A LAS ENTIDADES FINANCIERAS,

A LAS CAMARAS ELECTRÓNICAS DE COMPENSACIÓN:

Ref.: Circular

RUNOR 1 – 805

Nos dirigimos a Uds. para comunicarles que esta Institución adoptó la siguiente resolución:

“ 1. Aprobar las normas sobre “Requisitos Mínimos de Gestión, Implementación y Control de los

Riesgos Relacionados con Tecnología Informática, Sistemas de Información y Recursos Asociados

para las Entidades Financieras” a que se refiere el Anexo a la presente Comunicación.

 

Nuestro Estudio Contable Impositivo le dará el asesoramiento que Ud necesita sobre la materia. Consúltenos

2. Dejar sin efecto (a partir de la entrada en vigencia de la presente comunicación) las disposiciones

dadas a conocer mediante la Comunicación “A” 3198 para el caso de Entidades Financieras

solamente, manteniendo su aplicación para las Cámaras Electrónicas de Compensación.

3. Establecer la vigencia de la nueva norma de la siguiente forma:

a. A partir de la fecha de su emisión para las nuevas entidades que se autoricen.

b. A partir de los 180 días corridos desde su emisión, para las Entidades Financieras

que estén autorizadas a la fecha”.

Saludamos a Uds. muy atentamente.

BANCO CENTRAL DE LA REPUBLICA ARGENTINA

Marcelo D. Fernández Pablo L. Carbajo

Gerente de Auditoria Externa

de Sistemas

Subgerente General de Análisis

y Auditoria

ANEXO

B.C.R.A.

TEXTO ORDENADO ACTUALIZADO DE LAS NORMAS SOBRE “REQUISITOS MÍ-

NIMOS DE GESTIÓN, IMPLEMENTACIÓN, Y CONTROL DE LOS RIESGOS RELACIONADOS

CON TECNOLOGÍA INFORMÁTICA, SISTEMAS DE INFORMACIÓN Y

RECURSOS ASOCIADOS PARA LAS ENTIDADES FINANCIERAS”

Índice

Sección 1. Aspectos generales.

1.1. Eficacia.

1.2. Eficiencia.

1.3. Confidencialidad.

1.4. Integridad.

1.5. Disponibilidad.

1.6. Cumplimiento.

1.7. Confiabilidad.

Sección 2. Organización funcional y gestión de tecnología informática y sistemas.

2.1. Comité de Tecnología Informática. Integración y funciones.

2.2. Políticas y procedimientos.

2.3. Análisis de Riesgos.

2.4. Dependencia del área de Tecnología Informática y Sistemas.

2.5. Gestión de Tecnología Informática y Sistemas.

Sección 3. Protección de activos de información.

3.1. Gestión de la seguridad.

3.2. Implementación de los controles de seguridad física aplicados a los activos de información.

Sección 4. Continuidad del procesamiento electrónico de datos.

4.1. Responsabilidades sobre la planificación de la continuidad del procesamiento de datos.

4.2. Análisis de impacto.

4.3. Instalaciones alternativas de procesamiento de datos.

4.4. Plan de continuidad del procesamiento de datos.

4.5. Mantenimiento y actualización del plan de continuidad de procesamiento de datos.

4.6. Pruebas de continuidad del procesamiento de datos.

Sección 5. Operaciones y procesamiento de datos.

5.1. Responsabilidad del área.

5.2. Inventario tecnológico.

5.3. Políticas y procedimientos para la operación de los sistemas informáticos y manejadores

de datos.

5.4. Procedimientos de resguardos de información, sistemas productivos y sistemas de

base.

5.5. Mantenimiento preventivo de los recursos tecnológicos.

Versión: 1a. COMUNICACIÓN “A“ 4609 Vigencia:

27/12/2006 Página 1

B.C.R.A.

REQUISITOS MÍNIMOS DE GESTIÓN, IMPLEMENTACIÓN, Y CONTROL DE LOS

RIESGOS RELACIONADOS CON TECNOLOGÍA INFORMÁTICA, SISTEMAS DE

INFORMACIÓN Y RECURSOS ASOCIADOS PARA LAS ENTIDADES FINANCIERAS

Índice

5.6. Administración de las bases de datos.

5.7. Gestión de cambios al software de base.

5.8. Control de cambios a los sistemas productivos.

5.9. Mecanismos de distribución de información.

5.10. Manejo de incidentes.

5.11. Medición y planeamiento de la capacidad.

5.12. Soporte a usuarios.

Sección 6. Banca electrónica por diversos medios.

