculación de la solución adoptada con la estrategia de tecnología Informática, la arquitectura empresarial y el modelo de gestión de datos.

Gestión de datos

• La existencia de un modelo para la gestión de datos que permita adoptar una visión amplia, para administrar la totalidad de los datos vinculados con los procesos de negocio y para soportar las necesidades de integración entre las distintas aplicaciones.
• De acuerdo con las operaciones, los procesos y la estructura organizacional de la entidad, el establecimiento de un área o sector encargada de la gestión de datos.
• La vinculación del modelo elegido con la estrategia de tecnología informática, la estrategia de protección de activos de información, la clasificación de los activos y la arquitectura empresarial definida.
• En función de las principales metas y objetivos de la gestión de datos, la inclusión de las siguientes acciones:

– Definir, aprobar y comunicar la estrategia de datos, las políticas, los estándares, la arquitectura y las métricas
– Realizar un seguimiento y hacer cumplir la conformidad con las políticas de datos, los estándares y la arquitectura
– Patrocinar, controlar y supervisar la ejecución de los proyectos y servicios de gestión de datos
– Gestionar y resolver las cuestiones relacionadas con los datos
– Entender y promover el valor de los activos de datos

Gestión de riesgos

• En función de las normas vigentes sobre “Lineamientos para la Gestión de Riesgos en las Entidades Financieras” y “Agregación de Datos sobre Riesgos y Elaboración de Informes”, el establecimiento de un programa de gestión de riesgos que permita identificar, analizar y tratar las vulnerabilidades y amenazas existentes para todos los recursos de tecnología informática utilizados.
• La existencia de una metodología integrada al modelo de gestión de riesgo operacional formalmente establecido.

• La ejecución de análisis de riesgos sobre los sistemas de información, la tecnología informática y sus recursos asociados, incluyendo aquellos que han sido transferidos a terceras partes.

• La realización de evaluaciones de riesgos previas a la implementación de nuevas tecnologías o para el desarrollo de nuevos productos.

• La implementación de mecanismos que permitan comunicar al Directorio o autoridad equivalente en forma oportuna, los resultados alcanzados sobre los riesgos detectados y los márgenes aceptables de los riesgos residuales resultantes.

• En función de los riesgos detectados, la existencia de un plan para su remediación y su seguimiento, que permita reducir la exposición al riesgo de los activos de información a márgenes tolerables.

• La existencia de evaluaciones del impacto potencial de los acuerdos de descentralización y tercerización en relación con su riesgo operacional, previos al inicio de la relación y durante el transcurso de la misma. La identificación de escenarios factibles de riesgo, incluidas las situaciones que desemboquen en riesgos operacionales considerando, entre otros, los siguientes:

– la concentración de actividades y/o servicios en un mismo ente prestador (que, a su vez, brinde actividades y/o servicios a “n” organizaciones);
– escenarios relacionados con actividades y/o servicios que hayan sido subcontratados; y
– las características y condiciones de prestación que determine un grado de dependencia significativo (“vendor lock-in risk”).

Estructura y dependencia del área de Tecnología informática

• De acuerdo con las operaciones, los procesos y la estructura organizacional de la entidad, el establecimiento de un área que incluya las funciones relacionadas con: arquitectura, aplicaciones, datos, tecnología, soporte técnico y soporte a las personas usuarias, operaciones, gestión de proyectos, gestión de terceras partes y omnicanalidad, entre otros.

• La existencia de capital humano de tecnología informática con capacidades y habilidades suficientes para responder a las necesidades operacionales actuales y futuras del área. La integración de la gestión del capital humano a fin de asegurar un desarrollo óptimo de las tareas y las actividades, mediante programas que incluyan: evaluaciones de desempeño, mecanismos de transferencia de conocimiento, rotación de tareas y funciones, entre otros.

• La gestión y cumplimiento, por parte de la persona responsable del área, de la estrategia de tecnología informática y la implementación y mantenimiento de las políticas, conforme a los lineamientos establecidos por el Directorio o autoridad equivalente.

