Establecido por la Autoridad de Regulación Prudencial de Australia, el estándar de seguridad de la información CPS 234 tiene como objetivo garantizar que las entidades reguladas por APRA que operan en el sector financiero cuenten con prácticas de seguridad de la información sólidas y eficaces para proteger sus datos confidenciales de las ciberamenazas. Al adherirse a este estándar, las instituciones financieras mejoran su postura de seguridad, mitigan los riesgos cibernéticos, protegen los datos de la empresa y generan confianza.
En la última década, la ciberdelincuencia ha experimentado un fuerte aumento. Los agentes maliciosos están encontrando formas más sofisticadas e ingeniosas de poner en peligro los activos de información, causando importantes daños financieros y de reputación a las empresas en Australia y en todo el mundo. Las instituciones financieras son especialmente susceptibles debido a la gran cantidad de datos financieros y al acceso a información de identificación personal que poseen estas organizaciones. Los sistemas de seguridad de la información deficientes y la dependencia de la tecnología y de proveedores externos por parte de las compañías de seguros, banca y superannuation están exacerbando estos problemas.
CPS 234 representó un gran salto en el fortalecimiento de los procesos de seguridad de la información del sector de los servicios financieros. El marco CPS 234 está diseñado para garantizar que las entidades reguladas por APRA mantengan prácticas sólidas de seguridad de la información y resiliencia operativa, protegiéndose a sí mismas y a sus clientes de los riesgos cibernéticos. CPS 234 también exige que las organizaciones presten más atención a la gestión de riesgos de los proveedores de TI, garantizando que se reduzcan los incidentes relacionados con terceros.
Comprender e integrar con éxito esta regulación no es solo una cuestión de cumplimiento, sino un imperativo estratégico. Entra en el núcleo mismo de cómo operan las instituciones de servicios financieros, cómo protegen la información y, en última instancia, cómo mantienen la confianza.
Este blog explica qué es CPS 234, quién debe cumplirlo y comparte las mejores prácticas para cumplir con los requisitos clave de seguridad de la información del estándar. Y, lo que es más importante, comparte cómo el software puede ayudar a las organizaciones a implementar procesos que se ajusten a los requisitos de CPS 234.
¿Qué es CPS 234?
Establecido por la Autoridad de Regulación Prudencial de Australia (APRA), CPS 234 para la seguridad de la información es un estándar prudencial dirigido a las entidades reguladas por APRA que operan en el sector financiero. Su principal objetivo es garantizar que estas organizaciones cuenten con prácticas de seguridad de la información sólidas y eficaces para minimizar la probabilidad y el impacto de los riesgos e incidentes de seguridad de la información. Está diseñado para proteger la confidencialidad y la integridad de los activos de información, incluidos los gestionados por proveedores de servicios externos relacionados.
El estándar exige que la alta dirección establezca y mantenga un marco de política de seguridad integral, gestione el riesgo cibernético, implemente controles de seguridad sólidos y defina una responsabilidad clara para las funciones y responsabilidades de seguridad. Para ajustarse a los requisitos de CPS 234, las entidades también deben contar con planes de respuesta a incidentes y ser capaces de responder eficazmente a posibles incidentes de seguridad. Las pruebas periódicas y la verificación independiente de los controles para los activos de tecnología de la información también son un requisito clave en virtud de CPS 234 para garantizar el cumplimiento continuo.
¿Por qué es importante CPS 234?
Los ciberataques están aumentando en impacto, frecuencia y sofisticación, y los autores refinan continuamente sus esfuerzos para poner en peligro las redes y los sistemas. El marco de seguridad de la información CPS 234 para las organizaciones financieras australianas es importante para garantizar que las entidades reguladas por APRA sean resistentes a los ciberataques y otros riesgos de seguridad de la información. El estándar también exige que las entidades respondan con prontitud en caso de que se produzca un incidente de seguridad.
CPS 234 es importante para las entidades reguladas por APRA. Las mayores expectativas de las partes interesadas, incluidos la alta dirección, el consejo de administración, los accionistas, los reguladores y los clientes, con respecto a la protección eficaz de los activos de información han impulsado la necesidad de medidas de seguridad de TI más sólidas. Por lo tanto, comprender los requisitos de CPS 234 es crucial para todas las entidades reguladas por APRA en el sector financiero.
¿A quién es relevante CPS 234?