6.1. Controles generales.

6.2. Operatoria y control de las transacciones cursadas por cajeros automáticos (ATM’s).

6.3. Operatoria y control de las transacciones cursadas por medio de puntos de venta

(POS) utilizando débito directo en cuentas con tarjetas de débito.

6.4. Operatoria y control de las transacciones cursadas por medio de Internet (ebanking).

6.5. Operatoria y control de las transacciones cursadas por medio de dispositivos móviles,

que utilicen comunicaciones de telefonía celular o de redes inalámbricas de

área amplia.

6.6. Operatoria y control de las transacciones cursadas por medio de atención telefónica

(Phone Banking).

6.7. Operatoria y control de las transacciones cursadas por medio de otros mecanismos

no contemplados en la presente normativa.

Sección 7. Delegación de actividades propias de la entidad en terceros.

7.1. Actividades Factibles de Delegación.

7.2. Responsabilidades propias de la entidad.

7.3. Formalización de la delegación.

7.4. Responsabilidades del tercero.

7.5. Implementación del procesamiento de datos en un tercero.

7.6. Control de las actividades delegadas.

7.7. Planificación de continuidad de la operatoria delegada.

Sección 8. Sistemas aplicativos de información.

8.1. Cumplimiento de requisitos normativos.

8.2. Integridad y validez de la información.

8.3. Administración y registro de las operaciones.

8.4. Sistemas de información que generan el régimen informativo a remitir y/o a disposición

del Banco Central de la República Argentina.

8.5. Documentación de los sistemas de información.

Versión: 1a. COMUNICACIÓN “A“ 4609 Vigencia:

27/12/2006 Página 2

El Directorio o autoridad equivalente de la entidad (Consejo de Administración, en el caso de entidades

financieras cooperativas, o Funcionario de primer nivel jerárquico, en el caso de sucursales

de entidades financieras extranjeras) es el responsable primario del establecimiento y la existencia

de un área que gestione la administración y/o procesamiento de datos, sistemas o tecnologías relacionadas

para todos los canales electrónicos por los que las entidades financieras realizan el ofrecimiento

de sus productos y servicios. Dicha área evidenciará una clara separación organizacional

con relación a los sectores usuarios de la misma.

Del mismo modo, será responsable de que existan políticas generales y planes estratégicos de corto

y mediano plazo, y de la asignación de los recursos necesarios para la mencionada área.

Debe estar involucrado con los aspectos generales que gobiernen la tecnología de la información y

sus actividades relacionadas, los riesgos que conllevan, y evidenciar mediante documentación formal

la toma de decisiones, el seguimiento y el control de lo establecido.

Los procedimientos que deben llevarse a cabo para el desarrollo de la tarea y control de las áreas

de sistemas de información, los cuales involucran al Directorio, Consejo de Administración o autoridad

equivalente, Gerencia General, Gerencia de Sistemas de Información (SI) y personal de la entidad,

deben estar diseñados para proveer un grado razonable de seguridad en relación con el logro

de los objetivos y los recursos aplicados en los siguientes aspectos:

1.1. Eficacia.

La información y sus procesos relacionados, debe ser relevante y pertinente para el desarrollo

de la actividad. Debe presentarse en forma correcta, coherente, completa y que pueda ser utilizada

en forma oportuna.

1.2. Eficiencia.

El proceso de la información debe realizarse mediante una óptima utilización de los recursos.

1.3. Confidencialidad.

La información crítica o sensible debe ser protegida a fin de evitar su uso no autorizado.

1.4. Integridad.

Se refiere a la exactitud que la información debe tener, así como su validez acorde con las pautas

fijadas por la entidad y regulaciones externas.

1.5. Disponibilidad.

Los recursos y la información, ante su requerimiento, deben estar disponibles en tiempo y forma.

