El regulador australiano se enfoca en el riesgo cibernético: Estándar CPS 234 de APRA El Estándar CPS 234 de APRA es una norma prudencial emitida por la Autoridad de Regulación Prudencial Australiana (APRA) para mejorar las capacidades de ciberseguridad e información de la industria de servicios financieros de Australia. El objetivo de la norma es asegurar que las entidades reguladas por APRA estén mejor equipadas para gestionar los riesgos de ciberseguridad y protegerse a sí mismas y a sus clientes de las amenazas cibernéticas.

Adam Zani
Adam Zani

Director | Australia y Nueva Zelanda

azani@thomasmurray.com

¿Quiénes se ven afectados? El Estándar afecta principalmente a las entidades reguladas por APRA, incluyendo:

  1. Instituciones autorizadas para recibir depósitos (ADIs) como bancos, sociedades de crédito y cooperativas de crédito;
  2. Compañías de seguros generales;
  3. Compañías de seguros de vida;
  4. Aseguradoras de salud privadas; y
  5. Fondos de jubilación (esquemas de inversión gestionados que invierten en ahorros para la jubilación).

Estas entidades están obligadas a cumplir con el CPS 234 e implementar las medidas necesarias para fortalecer su ciberseguridad.

¿Qué pretende lograr el Estándar?

La protección al consumidor está en el corazón del Estándar CPS 234 de APRA. Las entidades reguladas por APRA deben mantener defensas robustas de ciberseguridad para protegerse a sí mismas y a sus clientes de las amenazas cibernéticas. El Estándar tiene como objetivo asegurar que las entidades:

  • Mejoren la gobernanza de la ciberseguridad, estableciendo un marco integral para supervisar y gestionar eficazmente los riesgos de ciberseguridad;
  • Implementen controles de seguridad de la información para proteger sus activos digitales contra el acceso no autorizado, la divulgación, la alteración o la destrucción;
  • Tengan planes de respuesta a incidentes efectivos para responder de manera rápida y eficaz a los incidentes y brechas de ciberseguridad; y
  • Mejoren su gestión de datos y de riesgos de terceros para garantizar que los proveedores de servicios tercerizados cumplan con los mismos estándares altos de ciberseguridad a los que están sujetas las entidades reguladas por APRA.

Sanciones por incumplimiento El incumplimiento del Estándar CPS 234 de APRA puede resultar en diversas sanciones (impuestas por APRA, naturalmente), que pueden incluir:

  • Sanciones financieras;
  • Acciones de cumplimiento; y/o
  • APRA puede requerir que una entidad no conforme realice acciones correctivas específicas para abordar las deficiencias y fortalecer sus capacidades de ciberseguridad.

Aunque no es una sanción regulatoria, el incumplimiento del CPS 234 también puede resultar en daño reputacional, lo que puede perjudicar la capacidad de una empresa para atraer clientes o hacer negocios en el futuro.

Un mundo interconectado: el papel de los controles de ciberseguridad

En términos de su enfoque para crear y hacer cumplir regulaciones, APRA tiene como objetivo ser "un regulador visionario". El Estándar CPS 234 parece estar alineado con esa ambición, al reconocer que los actores de amenazas cibernéticas no están limitados por fronteras o husos horarios.

Existe un reconocimiento extensivo de la proporcionalidad dentro de la regulación que requiere una aplicación adecuada de los controles de ciberseguridad dentro de la organización. La naturaleza cambiante de las amenazas de ciberseguridad significa que el cumplimiento es un esfuerzo continuo que requiere un compromiso constante con la ciberseguridad desde la junta directiva y el negocio en general.

Una "hoja de ruta integral" es una forma efectiva de lograr este compromiso. Estas hojas de ruta se utilizan a menudo en el contexto de modelos de cambio organizacional. El propósito de una hoja de ruta integral es facilitar transiciones suaves durante períodos de cambio, minimizar interrupciones y garantizar que se logren los resultados previstos. Ayuda a generar confianza y fomenta la participación organizacional y la adopción del cambio.

¿Cómo puede ayudar Thomas Murray?

Bajo el CPS 234, las entidades reguladas por APRA deben mantener un marco de política de seguridad de la información que sea proporcional a su exposición a vulnerabilidades y amenazas. Esto debería ser ampliamente consistente con otros marcos de políticas, como la gestión de riesgos o de proveedores. Nuestro equipo especializado en consultoría de ciberseguridad puede proporcionar el apoyo necesario a las organizaciones para garantizar el cumplimiento, desde el desarrollo de hojas de ruta integrales y ayudar a implementar y establecer los cimientos necesarios para lograr el cumplimiento, hasta proporcionar apoyo específico para garantizar que el cumplimiento sea continuo.

Finalmente, nuestra tecnología propietaria permite la automatización de la creación, emisión y evaluación de cuestionarios para evaluar a sus terceros.

La amplia experiencia del equipo de ciberseguridad de Thomas Murray garantizará que se establezcan controles, procesos y mecanismos adecuados para garantizar una gestión adecuada de los riesgos de ciberseguridad.

 

Orbit Security

Orbit Security

Calificaciones de seguridad para mejorar la gestión de la superficie de ataque y el riesgo de terceros. Supervise las infracciones y vulnerabilidades que podrían explotar los actores de amenaza.

Descubra más