El Banco Central de la República Argentina (BCRA) estableció nuevas obligaciones a los bancos relacionadas con la seguridad. La comunicación A 7724 impulsa una actualización de las exigencias vinculadas con la gestión de los riesgos de la tecnología y seguridad de la información, la continuidad del negocio, la tecnología, la infraestructura informática y la gestión de ciberincidentes, según explicó Agustín Allende, socio de Crearis Latam. Esta norma tendrá vigencia a partir del 10 de septiembre próximo.
Deben asegurar supervisión adecuada de las actividades de gestión de los riesgos relacionados con la tecnología y seguridad de la información. Si bien establece obligaciones al directorio y a la alta gerencia, la norma omite considerar entre sus objetivos la protección de los datos personales. Las medidas de ciberseguridad deben ser diseñadas a medida por los bancos.
Los riesgos relacionados con la tecnología y seguridad de la información a ser incluidos en la evaluación son, especialmente, los que siguen:
-Escenarios que afecten la resiliencia tecnológica.
-Obsolescencia de la tecnología y los sistemas.
-Gestión de la relación con terceras partes.
-Desarrollo y utilización de algoritmos de inteligencia artificial o aprendizaje automático.
-Adopción de tecnología nueva o emergente.
-Software o aplicaciones utilizadas por usuarios que no fueron formalmente autorizados.
-Aspectos de protección de datos personales en el uso de tecnologías asociadas a blockchain.
-Escenarios de ciberincidentes relacionados con datos personales.
La comunicación incorpora el análisis de la inteligencia artificial (IA) y machine learning (ML) debiendo identificar y documentar el objetivo del uso, por sí o por terceros, de software que utilice algoritmos de IA o ML en sus proyectos o procesos, afirmó Allende. El BCRA prevé el uso de inteligencia artificial por los bancos y los derechos del usuario. Exige establecer roles y responsabilidades para la definición del contexto en que operan los sistemas de IA.
También la identificación de los modelos, algoritmos y los conjuntos de datos utilizados, y la definición de métricas y umbrales precisos para evaluar la confiabilidad de las soluciones implementadas. Estos análisis de riesgos deberán considerar, como mínimo lo siguiente, sostuvo Allende:
-Los modelos adoptados, su entrenamiento y las posibles discrepancias con la realidad del contexto.
-Los datos utilizados para el entrenamiento, su volumen, complejidad y obsolescencia.
-La privacidad y la afectación a los usuarios en su calidad de consumidores.
-El nivel de madurez de los estándares de pruebas de software y las dificultades para documentar las prácticas basadas en IA.
Adicionalmente, se deberán implementar procesos que promuevan la confiabilidad en el uso de este tipo de algoritmos e incluyan al menos, aclaró Allende:
-Medidas para evitar la existencia de sesgos o discriminación contra grupos o segmentos de clientes o usuarios de los productos y/o servicios financieros.
-Documentación respecto de la transparencia, la explicabilidad de los modelos utilizados y la interpretabilidad de los resultados.
-La ejecución de revisiones periódicas de los resultados respecto de la tolerancia al riesgo definida.
-La comunicación al cliente cuando utilice servicios soportados por este tipo de tecnología.
La seguridad de los datos biométricos y su vulnerabilidad es seguida de cerca por el BCRA quien establece los requisitos generales para los factores de autenticación mediante el uso de datos biométricos: En la implementación de métodos de autenticación que utilicen datos biométricos, se deberán evaluar y mitigar los riesgos derivados de las siguientes características, precisó Allende:
-Las limitaciones para asegurar la autenticación del suscriptor debido al carácter probabilístico del método, la tasa de falsos positivos (FMR) y la falta de secreto del dato biométrico.
-La necesidad de establecer un proceso para la revocación de credenciales de este tipo.
-Las posibles vulnerabilidades en los dispositivos y sistemas utilizados para la captura y validación de las credenciales.
-El impacto en la privacidad de los usuarios.
-Gestión de ciberincidentes