REQUISITOS MÍNIMOS DE GESTIÓN, IMPLEMENTACIÓN, Y CONTROL

DE LOS RIESGOS RELACIONADOS CON TECNOLOGÍA INFORMÁTICA,

SISTEMAS DE INFORMACIÓN Y RECURSOS ASOCIADOS PARA LAS

ENTIDADES FINANCIERAS

B.C.R.A.

Sección 1. Aspectos generales.

Versión: 1a. COMUNICACIÓN “A“ 4609 Vigencia:

27/12/2006 Página 1

1.6. Cumplimiento.

Se refiere al cumplimiento de las normas internas y de todas las leyes y reglamentaciones a las

que están sujetas las entidades financieras.

1.7. Confiabilidad.

Los sistemas deben brindar información correcta para ser utilizada en la operatoria de la entidad,

en la presentación de informes financieros a los usuarios internos y en su entrega al Banco

Central de la Republica Argentina y demás organismos reguladores.

Todos estos aspectos deben ser aplicados a cada uno de los recursos intervinientes en los procesos

de tecnología informática, tales como: datos, sistemas de aplicación, tecnología, instalaciones y

personas.

Las secciones siguientes de la presente norma enumeran una serie de requisitos mínimos que las

entidades financieras deberán cumplir, los que serán sometidos a supervisión por parte de la Superintendencia

de Entidades Financieras y Cambiarias.

REQUISITOS MÍNIMOS DE GESTIÓN, IMPLEMENTACIÓN, Y CONTROL

DE LOS RIESGOS RELACIONADOS CON TECNOLOGÍA INFORMÁTICA,

SISTEMAS DE INFORMACIÓN Y RECURSOS ASOCIADOS PARA LAS

ENTIDADES FINANCIERAS

B.C.R.A.

Sección 1. Aspectos generales.

Versión: 1a. COMUNICACIÓN “A“ 4609 Vigencia:

27/12/2006 Página 2

2.1. Comité de Tecnología Informática. Integración y funciones.

Las entidades financieras deberán constituir un "Comité de Tecnología Informática" integrado,

al menos, por un miembro del Directorio o autoridad equivalente, y el responsable máximo del

área de Tecnología Informática y Sistemas.

Los directores, consejeros, y funcionarios definidos en el párrafo precedente, que integren el

Comité de Tecnología Informática, asumen, respecto de sus demás pares del órgano directivo

o, si correspondiera, de la autoridad máxima en el país, una responsabilidad primaria frente a

eventuales incumplimientos a estas normas.

El Comité de Tecnología Informática deberá, entre otras gestiones:

• vigilar el adecuado funcionamiento del entorno de Tecnología Informática;

• contribuir a la mejora de la efectividad del mismo;

• tomar conocimiento del Plan de Tecnología Informática y Sistemas, y en caso de existir comentarios

en relación con la naturaleza, alcance y oportunidad del mismo, el Comité deberá

manifestarlos en reunión;

• evaluar en forma periódica el plan mencionado precedentemente y revisar su grado de cumplimiento;

• revisar los informes emitidos por las auditorías relacionados con el ambiente de Tecnología

Informática y Sistemas, y velar por la ejecución, por parte de la Gerencia General, de acciones

correctivas tendientes a regularizar o minimizar las debilidades observadas; y

• mantener una comunicación oportuna con los funcionarios de la Gerencia de Auditoría Externa

de Sistemas de la Superintendencia de Entidades Financieras y Cambiarias, en relación

con los problemas detectados en las inspecciones actuantes en la entidad y con el monitoreo

de las acciones llevadas a cabo para su solución.

El Comité de Tecnología Informática deberá reunirse periódicamente a fin de llevar a cabo las

tareas asignadas. La periodicidad mínima de dichas reuniones será trimestral, y en las mismas

participarán, además de sus integrantes, los funcionarios que se consideren necesarios a fin de

tratar un tema en particular.

A su vez, el mencionado Comité elaborará un acta en la cual se detallarán los temas tratados

en cada reunión, así como los puntos que requerirán su seguimiento posterior. Dicha acta será

transcripta en un libro especial habilitado a tal efecto y se enviará al Directorio, o autoridad

equivalente, para su toma de conocimiento en la primera reunión posterior de dicho órgano.