• La existencia de documentación que describa detalladamente los roles y responsabilidades del capital humano que integra el área de tecnología informática y sus sectores asociados.
• De acuerdo con las operaciones, los procesos y la estructura organizacional de la entidad, la existencia de información que permita entender y documentar una adecuada segregación de funciones entre los roles, las responsabilidades y las jerarquías.

• Ante limitaciones en la estructura que no permitan la segregación de algunas funciones incompatibles entre sí, la existencia de mecanismos de excepción mediante la realización de análisis de riesgos correctamente justificados, documentados y aprobados por parte del Directorio o autoridad equivalente.

Políticas, normas y procedimientos

• La existencia de políticas, normas y procedimientos que permitan gestionar, controlar y documentar las actividades y todos los procesos de tecnología informática. El nivel de detalle dependerá de la complejidad del entorno y de las necesidades requeridas por el negocio.

• El establecimiento de una “norma cero” o “norma base”, la cual definirá los lineamientos y los estándares para estructurar el armado de los documentos y lograr uniformidad y homogeneidad en el desarrollo de estos.

• La implementación de mecanismos para su publicación, comunicación formal, actualización periódica y asignación de responsabilidades, que constituya la base para la coordinación y la realización de las tareas y que permita capacitar sobre las actividades vinculadas a la tecnología informática y relacionadas en forma directa o indirecta con los procesos de negocio.

Control de gestión

• La existencia de un marco de control sobre las actividades desarrolladas por los sectores que integran el área de tecnología informática, mediante la implementación de mecanismos que permitan realizar un seguimiento continuo de las tareas desarrolladas, incluyendo herramientas y métricas para medir el nivel de cumplimiento acorde con las necesidades.

• La realización de informes o reportes de control que permita medir el desempeño continuo de los recursos de tecnología informática y que contribuyan al cumplimiento de los objetivos del negocio.

• Los mecanismos que permitan poner en conocimiento de las instancias superiores, los resultados de la gestión del área.

Gestión de terceras partes

• La existencia de mecanismos para gestionar eficientemente la descentralización y la tercerización de actividades, con el objetivo de cumplir con lo definido en la estrategia de tecnología informática, la arquitectura empresarial y la estrategia de protección de activos de información, considerando la búsqueda y la selección de prestadores, la gestión de relaciones, la vinculación contractual y la revisión y supervisión del rendimiento de las terceras partes.

• El establecimiento de una política que permita constituir un ciclo de vida que contemple la implementación de instancias aplicadas de manera integral y constante, con el objetivo de planificar, seleccionar, acordar, supervisar y finalizar la relación con las terceras partes.

• De acuerdo con las operaciones, los procesos y la estructura organizacional de la entidad, el establecimiento de un sector o una función encargada de la gestión de las terceras partes que concentre las actividades relacionadas con el establecimiento del entorno único de control y de los puntos de acceso unificados, según corresponda.

• Previo al inicio de la relación, la evaluación de la criticidad de las actividades a descentralizar y/o tercerizar, considerando los instrumentos establecidos en la normativa vigente, como, por ejemplo: el análisis de impacto y clasificación de activos, entre otros.

• La implementación de un inventario de servicios contratados y/o actividades delegadas, que incluya una categorización de los prestadores y su criticidad, que identifique el entorno de control relativo a la administración y la operación de la tecnología informática y los sistemas de información. En el caso en que la descentralización/tercerización de actividades se efectúe en una o más locaciones, la identificación del esquema de control correspondiente a cada actividad delegada.

• La inclusión, dentro de las cartas oferta, contratos y/o acuerdos de nivel de servicio, de cláusulas que permitan establecer que el prestador primario tenga total responsabilidad por todos los servicios que este último y los subcontratados prestan, incluidas las actividades proporcionadas desde un país diferente de la ubicación registrada.

