Comunicación BCRA “A” 5374 – Lo que verdaderamente debemos atender

 

Introducción

En el año 2006, el Banco Central de la República Argentina publicó la ya famosa Comunicación “A“4609 – Requisitos mínimos de gestión, implementación y control de los riesgos relacionados con tecnología informática y sistemas de información.  La misma disparó un sinfín de proyectos en las Áreas de Sistemas y Tecnología que dejaron en las entidades bancarias y financieras experiencias de todo tipo.  Algunas, muy positivas y otras no tanto.  Pero en base a las reflexiones que nuestros clientes nos comparten es prácticamente unánime la opinión de que fueron momentos intensos por así llamarlos y no precisamente por desconocimiento o la complejidad de los requerimientos.

La duda que surge es si se trataba de un problema de conocimiento, capacidad o entendimiento del equipo responsable de su implementación. ¿Cuál habrá sido la causa de los sabores amargos?…

¿Qué va a pasar en Marzo de 2013?

Para marzo de este año, el BCRA nos informa que deben estar implementados los cambios y agregados que se indican en la nueva Comunicación “A” – 5374 – “Requisitos mínimos de gestión, implementación y control de los riesgos relacionados con tecnología informática, sistemas de información y recursos asociados para las entidades financieras”. Modificación. Y que se focalizan en la Sección 6 – Canales Electrónicos.

Naturalmente esto nos genera un “deja-vu” y nos vienen a la mente todas las situaciones vividas desde el 2006 con la normativa anterior, y la forma en que tuvimos que trabajar y las conclusiones a las que llegamos.  Por eso los invito a analizar un poco más en profundidad cuál pensamos que será la situación de cara al nuevo proyecto.

La situación a la hora de ponerse a trabajar

Si bien el mercado argentino está bien nutrido de expertos en Seguridad Informática, con excelente trayectoria e inclusive fuerte experiencia en la industria bancaria, luego de trabajar en diversas entidades de varias industrias hemos notado que el entendimiento de las exigencias del BCRA y el conocimiento necesario para alinear la gestión no suelen ser un problema para el personal de nuestros clientes.  De hecho suelen tener mucho más conocimiento que la mayoría de los asesores o expertos externos.

Sin embargo existen otros factores que complican las cosas y que generan retrasos o incluso problemas en el momento de la auditoría,  impactando en forma directa al negocio, impidiéndole crecer acorde a lo planificado o generando sobrecostos de último momento que llegan para quedarse.  Los factores que más frecuentemente solemos identificar son:

  • Las personas que deben diagnosticar, planificar, ejecutar y controlar los proyectos de alineación, comparten agenda con otros proyectos igualmente críticos, impidiéndoles focalizar y dedicar el tiempo necesario para el control y el aseguramiento básicos
  • No se definen equipos de trabajo con estructuras lo suficientemente fuertes como para moverse ágilmente dentro de la organización en pos de obtener lo necesario para el cumplimiento de los objetivos
  • La mayoría de las actividades son llevadas a cabo por personal operativo del Área de Sistemas y Tecnología, reduciendo al mínimo la participación de personas de otras áreas clave, como por ejemplo las áreas de negocio, RRHH, legales, compliance, etc.
  • Ausencia de una metodología de trabajo orientada a objetivos: al estar conformado por personal con perfil mayormente operativo, no se estructura el proyecto para que cada individuo se focalice en el cumplimiento de sus objetivos individuales y de proyecto; esto permite que fácilmente las actividades se estanquen o pierdan el rumbo definido originalmente
  • Finalmente hay un escaso manejo de la comunicación y el control de los cambios dentro del proyecto que son factores que muy frecuentemente aparecen y, en proyectos de corto plazo como éstos, generan impactos difíciles de remediar en tiempo y forma.

Nuestra experiencia nos indica que si bien la solución podría perfectamente estar dentro de casa, lo cierto es que se suele requerir un complemento de colaboración activa y profesional que poco tiene que ver con el conocimiento vertical y específico de la Seguridad Informática, sino que debe aportar valor en base a las siguientes características:

  • Capacidad para interactuar de forma simple, directa y clara con cualquier persona dentro o fuera de la institución
  • Capacidad de liderazgo, coaching y visión estratégica de corto, mediano o largo plazo
  • Experiencia en proyectos de alta presión, exposición e impacto en el negocio
  • Conocimiento en la industria y la solución a aplicar
  • Visión objetiva, planificadora y ágil
  • Conocimientos sólidos en gobierno, procesos, gestión de la comunicación y del cambio.

Finalmente quisiera recomendarles a los lectores de este artículo que se tomen un tiempo de reflexión y evalúen si no es necesario quizás profundizar en estas temáticas y concretar una charla con el equipo de Estratega para clarificar un poco más la situación y las necesidades que surgirán como consecuencia de la entrada en vigor de esta normativa.

A todos quiere dejarles mis saludos y el deseo de un fabuloso 2013.

Diego C. Vázquez

diego.vazquez@estratega.org