2.2. Políticas y procedimientos.

El Directorio, o autoridad equivalente, debe procurar y observar la existencia de políticas y procedimientos

para administrar el riesgo relacionado a los sistemas de información y la tecnología

informática.

REQUISITOS MÍNIMOS DE GESTIÓN, IMPLEMENTACIÓN, Y CONTROL

DE LOS RIESGOS RELACIONADOS CON TECNOLOGÍA INFORMÁTICA,

SISTEMAS DE INFORMACIÓN Y RECURSOS ASOCIADOS PARA LAS

ENTIDADES FINANCIERAS

B.C.R.A.

Sección 2. Organización funcional y gestión de tecnología informática y sistemas.

Versión: 1a. COMUNICACIÓN “A“ 4609 Vigencia:

27/12/2006 Página 1

Las políticas son documentos de alto nivel, que representan la filosofía de la entidad y el pensamiento

estratégico en la dirección de la misma. Para ser efectivas deben ser claramente escritas

y concisas.

Los procedimientos son documentos escritos que describen de manera secuencial la forma de

ejecutar una actividad para lograr un objetivo determinado, dentro de un alcance establecido.

En dichos documentos se enuncian procesos operativos, se definen responsabilidades, se establecen

los documentos (planillas, informes, registros) a emitir y controlar, y se detallan los

controles necesarios, definiendo dónde y cuándo éstos deben realizarse.

Tanto las políticas como los procedimientos deben estar claramente escritos, formalmente comunicados,

mantenerse actualizados, establecer la asignación de responsabilidades, y ser la

base de la coordinación y realización de las tareas, como así también el instrumento que permita

el entrenamiento sobre las actividades vinculadas a la administración y/o procesamiento de

datos, sistemas o tecnologías relacionadas de la entidad.

2.3. Análisis de Riesgos.

El Directorio, o autoridad equivalente, será responsable de la existencia de mecanismos de

control del grado de exposición a potenciales riesgos inherentes a los sistemas de información,

de la tecnología informática y sus recursos asociados. Serán a la vez los responsables primarios

de observar su continua ejecución.

Se deberá evidenciar la existencia de análisis de riesgos formalmente realizados y documentados

sobre los sistemas de información, la tecnología informática y sus recursos asociados. Los

mismos permanecerán disponibles para su revisión por parte de la Gerencia de Auditoría Externa

de Sistemas de la Superintendencia de Entidades Financieras y Cambiarias.

Los resultados de los análisis mencionados y sus actualizaciones periódicas deben ser formalmente

reportados al Directorio, o autoridad equivalente, que será el responsable primario de

gestionar que las debilidades que expongan a la entidad a niveles de riesgo alto o inaceptable

sean corregidas a niveles aceptables.

2.4. Dependencia del área de Tecnología Informática y Sistemas.

El área de Tecnología Informática y Sistemas -o la denominación que la entidad haya determinado

usar para la función de la administración y/o procesamiento de datos, sistemas o tecnologías

relacionadas- dependerá a nivel organizacional, dentro de la estructura de la entidad financiera,

de un lugar tal que no genere dependencia funcional de áreas usuarias de su gestión.

La entidad debe notificar formalmente la designación del responsable de área a la Gerencia de

Auditoría Externa de Sistemas de la Superintendencia de Entidades Financieras y Cambiarias,

cada vez que ocurra un cambio en la gestión.

REQUISITOS MÍNIMOS DE GESTIÓN, IMPLEMENTACIÓN, Y CONTROL

DE LOS RIESGOS RELACIONADOS CON TECNOLOGÍA INFORMÁTICA,

SISTEMAS DE INFORMACIÓN Y RECURSOS ASOCIADOS PARA LAS

ENTIDADES FINANCIERAS

B.C.R.A.

Sección 2. Organización funcional y gestión de tecnología informática y sistemas.

Versión: 1a. COMUNICACIÓN “A“ 4609 Vigencia:

27/12/2006 Página 2

2.5. Gestión de Tecnología Informática y Sistemas.

2.5.1. Planificación.

El Comité de Tecnología Informática y Sistemas, tendrá a su cargo asegurar que los sistemas

de información y tecnologías relacionadas concuerden con las necesidades de

negocio de la entidad financiera y se alineen con los planes estratégicos de la misma.