• La extensión al subcontratado del cumplimiento de todas las leyes, requisitos regulatorios y obligaciones contractuales aplicables, y el otorgamiento a la entidad y autoridad supervisora competente de los mismos derechos contractuales de acceso y auditoría que los concedidos por el prestador primario, en especial cuando los servicios subcontratados conlleven un nivel elevado de criticidad y complejidad técnica.

• La implementación de una estrategia de finalización formal para la descentralización y/o tercerización de los procesos críticos, que posibilite la desvinculación de los acuerdos de prestación de servicios, sin que ello genere interrupciones en el desarrollo de las actividades, limite el cumplimiento de los requisitos regulatorios, ni comprometa la continuidad y la calidad de los servicios prestados. Esta estrategia estará conformada con la elaboración de escenarios para enfrentar salidas forzadas (por ejemplo después de una falla o insolvencia de quien preste los servicios) y salidas planificadas/administradas motivadas por razones comerciales, de rendimiento o estratégicas (salida sin estrés).

• La ejecución de auditorías periódicas por parte de la entidad sobre quienes presten los servicios informáticos tercerizados o descentralizados, que permita evaluar la gestión integral de éstos por parte de dichos proveedores, manteniendo informado al Directorio o autoridad equivalente sobre las conclusiones de las mismas.

Glosario de términos

Arquitectura empresarial: es el diseño general y el plan de alto nivel que describe el marco operativo de una institución e incluye su misión, las partes interesadas, las empresas, los clientes, el flujo de trabajo y los procesos, el procesamiento de datos, el acceso, la seguridad y la disponibilidad, entre otros. Un programa de arquitectura empresarial facilita el diseño conceptual y el mantenimiento de la infraestructura de la red, los controles de tecnología informática relacionados y las políticas. Asimismo, puede ayudar a una institución a desarrollar mejor los procesos o servicios tecnológicos e identificar, medir y mitigar los riesgos y las amenazas relacionados con la utilización de la tecnología. La implementación del programa se centra en capacitar a los líderes o lideresas del negocio y de tecnología informática para tomar decisiones de inversión, que provean balance y prioridad a las demandas operativas actuales, interrupciones, y oportunidades, ajustada a la visión estratégica a largo plazo de la entidad.

Gestión de datos: es la especificación de derechos de decisión y un marco de rendición de cuentas para fomentar un comportamiento deseable en la valoración, creación, almacenamiento, uso, archivo y eliminación de los datos e información. Incluye los procesos, funciones, normas y parámetros que garanticen el uso efectivo y eficiente de los datos y la información para permitir a la organización lograr sus objetivos.

Gestión de la demanda: es un modelo o proceso que permite responder a las necesidades de negocio, generando un diálogo entre dichas áreas y la de tecnología informática. Dicho modelo se basa en el principio de que no toda la demanda será aprobada, debido al efecto de las prioridades del negocio y de las limitaciones de los recursos de sistemas.

Subcontratación: es la situación en la que quien provee el servicio bajo un acuerdo de contratación transfiere una función, un servicio o una actividad a otro prestador. La sucesión de acuerdos de contratación relacionados con una función, un servicio o una actividad específica se denomina cadena de subcontratación.

Tercera parte: se considera dentro de esta definición a una entidad perteneciente a un grupo corporativo (global o doméstico) o una entidad externa al grupo corporativo, con la cual se ha establecido una carta oferta, un contrato y/o un acuerdo de nivel de servicio para realizar actividades, funciones o servicios de manera continua, las cuáles serían deberían ser realizadas por la entidad regulada sin la existencia de dichas relaciones.

Junio, 2020. Versión inicial

Guías de supervisión | Identificación digital en entidades financieras

Los procedimientos de supervisión estarán destinados a determinar la implementación de controles que permitan a las entidades financieras una adecuada identificación de personas humanas en forma digital y no presencial. Entre otros aspectos, se evaluarán:

Gobierno y gestión de riesgos

• La existencia de análisis de riesgos respecto de la solución, formalizados y comunicados a las autoridades de la entidad, que alcancen como mínimo a los aspectos vinculados con la tecnología y la seguridad de la información.
• Debida diligencia terceros y canales.