CPS 234 se aplica a todas las entidades legales reguladas por la Autoridad de Regulación Prudencial de Australia, a saber:
- Organizaciones bancarias, cooperativas de crédito, neobancos o cualquier otra institución autorizada para la recepción de depósitos
- Compañías de seguros
- Fondos de superannuation
- Sociedades holding no operativas
- Compañías de seguros de vida y sociedades de ayuda mutua
- Compañías privadas de seguros de salud
Estas entidades son responsables de mantener sistemas y prácticas de seguridad de la información que sean apropiados para las amenazas a las que se enfrentan. Además, cuando los activos de información de una entidad regulada por APRA son gestionados o mantenidos por un tercero, los requisitos de CPS 234 también se aplican a dicho tercero.
¿Cuáles son los requisitos clave de CPS 234?
La intención y la estructura de CPS 234 están diseñadas para promover y fomentar las buenas prácticas de seguridad dentro de las instituciones financieras y para depositar la responsabilidad y la rendición de cuentas adecuadas en el consejo de administración. El estándar de seguridad de la información CPS 234 exige a las empresas que implementen las siguientes prácticas.
Definir las funciones y responsabilidades, incluida la participación del consejo de administración: Según CPS 234, el consejo de administración de una entidad regulada por APRA es, en última instancia, responsable de la seguridad de la información de la organización. El consejo de administración debe proporcionar a la dirección un esquema claro de cómo espera participar en la seguridad de la información y proporcionar orientación sobre los procesos de escalamiento de riesgos y cualquier requisito de presentación de informes. Además, las organizaciones deben tener funciones claramente definidas relacionadas con la seguridad de la información, con responsabilidades claras para el consejo de administración y la alta dirección con respecto a la responsabilidad en la toma de decisiones, las aprobaciones, las operaciones y otros procesos de seguridad de la información. Estas disposiciones están diseñadas para fomentar la formación de equipos interfuncionales que proporcionen una supervisión y una gobernanza adecuadas en materia de seguridad de la información.
Mantener una capacidad de seguridad de la información con una gestión eficaz del riesgo cibernético: Una entidad regulada por APRA debe mantener medidas de seguridad de la información apropiadas al tamaño y al alcance de las amenazas a sus activos de información para garantizar que los datos estén seguros y que la organización siga operativa. Esto incluye la capacidad de identificar y gestionar los riesgos y las vulnerabilidades cibernéticas mediante evaluaciones y pruebas periódicas de los riesgos. Las empresas deben establecer un registro de riesgos cibernéticos, definir indicadores clave de riesgo (KRI), supervisar los niveles de riesgo y tomar las medidas adecuadas para mantener el riesgo cibernético dentro de los niveles tolerables.
Gestionar el riesgo de TI de terceros: CPS 234 exige a las empresas que evalúen periódicamente la capacidad de seguridad de la información de terceros y que supervisen continuamente las amenazas. Esto incluye el uso de evaluaciones de riesgos de terceros para identificar los riesgos potenciales, el uso de herramientas de inteligencia de terceros para comprender el riesgo relacionado con cada proveedor y la supervisión del rendimiento en relación con los SLA y los KPI. Las organizaciones deben establecer recomendaciones de remediación basadas en los resultados de la evaluación de riesgos de los proveedores para garantizar que los riesgos de terceros se aborden con prontitud.
Tener políticas de ciberseguridad adecuadas: Las directrices del marco de políticas de CPS 234 exigen que una entidad regulada por APRA mantenga una biblioteca de políticas de seguridad de la información acorde con sus exposiciones a vulnerabilidades y amenazas. Esto garantiza que los equipos internos y los terceros conozcan los requisitos de la política de seguridad de la información y los cumplan, y que se evalúen periódicamente.
Identificación y clasificación de los activos de información: Esta disposición de CPS 234 exige a las organizaciones reguladas por APRA que clasifiquen sus activos de información por criticidad y sensibilidad, incluidos los gestionados por terceros y partes relacionadas. Estas clasificaciones deben reflejar el grado en que un incidente de seguridad de la información que afecte a ese activo podría afectar a la organización y a sus finanzas, operaciones, asegurados y clientes. Para poner en marcha este proceso, los equipos deben definir una metodología para rastrear y cuantificar los riesgos de los datos y supervisarlos de forma continua.
Los criterios utilizados para clasificar los activos de datos pueden incluir el impacto financiero, el impacto en la reputación, su exposición a los procesos operativos o de cara al cliente, su criticidad para el rendimiento y las operaciones del negocio, su criticidad para el rendimiento y las operaciones del negocio, y cualquier consideración legal o regulatoria relacionada.