Se deberá evidenciar la existencia de un plan de tecnología y sistemas, formalizado y

aprobado por el Directorio, o autoridad equivalente de la entidad, que soporte los objetivos

estratégicos de la misma, contenga un cronograma de proyectos y permita demostrar

el grado de avance de los mismos, la asignación de prioridades, los recursos y los

sectores involucrados.

2.5.2. Control de gestión.

Se evidenciará la existencia de reportes formales, que sean el resultado del control ejercido

por los sectores que dependen del área Tecnología Informática y Sistemas. Dichos

reportes servirán como base para informar a instancias superiores, y deberán mantenerse,

por lo menos durante 2 (dos) años, para su control por la Gerencia de Auditoría Externa

de Sistemas de la Superintendencia de Entidades Financieras y Cambiarias.

2.5.3. Segregación de funciones.

El área de Tecnología Informática y Sistemas deberá presentar una clara delimitación de

tareas entre los sectores que estén bajo su dependencia.

El cuadro del punto 2.5.4. muestra, como referencia, las incompatibilidades existentes

entre las funciones de un sector específico, con respecto a las actividades desempeñadas

por otras áreas o sectores.

En el cuadro, donde se indica la intersección de dos funciones mediante la sigla “NO”, la

entidad deberá tomar medidas en la segregación de tareas, a efectos de evitar su concentración.

Cuando en el cuadro se indica la intersección de dos funciones mediante la sigla “X”, esto

implica que preferentemente estas tareas no deberían recaer en un mismo sector, y

en el caso de que las mismas estuviesen concentradas, deberán evidenciarse claras

medidas de control compensatorio.

En aquellos casos excepcionales, en que por razones de imposibilidad de estructura no

pueda segregarse alguna de las funciones antes mencionadas, deberá evidenciarse la

existencia formal y documentada de controles por oposición de intereses realizados por

sectores independientes. Los mismos deben mantenerse por un plazo no inferior a 2

(dos) años, para su posterior revisión por la Gerencia de Auditoría Externa de Sistemas

de la Superintendencia de Entidades Financieras y Cambiarias.

REQUISITOS MÍNIMOS DE GESTIÓN, IMPLEMENTACIÓN, Y CONTROL

DE LOS RIESGOS RELACIONADOS CON TECNOLOGÍA INFORMÁTICA,

SISTEMAS DE INFORMACIÓN Y RECURSOS ASOCIADOS PARA LAS

ENTIDADES FINANCIERAS

B.C.R.A.

Sección 2. Organización funcional y gestión de tecnología informática y sistemas.

Versión: 1a. COMUNICACIÓN “A“ 4609 Vigencia:

