APRA vizează igiena cibernetică și supravegherea consiliului de administrație cu o nouă strategie de securitate – Finanțe – Securitate


APRA a dezvăluit o nouă strategie de securitate cibernetică și a marcat că va intensifica revizuirea conformității sale cibernetice actuale, responsabilizând consiliile pentru deficiențe.

Strategia de securitate cibernetică a autorității de reglementare prudențială pentru 2020 până în 2024 încearcă să ridice standardele de securitate cibernetică și să introducă o responsabilitate sporită atunci când companiile nu își îndeplinesc cerințele obligatorii din punct de vedere juridic.

Într-un discurs la Forumul de asigurare a serviciilor financiare ieri, Geoff Summerhayes, membru al consiliului executiv al APRA a declarat că noua strategie urmărește să protejeze o rețea din ce în ce mai conectată de entități financiare, să sporească supravegherea consiliului și să îmbunătățească practicile de igienă cibernetică.

Summerhayes a declarat că APRA dorește „eradicarea expunerilor cibernetice inutile sau neglijent”, prin stabilirea unei linii de bază a controalelor cibernetice. Începe cu îmbunătățirea conformității cu aplicarea CPS 234.

CPS 234 a fost introdus anul trecut pentru a consolida reziliența cibernetică a sectorului și solicită băncilor, asigurătorilor și fondurilor de pensii să mențină capacitățile de securitate, să efectueze teste periodice și să anunțe autoritatea de reglementare dacă apar incidente.

Consiliile vor fi obligate să angajeze o firmă de audit externă pentru a revizui conformitatea CPS 234 anul viitor după ce autoritatea de reglementare a identificat că multe entități nu respectă în mod adecvat regulile.

În timp ce APRA a făcut anterior concesii pentru a reduce povara de reglementare, astfel încât industria să se poată concentra asupra răspunsului său la pandemie, Summerhayes a spus că „acesta este un domeniu în care APRA nu mai poate opri strângerea șuruburilor de reglementare”.

„Sunt aproape 18 luni de la intrarea în vigoare a CPS 234 și încă vedem prea multe probleme de igienă cibernetică de bază în întreaga industrie”, a spus Summerhayes.

„Vom adopta, de asemenea, o abordare mult mai direcționată pentru a ne asigura că CPS 234 este pe deplin respectat și pentru a răspunde consiliilor de administrație și conducerii acolo unde nu este”.

Summerhayes a solicitat, de asemenea, mai multe abilități de securitate cibernetică între consilii și funcții de audit intern.

„Prea multe consilii încă nu au vizibilitate sau înțelegere a problemelor, în timp ce funcțiile de audit intern pot să nu aibă abilitățile de specialitate pentru a contesta consiliile și conducerea pentru a acoperi golurile urgente”, a spus el.

„Riscul cibernetic nu este o amenințare nouă, cu toate acestea, multe consilii din populația noastră reglementată nu sunt încă echipate corespunzător pentru a supraveghea problemele cibernetice și pentru a lua măsuri corective directe acolo unde este necesar.”

Strategia va formula îndrumări cibernetice îmbunătățite pentru membrii consiliului de administrație, auditori interni și profesioniști în managementul riscurilor.

O rețea complexă

Noua strategie vizează, de asemenea, extinderea acoperirii APRA dincolo de cele 680 de entități pe care le reglementează la un ecosistem mai larg de 17.000 de entități financiare interconectate, piețe și infrastructură care furnizează produse și servicii consumatorilor.

„Știm că o încălcare cibernetică în orice parte a sistemului – cum ar fi un broker de asigurări, o agenție de rating de credit, un furnizor de servicii IT sau un serviciu de reparații ATM – poate avea un impact în cascadă asupra întregului sistem.”

APRA va dezvolta practici mai puternice de evaluare și asigurare a furnizorilor terță parte pentru a fi utilizate de către entitățile reglementate de APRA, crescând nivelul de maturitate în practicile de aprovizionare și supraveghere a furnizorilor.

În ciuda riscurilor cibernetice sporite, Summerhayes a spus că nu există „niciun semn evident” al creșterii adversarilor cibernetici care vizează băncile, asigurătorii sau super-fondurile pe parcursul lucrărilor la distanță COVID-19.

„Acest lucru nu este motiv de satisfacție, dat fiind că poate dura câteva luni sau ani până când sunt detectate unele atacuri cibernetice, în timp ce suntem extrem de conștienți că instituțiile noastre financiare majore evită tentativele de atacuri cibernetice în fiecare zi”, a spus el.

Summerhayes a remarcat că riscurile cibernetice continuă să se accelereze, iar misiunea APRA este „să facă o schimbare pasă în rezistența cibernetică a sistemului financiar australian”.



Source link

Lasă un răspuns