Controles aplicados a la operatoria

• La utilización de características físicas (tales como reconocimiento facial, huellas digitales, iris) y/o de comportamiento (registro vocal, gestos, etc.) como base para la registración de la identificación digital, la captura mediante un sistema/aplicación, y la vinculación unívoca e inequívoca de la información con cada persona usuaria.
• La aplicación de los siguientes criterios para la implementación de técnicas biométricas:
– Universalidad: todas las personas deben poseer esa característica.
– Distintividad: dos personas deberán ser suficientemente diferentes en términos de sus características.
– Estabilidad: la característica deberá permanecer invariable a lo largo de un período de tiempo aceptable.
– Evaluabilidad: la característica deberá poder ser medida cuantitativamente.
– Rendimiento: los recursos empleados para el reconocimiento no deberán depender de las condiciones del entorno.
– Aceptabilidad: las personas usuarias deberán estar dispuestos a emplear dichas características.
– Fraude: los sistemas basados en estas características deberán ser suficientemente seguros para evitar ser vulnerados.

La aplicación de controles en la toma de atributos del proceso de identificación, que consideren, entre otros:
• Los tiempos de procesamiento.
• El algoritmo de autenticación para realizar la coincidencia.
• La conectividad mediante mecanismos robustos de encripción.
• Técnicas anti-spoofing para evitar fraudes.
• Otras sanas prácticas existentes.

• La ejecución de un proceso de validación de la información, que podrá ser realizado por la propia entidad, por un organismo oficial y/o por quien provea servicios de tecnología informática. En este caso, se considerará, además, el cumplimiento de las disposiciones normativas vigentes respecto de la tercerización de servicios de tecnología informática.
• La definición de umbrales para las tasas de aceptación o rechazo de los resultados obtenidos en el proceso de identificación que se correspondan con los análisis de riesgo efectuados.
• La aplicación de un proceso continuo de mantenimiento en la obtención, actualización y eliminación de atributos de identificación o campos de datos, y de las políticas que regulen el acceso por parte de la persona usuaria a la información y los servicios financieros.

Esquema de seguridad y registro de actividades

• La implementación de un adecuado esquema de segregación de funciones y control por oposición de intereses para el mantenimiento de los parámetros.
• La existencia de mecanismos que aseguren la trazabilidad de las acciones realizadas en todas las etapas del proceso de identificación digital.
• La existencia de funciones para la explotación de los registros de actividad.
• La conservación de resguardos de los registros de actividad por un plazo no menor a 6 (seis) años.

Mayo, 2019. Versión inicial

Guía de Supervisión de Infraestructuras del Mercado Financiero (IMF)

De acuerdo con el Texto Ordenado (TO) “Principios para las Infraestructuras del Mercado Financiero”, se define el alcance para Cámara de Alto Valor, Cámara de Bajo Valor, Redes de Cajeros Automáticos y toda otra Infraestructura de índole similar, agregada, modificada y/o complementaria.

Los procedimientos de supervisión estarán destinados a determinar la implementación de los controles requeridos por el marco normativo vigente sobre el gobierno de la Tecnología Informática y los Sistemas de Información de las Infraestructuras del Mercado Financiero argentino.

Son complementarios a aquellos procedimientos que pudieran aplicarse a las infraestructuras alcanzadas, la provisión de servicios de tecnología informática tercerizados de las entidades financieras.

Asimismo, son complementarios a las obligaciones establecidas para las cámaras electrónicas de compensación según el marco normativo aplicable.

Entre otros aspectos, se evaluarán:

• La existencia de autoevaluaciones vinculadas con el entorno de procesamiento, la tecnología y los sistemas de información.
• La definición de mecanismos de gobierno formalizados, claros y transparentes, que incluyan:

– La definición de objetivos vinculados con la seguridad de sus operaciones.
– La asignación clara de responsabilidades y obligaciones de rendición de cuentas.
– La definición formal de las funciones y responsabilidades del órgano máximo de administración (Directorio o autoridad equivalente), de la alta gerencia y de las Gerencias de línea, respecto del gobierno y la gestión de tecnología y sistemas de información.