27/12/2006 Página 3

2.5.4. Actividades y segregación de funciones. Incompatibilidades.

Análisis funcional /

Programación

Control de calidad

Operaciones

Administración de

resguardos

Implementaciones

Data Entry

Administración de bases

de datos

Administración de redes

Administración de

telecomunicaciones

Administración del

sistema operativo

Mesa de ayuda

Usuario final

Asignación de perfiles

Definición e

implementación de

políticas, perfiles y

accesos

Control y monitoreo de

seguridad informática

A n á lis is fu n c io n a l /

P ro g ra m a c ió n X NO N O N O N O X X N O N O N O N O N O

C o n tro l d e c a l id a d X N O N O X X N O X X N O N O S I N O N O N O

O p e ra c io n e s N O N O X N O X X X X N O N O N O N O

A d m in is t ra c ió n d e

re s g u a rd o s N O N O X N O N O X N O X N O N O N O

Im p le m e n ta c io n e s N O X X X N O N O X X N O N O N O N O

D a ta E n try X N O N O N O N O X X X X N O N O N O

A d m in is t ra c ió n d e b a s e s

d e d a to s N O N O X N O N O N O X X N O N O N O N O

A d m in is t ra c ió n d e re d e s X X X X N O N O N O N O

A d m in is t ra d o r d e

c o m u n ic a c io n e s X X X X N O N O N O N O

A d m in is t ra c ió n d e

s is te m a s o p e r a tiv o s N O N O X X X X X N O N O N O N O

M e s a d e a y u d a N O N O X X X N O N O N O N O

U s u a rio f in a l N O S I N O X N O N O N O N O N O N O N O N O

A s ig n a c ió n d e p e rf i le s N O N O N O N O N O N O N O N O N O N O N O

D e f in ic ió n e

im p le m e n ta c ió n d e

p o lí t ic a s , p e r f ile s y

a c c e s o s

N O N O N O N O N O N O N O N O N O N O N O N O

C o n tro l y m o n ito r e o d e

s e g u rid a d in fo rm á tic a N O N O N O N O N O N O N O N O N O N O N O N O

REQUISITOS MÍNIMOS DE GESTIÓN, IMPLEMENTACIÓN, Y CONTROL DE LOS RIESGOS RELACIONADOS CON TECNOLOGÍA INFORMÁTICA,

SISTEMAS DE INFORMACIÓN Y RECURSOS ASOCIADOS PARA B.C.R.A. RA LAS ENTIDADES FINANCIERAS

Sección 2. Organización funcional y gestión de tecnología informática y sistemas.

Versión: 1a. COMUNICACIÓN “A“ 4609 Vigencia:

27/12/2006 Página 4

2.5.5. Glosario de funciones descriptas en el cuadro del punto 2.5.4.:

Análisis de sistemas / programación: diseño y desarrollo de los sistemas aplicativos, de acuerdo con

las necesidades del negocio y del usuario.

Control de calidad: prueba y homologación de software de aplicación para la puesta en producción.

Operaciones: gestión operativa del procesamiento de información y el equipamiento afectado.

Administración de resguardos: custodia, guarda y mantenimiento de los archivos de datos y programas

almacenados en distintos medios.

Implementaciones: puesta en producción de sistemas aplicativos.

Data entry: recepción y carga a los sistemas de lotes de información para su posterior procesamiento.

Administración de bases de datos: definición y mantenimiento de la estructura de los datos de las

aplicaciones que utilizan este tipo de software.

Administración de redes: administración y control técnico de la red local.

Administración de telecomunicaciones: administración y control técnico de la red WAN.

Administración de sistemas operativos (system programming): mantenimiento del software de sistemas

operativos.

Mesa de ayuda: canalización de respuestas a inquietudes técnicas de los usuarios.

Usuario final: aquel que hace uso de los sistemas aplicativos, y por naturaleza es el dueño de los

datos.

Asignación de perfiles: vinculación de los usuarios finales con los perfiles de las funciones que

aquellos pueden realizar.

Definición e implementación de políticas, perfiles y accesos: diseño y puesta operativa de las políticas

y los procedimientos de seguridad, de la creación y mantenimiento de los perfiles de usuario y

de la asignación de los permisos a los activos de información.

Control y monitoreo de seguridad informática: seguimiento de las actividades relacionadas con el

empleo de los activos de información.

REQUISITOS MÍNIMOS DE GESTIÓN, IMPLEMENTACIÓN, Y CONTROL

DE LOS RIESGOS RELACIONADOS CON TECNOLOGÍA INFORMÁTICA,

SISTEMAS DE INFORMACIÓN Y RECURSOS ASOCIADOS PARA LAS

ENTIDADES FINANCIERAS

B.C.R.A.

Sección 2. Organización funcional y gestión de tecnología informática y sistemas.

Versión: 1a. COMUNICACIÓN “A“ 4609 Vigencia:

27/12/2006 Página 5

3.1. Gestión de la seguridad.

3.1.1. Dependencia del área responsable.

Las entidades financieras deben considerar en su estructura organizacional un área para

la protección de los activos de información, con el fin de establecer los mecanismos

para la administración y el control de la seguridad sobre el acceso lógico y físico a sus

distintos ambientes tecnológicos y recursos de información: equipamiento principal, plataforma

de sucursales, equipos departamentales, subsistemas o módulos administradores

de seguridad de los sistemas de aplicación, sistemas de transferencias electrónicas

de fondos, bases de datos, canales de servicios electrónicos, banca por Internet y otros.

El responsable de la protección de activos de información gestionará la implementación

y el mantenimiento de la política de seguridad para los mismos, establecida por el Directorio,

o autoridad equivalente de la entidad.

