Nuevo Estándar A 5374 del BCRA

De -
A fines de 2012, el Banco Central (BCRA) emitió la comunicación A5374 referida a canales electrónicos, apuntada a sustituir, a partir de marzo de 2013, la sección 6 de la anterior Comunicación 4609.

Esta nueva comunicación implica varios cambios y alcanza a todas las entidades financieras que intervengan en la prestación, por sí o por terceros en su nombre, por intermedio de algunos de los siguientes canales electrónicos:

  • Cajeros Automáticos (ATM)
  • Terminales de Autoservicio (TAS)
  • Banca Móvil (BM)
  • Banca Telefónica (BT)
  • Banca por Internet (BI)
  • Puntos de Venta (POS)

Entre las modificaciones que introduce se destaca la idea de plantear que la Gestión de Seguridad de los Canales Electrónicos (CE) se entiende como un ciclo de procesos (Procesos de Referencia) que reúnen tareas y funciones de manera integrada, repetible y constante:
  • Concientización y Capacitación (CC): adquisición y entrega de conocimientos en prácticas de seguridad, su difusión, entrenamiento y educación.
  • Control de Accesos (CA): evaluación, desarrollo e implementación de medidas de seguridad, mecanismos de autenticación y segregación de funciones del acceso a Canales Electrónicos.
  • Integridad y Registro (IR): utilización de técnicas de control de la integridad y registro de los datos y las transacciones.
  • Monitoreo y Control (MC): recolección, análisis y control de eventos ante fallas, indisponibilidad o intrusiones que afecten los servicios.
  • Gestión de Incidentes (GI): detección, evaluación, contención y respuesta ante incidentes de seguridad en Canales Electrónicos.

La A5374 establece, además, una serie de Requisitos Generales, como disponer de una Matriz de Escenarios integrada a la Gestión del Riesgo Operacional o cumplir una lista de requisitos técnico-operativos,junto con las responsabilidades sobre los CE dentro de la entidad.

La Matriz de Escenarios es de mucha utilidad práctica, ya que modela detalladamente las relaciones entre Categorías (Credenciales y Medios de Pago, Dispositivos/Aplicaciones y Transacciones) y los Requisitos Mínimos (Controles). Además, estos controles tienen una codificación, una descripción amplia y una fecha de vigencia definidas.

Es importante notar que (al igual que en la A 4609) no se establecen las relaciones entre las Amenazas, los Requisitos mínimos y los escenarios, a pesar de que son necesarias para llevar adelante los Análisis de Riesgo. Cada entidad deberá establecer estas relaciones y definir sus parámetros asociados (probabilidades, degradaciones, efectividades, etc.) o bien recurrir a especialistas que provean las metodologías y las herramientas especializadas para efectuar los cálculos y generar los indicadores.

Como conclusión, podemos decir que esta comunicación mejora muchos aspectos, sobre todo los referidos a los detalles/profundidad y modelos de gestión. Pero también deben considerarse temas como la aplicabilidad y posibilidades reales de implantación de cada entidad en particular.  


Comentarios

Publicar un comentario

Entradas populares de este blog

CEO Fraud, el ciberataque con el que se roba 5 veces más dinero que por ataques de Ransomware

De -
Imagen
En los últimos meses, han habido múltiples casos de ciberataques a empresas a nivel mundial ( WannaCry, Petya, NoPetya ), y conceptos como Ransomware y Phishing tuvieron amplia repercusión. Si bien causaron graves daños y avivaron el debate por las llamadas “ criptomonedas ”, un reporte publicado por la empresa Cisco muestra como el ciberataque conocido como “ CEO Fraud ” logró generar para los ciberdelincuentes cinco veces más dinero qué ataques por Ransomware en los últimos tres años. Este ataque consta de realizar llamadas y enviar correos electrónicos a personas con altos cargos en empresas, como gerentes, por parte de gente que se hace pasar por personal de administración para llevar a cabo grandes transferencias monetarias. En el reporte mencionado anteriormente , Cisco resalta que el cibercrimen obtuvo  5.3 mil millones de dólares únicamente con ataques de CEO Fraud, en comparación a la suma de 1 mil millones de dólares por ataques de Ransomware en este período.
Leer más

Internet Day, reflejo de la Seguridad.

De -
Imagen
Los días lunes 15 y martes 16 de mayo se llevó acabo el ¨Internet Day¨, evento organizado por diferentes cámaras del sector, en el Auditorio Buenos Aires donde tuvo como eje principal las redes de transporte de datos del país, las regulaciones de Gobierno en materia de comunicación e internet y las diferentes tecnologías que se involucran para la conectividad. Asistieron múltiples proveedores de internet de Capital y del interior del país, donde el negocio es más próspero para empresarios emergentes o aquellos que vienen de la televisión por cable, debido a la estructura que ya tienen desplegada en en sus ciudades. El último panel que se encontraba en la agenda, fiel reflejo de la realidad, fue el afectado a materia de seguridad, enfrentando a muy pocos asistentes y con pocos stands en pie. Estos sucesos ponen en evidencia la poca atención o poca información de los usuarios para resguardar sus activos de manera proactiva y la tendencia de hacerlo reactivamente por la gran
Leer más

Banco Hipotecario confía en R-Box, desarrollo de Khutech, para su Gestión de Seguridad Informática

De -
Imagen
R-Box es la solución de Khu Technologies (Khutech) para la Gestión de Seguridad de la Información y Cumplimiento de Estándares. Banco Hipotecario la implementó como solución para el análisis de riesgos, la administración de incidentes y el cumplimiento de normas. El Banco Hipotecario ha sido históricamente el proveedor de préstamos hipotecarios líder en la Argentina. Sin embargo, en los últimos añosha focalizado su estrategia de negocios en su consolidación como Banca Comercial. Apoyado en su reconocimiento histórico como prestador de Créditos Hipotecarios, apuesta hoy a crecer en esta reconversión a partir del lanzamiento de una amplia gama de productos y el fortalecimiento de su posicionamiento en el mercado.
Leer más