• La revisión periódica de los procedimientos y el marco normativo.

• La ejecución de un proceso establecido y formalizado de gestión de riesgos, que incluya una política de tolerancia al riesgo claramente definida y aprobada, y contemple los riesgos operacionales vinculados con la gestión de tecnología y sistemas de información.

• La existencia de un Comité de Tecnología informática que cumpla con las siguientes condiciones:

– Formalización mediante un reglamento que describa sus responsabilidades, las cuales deberán encontrarse en consonancia con el TO vigente (“Principios para las Infraestructuras del Mercado Financiero”).
– Frecuencia de reunión mínima trimestral, formalizada mediante actas puestas en conocimiento del órgano de administración.

• La existencia de un marco para la gestión integral que incluya a los riesgos operativos vinculados con la tecnología informática y los sistemas de información.

• La definición de políticas, procedimientos y sistemas de gestión de riesgos que le permitan identificar, medir, monitorear y gestionar la gama de riesgos que pudieran surgir en cada IMF o que sean asumidos por ella.

• La ejecución de una revisión periódica, al menos anual, de los marcos de gestión de riesgos establecidos, manteniendo informado al Directorio o autoridad equivalente sobre las conclusiones de la misma.

• La realización de revisiones periódicas de los riesgos importantes vinculados con la tecnología y los sistemas de información a los que esté expuesta por su relación con terceros, manteniendo informado al Directorio o autoridad equivalente sobre las conclusiones de las mismas.

• La implementación de un marco de control del grado de exposición a potenciales riesgos vinculados con los sistemas de información, la tecnología informática y sus recursos asociados, considerando también aspectos relacionados con ciberataques y ciberresiliencia, que incluyan:

– La existencia de documentación que constate los análisis de riesgos formalmente realizados.
– La gestión de la corrección de las debilidades que expongan a la entidad a niveles de riesgo alto o inaceptable.
– La identificación, vigilancia y gestión de los riesgos que los principales participantes, otras IMF y quienes provean servicios puedan representar para sus actividades.
– La identificación, control y gestión de los riesgos que sus actividades puedan representar para otras IMF.
– La definición clara de las responsabilidades vinculadas con el riesgo operacional relacionado con la tecnología informática, los sistemas de información y sus recursos asociados, y una efectiva comunicación de los resultados, de todos los aspectos previamente mencionados, a la superioridad.

• La realización de análisis de la capacidad, que permita adecuarse a gestionar un aumento de los volúmenes de tensión cumpliendo con sus objetivos de nivel de servicio.

• La existencia de políticas integrales de seguridad física y de la información, revisadas, como mínimo, anualmente.

• La existencia de procesos establecidos para el planeamiento, la implementación y el mejoramiento continuo de los procesos de administración y control de seguridad sobre la protección de los activos de información.

• La elaboración de planes operativos que contemplen los factores críticos para un efectivo control de las aplicaciones, que deberán ser regularmente monitoreados, con el fin de verificar la existencia de posibles cambios que pudiesen afectarlos.

• La inclusión, en las etapas iniciales de los nuevos proyectos informáticos, de requerimientos a distintas áreas de la organización (Auditoría Interna, Protección al Usuario de Servicios Financieros, etc.), que aseguren el diseño y la implementación de apropiados controles y registros de seguridad una vez implementados.

• El establecimiento de un plan de continuidad del servicio, que cumpla las siguientes condiciones:

– Se base en los resultados de una evaluación de riesgos para determinar el impacto de distintos eventos, tanto en términos de magnitud de daño como del período de recuperación y la vuelta a la normalidad.
– Se establezca un sitio secundario para la provisión de los servicios críticos.
– Se recuperen los servicios críticos en un plazo de dos horas a partir del incidente.
– Se complete la liquidación transaccional antes de finalizar la jornada, incluso ante circunstancias extremas.
– Se pruebe la solución adoptada, como mínimo, anualmente.
– Se incluya un plan de contingencia tecnológica.

Guía de supervisión específica: Cámaras Electrónicas de Compensación

Los procedimientos de supervisión estarán destinados a determinar la implementación de los controles requeridos por el marco normativo vigente para las cámaras de compensación:

• La implementación de medidas que aseguren la alta disponibilidad y la resiliencia del servicio:

o el cumplimiento diario de los horarios de corte de procesos definidos en los documentos de Modelo y Diseño Conceptual de cada producto.
– La disponibilidad de los sistemas para que las entidades adheridas puedan intercambiar la totalidad de sus transacciones dentro de las ventanas de operación definidas.
– El procesamiento de todas las transacciones dentro de la ventana de operación diaria en un 99% de los días del año, y una demora no mayor a 2 (dos) horas ante fallas.
– La incorporación de medidas suficientes de redundancia en el diseño de cada estrato de su arquitectura. – La medición, planeamiento y actualización de la capacidad de procesamiento, memoria y almacenamiento en función de las necesidades del mercado.

• La aplicación de medidas de continuidad para el funcionamiento de las instalaciones y la infraestructura, que alcancen:
– La continuidad del servicio eléctrico y la existencia de sistemas para el monitoreo de equipos y de la provisión de electricidad.
– El diseño de las redes de manera tal que permita la continuidad de las comunicaciones con el centro de procesamiento alternativo y quienes integran el sistema.

• El establecimiento de servicios de mantenimiento de equipos y sistemas.

• La existencia de procedimientos alternativos de comunicaciones para el caso de fallas en el medio de acceso principal.

• La definición de adecuadas medidas de seguridad lógica de las cámaras electrónicas que incluyan:

– La encripción de la información transmitida a través de los enlaces que interconectan a las Cámaras Electrónicas entre sí y con las entidades financieras, el uso de algoritmos adecuados y la definición de procesos específicos para el intercambio de claves y la autenticación de la información.
– La implementación de directivas de seguridad y mecanismos de control de acceso en los sistemas operativos, las bases de datos y las aplicaciones de las cámaras.
– Registros de auditoría del uso de aplicaciones y/o utilitarios del sistema.
– La implementación de una separación de ambientes entre producción y los ambientes de desarrollo, pruebas u otros.

• La definición de adecuadas medidas de seguridad física en los centros de procesamiento (principal y alternativo), que incluya, como mínimo:

– Seguridad en general del edificio
– Control de acceso al ámbito de sistemas
– Sistema de detección, aviso y extinción de fuego
– Sistemas de refrigeración

• La existencia, aprobación formal y actualización periódica de un plan de contingencias que permita restablecer el servicio desde su lugar habitual, o su sitio de operación alternativo, con una demora máxima de 2 (dos) horas respecto a la ventana de operación diaria.

• La realización de pruebas completas a la contingencia, por lo menos, dos veces por año.

• La formalización de las relaciones contractuales con terceras partes que brinden servicios a la cámara, que incluya cláusulas de rescisión y mecanismos para la continuidad del servicio.

• La implementación de un esquema de resguardo de datos que garantice como mínimo:

– Obtención de versiones respaldatorias de la información procesada.
– Almacenamiento crítico adecuado.
– Testeos y recuperos periódicos en forma aleatoria para asegurar la calidad del contenido de los resguardos.
– La definición de 2 (dos) Comités de Crisis que tendrán a su cargo el manejo de la situación de crítica vinculada con dificultades de los miembros para liquidar sus saldos. Adicionalmente, entre otros aspectos, se deberán considerar:

• La existencia de autoevaluaciones vinculadas con el entorno de procesamiento, la tecnología y los sistemas de información.

• La generación de mecanismos de gobierno formalizados, claros y transparentes, que incluyan la definición formal de las funciones y responsabilidades del órgano máximo de administración (Directorio o autoridad equivalente), de la Alta gerencia y de las Gerencias de línea, la definición de objetivos vinculados con la seguridad de sus operaciones, y la asignación clara de responsabilidades y obligaciones de rendición de cuentas.