La ubicación jerárquica del área deberá garantizar, en forma directa, su independencia

funcional y operativa de las áreas de tecnología y sistemas de información, del resto de

las áreas usuarias y de la función de auditoría.

Deben definirse, documentarse y asignarse adecuados roles para los recursos humanos

que la integran, considerando: misiones y funciones, responsabilidades, habilidades necesarias

para cubrir el puesto y otros aspectos que las entidades financieras crean relevantes.

Los recursos humanos que desempeñen la función deben contar con adecuados

niveles de entrenamiento en la implementación de controles y el mantenimiento de políticas

y sanas prácticas de seguridad.

3.1.2. Estrategia de seguridad de acceso a los activos de información.

De acuerdo con sus operaciones, procesos y estructura, las entidades financieras deben

definir una estrategia de protección de activos de información, que les permita optimizar

la efectividad en la administración y el control de sus activos de información.

Dicha estrategia debe considerar las amenazas y las vulnerabilidades asociadas a cada

entorno tecnológico, su impacto en el negocio, los requerimientos y los estándares vigentes.

Para ello deben asignar claramente roles y responsabilidades en materia de seguridad,

comprometiendo a los máximos niveles directivos y gerenciales.

La estrategia de seguridad deberá contemplar el establecimiento de mecanismos de

control para la detección, registro, análisis, comunicación, corrección, clasificación y

cuantificación de los incidentes y de las debilidades en los accesos no autorizados a la

información administrada en los sistemas de información.

Se valorará que la mencionada estrategia abarque, además de los recursos informáticos

propios de la entidad, a sus grupos de influencia: sistema financiero, clientes de todo tipo,

proveedores de recursos y sistemas de información, operadores de telecomunicaciones,

requerimientos de los organismos de regulación y control, y otros entes externos

vinculados directa o indirectamente.

REQUISITOS MÍNIMOS DE GESTIÓN, IMPLEMENTACIÓN, Y CONTROL

DE LOS RIESGOS RELACIONADOS CON TECNOLOGÍA INFORMÁTICA,

SISTEMAS DE INFORMACIÓN Y RECURSOS ASOCIADOS PARA LAS

ENTIDADES FINANCIERAS

B.C.R.A.

Sección 3. Protección de activos de información.

Versión: 1a. COMUNICACIÓN “A“ 4609 Vigencia:

27/12/2006 Página 1

3.1.3. Planeamiento de los recursos.

En los ciclos de gestión de las funciones informáticas, se deben considerar el planeamiento,

la implementación y el mejoramiento continuo de los procesos de administración

y control de seguridad sobre la protección de activos de información.

De acuerdo con los riesgos identificados en las metas y planes estratégicos, se deben

elaborar planes operativos que contemplen los factores críticos para un efectivo control

de las aplicaciones junto con las actividades del negocio que respaldan. Dichos planes

operativos tendrán en cuenta las tareas a realizar con su correspondiente asignación de

tiempos y recursos, las prioridades y la precedencia de cada una de ellas.

En los nuevos proyectos informáticos se deben contemplar los requerimientos de seguridad

desde sus etapas iniciales, con el objetivo de asegurar el diseño y la implementación

de apropiados controles y registros de seguridad, como así la correcta selección de

tecnología que haga a la solución integral de la misma

3.1.4. Política de protección.

De acuerdo con su estrategia de seguridad, las entidades financieras deben desarrollar

una política de protección de los activos de información. Ésta debe evidenciar claramente

que es un instrumento que se utiliza para proporcionar dirección y apoyo gerencial

con el objeto de brindar protección de los activos de información. Además, identificará

los recursos críticos a proteger y los riesgos internos y externos de accesos no autorizados

sobre los mismos.

El Directorio, o autoridad equivalente, deberá establecer una dirección política clara, y

demostrar apoyo y compromiso con respecto a la protección de los activos de información,

mediante la formulación, aprobación formal y difusión de la misma a través de toda

la entidad.

Deberá ser implementada y comunicada a todo el personal y servir como base para el

desarrollo de las normas, los manuales, los estándares, los procedimientos y las prácticas

que gobiernen los aspectos de seguridad de los sistemas de información, los datos

y la tecnología informática asociada.

La mencionada documentación deberá contemplar, como mínimo: