En un contexto de creciente amenaza cibernética global, la Comisión Nacional de Valores (CNV) de Argentina implementó la Resolución General 704-E/2017 hace mas de un lustro, un marco regulatorio destinado a fortalecer la ciberseguridad y la resiliencia cibernética en las infraestructuras críticas del mercado de capitales. Esta normativa, alineada con estándares internacionales, sigue las recomendaciones de la Organización Internacional de Comisiones de Valores (IOSCO) y los principios del Comité de Sistemas de Pago y Liquidación (CPSS) del Banco de Pagos Internacionales (BIS), con el objetivo de mitigar los riesgos operacionales y cibernéticos que podrían comprometer la integridad y disponibilidad de los servicios financieros.

Principales puntos de la resolución

1. Adopción de políticas de Seguridad de la Información: Las entidades deben aprobar políticas de seguridad de la información conforme a la norma ISO 27000 antes del 1 de enero de 2018. Esto asegura que las organizaciones adopten un enfoque sistemático para gestionar la seguridad de la información.

2. Plan de implementación: Un plan de implementación de estas políticas debe ser elaborado dentro de los dos meses posteriores a su aprobación. Este plan es esencial para garantizar que las medidas de seguridad sean aplicadas de manera efectiva y oportuna.

3. Medidas de resiliencia cibernética: Antes del 1 de marzo de 2018, las entidades deben adoptar medidas de resiliencia cibernética siguiendo la “Guía sobre la Resiliencia Cibernética para las Infraestructuras de Mercado Financiero”. Estas medidas buscan asegurar la continuidad operativa en caso de ciberataques.

4. Inventario y clasificación de activos: Se requiere la identificación y actualización anual de un inventario de activos informáticos y procesos esenciales. Además, deben implementarse procesos para la asignación de propietarios de activos y reglas para el uso aceptable de los mismos.

5. Análisis de riesgos informáticos: Es obligatoria la realización de análisis de riesgos sobre sistemas de información y tecnología, reportados formalmente al Comité de Tecnología/Seguridad.

6. Control de cambios y pruebas: Las entidades deben notificar y realizar pruebas de cambios en las plataformas y servicios compartidos para permitir adecuaciones necesarias, asegurando la disponibilidad de ambientes de pruebas equivalentes a los productivos para validar estos cambios.

7. Detección de vulnerabilidades y respuesta a incidentes: Se debe establecer un protocolo para la detección de amenazas y notificación al ente regulador, además de fomentar la colaboración entre partes interesadas para la respuesta a incidentes y tareas forenses.

8. Sincronización de relojes: Las entidades deben definir un servicio de sincronización de relojes utilizando servidores NTP reconocidos, garantizando la precisión y consistencia temporal en las operaciones.

9. Responsabilidades y capacitación: Es necesaria la evaluación de antecedentes y capacitación continua en seguridad de la información para empleados y usuarios externos, fomentando una cultura organizacional de ciberseguridad.

Desafíos y necesidades actuales

A más de cinco años de su entrada en vigencia, la Resolución 704/2017 no ha tenido la difusión y concientización adecuadas, lo que puede llevar a un incumplimiento generalizado de sus disposiciones. Esta falta de visibilidad pone en riesgo la integridad y confianza en el mercado de capitales argentino, ya que el incumplimiento de las obligaciones de notificación de vulnerabilidades o incidentes puede dejar al regulador en la oscuridad ante potenciales amenazas cibernéticas.

La figura del delegado de Protección de Datos (DPD)

Paralelamente, la Resolución 40/2018 de la Agencia de Acceso a la Información Pública (AAIP) establece una política modelo de Protección de Datos Personales para Organismos Públicos, incluyendo la figura del Delegado de Protección de Datos (DPD). Aunque la CNV es un ente autárquico bajo la órbita del Poder Ejecutivo Nacional, cumple funciones de regulador y contralor del mercado de capitales argentino, y hasta ahora, ningún organismo público ha implementado esta figura clave.

La ausencia de la figura del DPD en los organismos públicos y la falta de concientización sobre la Resolución 704/2017 representan graves falencias en la protección de los datos y la seguridad del ecosistema financiero argentino. Es urgente que las autoridades competentes tomen medidas concretas para implementar la figura del DPD en todos los organismos públicos y generen una campaña de capacitación para garantizar el cumplimiento de la Resolución 704/2017 en el sector privado bajo la órbita de la CNV. Solo así se podrá asegurar una adecuada protección y resiliencia frente a las amenazas cibernéticas en el mercado de capitales del país.

Fuente: https://www.boletinoficial.gob.ar/detalleAviso/primera/169740/20170829