Junio, 2020. Versión inicial

Guía de Supervisión de Prevención de Pérdida de Información (DLP)

Se entiende por prevención de pérdida de información (DLP) al conjunto de herramientas tecnológicas y procesos destinados a la detección, protección, supervisión y administración de la información sensible, con el fin de evitar que la misma sea accedida por personal no autorizado.

Los procedimientos de supervisión estarán destinados a determinar la implementación de controles que permitan a las entidades contar con un adecuado marco conceptual para la prevención de pérdida de información. Entre otros aspectos, se evaluarán:

Aspectos Generales

• La existencia de políticas que determinen pautas de contratación, desvinculación y acuerdos de confidencialidad de la información, con el personal y entes proveedores de servicios de la organización, aún después de no formar parte de la misma.
• La aplicación de una clara definición y comunicación de las políticas de seguridad y acuerdos de confidencialidad aceptados y firmados por todas las personas usuarias.
• La existencia de procedimientos que establezcan pautas y obligaciones que indiquen claramente a la persona usuaria dentro de qué límites se desempeñará su actividad.
• La inclusión en la estrategia global de seguridad de aspectos vinculados con la prevención de pérdida de información.
• La inclusión de iniciativas y actividades de concientización vinculadas con la prevención de pérdida de datos que contemplen, entre otros aspectos, la responsabilidad en el manejo de la información.
• La existencia de un marco normativo que establezca lineamientos generales para todo el ciclo de vida de la información.
• La definición de un proceso continuo de identificación, con el objetivo de reconocer los puntos de entrada y salida de la información.
• Disponer de una clasificación de la información que sirva como base para la aplicación de medidas de protección.
• La implementación de técnicas que permitan efectuar un monitoreo continuo de la información.
• La inclusión dentro del proceso de gestión de incidentes de los eventos vinculados con fuga de información.
• La realización de auditorías periódicas que permitan verificar el cumplimiento de los aspectos señalados, reportando las conclusiones de las mismas al Directorio o autoridad equivalente.

Controles de DLP

• La existencia de normas y procedimientos para el control y la gestión de los datos en donde se definan medidas para proteger la información confidencial en los distintos estadios (tránsito, reposo, en equipos de personas usuarias y en servicios de terceros).

Datos en tránsito

• La existencia de controles que eviten la salida del ámbito de la red interna de datos no cifrados, en función de su clasificación.
• El establecimiento de mecanismos que aseguren el intercambio de datos con terceros.
• El registro y monitoreo del tráfico de red para identificar e investigar transferencias inapropiadas de datos confidenciales.
• La aplicación de mecanismos seguros para el acceso remoto a la red de la organización.
• La realización de controles de acceso a Internet.
• La implementación de mecanismos de seguridad sobre medios físicos en tránsito y en custodia.

Datos en reposo

• La existencia de mecanismos de encripción de los datos confidenciales en función de la clasificación de la información.
• La definición de controles que, según la clasificación de la información, aseguren la utilización de medios cifrados para la extracción de los datos.
• La definición de procesos seguros para el descarte del equipamiento y los soportes de almacenamiento.

Datos en equipos de personas usuarias

• La existencia de técnicas de cifrado de discos y dispositivos.
• La definición de configuraciones seguras en dispositivos que se encuentran en posesión de personas usuarias.
• La definición de procedimientos que establezcan claramente las responsabilidades en la destrucción y el descarte de información con su adecuado registro.

Datos en servicios de terceros

• La ejecución de análisis de riesgos que contemplen las amenazas específicas en el uso y extracción de la información.
• La existencia de técnicas de encripción de los datos en reposo y en tránsito en función de la clasificación de la información.
• La existencia de mecanismos de control que permitan a la entidad monitorear, entre otros aspectos, las actividades relacionadas con el servicio provisto, los incidentes de seguridad relevantes y el resultado de la ejecución de los resguardos de datos.

Junio, 2020. Versión inicial