Implementación de controles: Para cumplir con CPS 234, las organizaciones deben tener controles de seguridad de la información para proteger los activos de información críticos. Las empresas deben identificar las vulnerabilidades y amenazas existentes y crecientes para cada activo de datos, clasificar la criticidad y la sensibilidad del activo, comprender la etapa del ciclo de vida de todos los activos de información y documentar las posibles consecuencias de un incidente de seguridad de los datos.
Pruebas de control: Una entidad regulada por APRA debe probar la eficacia de sus controles de seguridad de la información a través de un programa de pruebas sistemático. Esto incluye los controles para cualquier activo de datos gestionado por terceros. Las pruebas deben ajustarse a la velocidad a la que cambian las vulnerabilidades y las amenazas, a la criticidad y la sensibilidad del activo de datos, a las consecuencias de un incidente de seguridad de la información, a cualquier área en la que la organización no pueda hacer cumplir sus políticas de seguridad de la información y a la frecuencia de los cambios en los activos de información.
Cualquier deficiencia de control que no pueda remediarse con prontitud debe escalarse a la alta dirección y al consejo de administración para garantizar una resolución rápida.
Gestión de incidentes cibernéticos: Las entidades reguladas por APRA también están obligadas a tener una serie de políticas y procedimientos establecidos para detectar y responder a los incidentes de seguridad de la información de manera oportuna. Esto incluye la notificación, el escalamiento y la resolución de incidentes.
La implementación de un proceso de gestión de incidentes cibernéticos bien probado es clave para acelerar el descubrimiento y la mitigación de incidentes. Las empresas deben asegurarse de que los empleados sepan cuándo y cómo informar de un incidente cibernético y deben tener procesos claramente definidos para el escalamiento y la remediación.
Auditorías cibernéticas: En esta categoría, la función de auditoría interna de una organización regulada por APRA debe incluir una revisión del diseño y la eficacia operativa de los controles de seguridad de la información, incluidos los mantenidos por terceros. Los equipos pueden estandarizar las evaluaciones de seguridad de la información con respecto a los marcos de control de seguridad de la información, como ISO 27001, COSO o SOC 2. Al hacerlo, los equipos de seguridad de TI y de auditoría interna pueden implementar una metodología central para medir y demostrar el cumplimiento de los controles de TI internos y garantizar una visión consolidada de su sistema de seguridad de la información.
Proceso para notificar a APRA: En la categoría final de requisitos, las entidades deben notificar a APRA en un plazo de 72 horas después de tener conocimiento de un incidente de seguridad de la información material, y en un plazo de 10 días hábiles después de tener conocimiento de una debilidad de control de seguridad de la información que no pueda remediarse de manera eficaz y rápida.
Para cumplir con este requisito, los equipos deben garantizar canales de notificación eficaces. Los equipos pueden utilizar los datos de supervisión de riesgos y de pruebas de control para destacar los problemas potenciales, y las partes interesadas relevantes pueden decidir si es necesaria la notificación a APRA y escalarla en consecuencia.
¿Cómo puede el software GRC ayudar con el cumplimiento de CPS 234?
El software GRC puede ayudar a las entidades reguladas por APRA a gestionar con éxito el estándar prudencial de seguridad de la información CPS 234 en las siguientes áreas clave:
Gestionar los riesgos de TI y cibernéticos: El software GRC permite a las organizaciones cumplir con los requisitos de CPS 234 al ofrecer un marco para implementar un programa de gestión de riesgos de TI de mejores prácticas. Al identificar los riesgos cibernéticos, crear registros de riesgos de TI y cibernéticos y realizar evaluaciones de riesgos cibernéticos en línea en la plataforma, los equipos pueden obtener una visión holística de la exposición al riesgo cibernético. Las entidades reguladas pueden establecer indicadores clave de riesgo (KRI) y supervisar continuamente los niveles de riesgo. Los flujos de trabajo automatizados facilitan el escalamiento de riesgos y la implementación de acciones de tratamiento de riesgos.
Establecer controles para reducir el riesgo cibernético: El software GRC proporciona un marco de mejores prácticas para que las empresas establezcan controles para gestionar el riesgo cibernético. Las empresas pueden capturar detalles críticos sobre las vulnerabilidades y las amenazas, la criticidad y la sensibilidad de los datos, la etapa en la que se encuentran los activos de información dentro de su ciclo de vida y las consecuencias de un incidente de seguridad. Los controles se pueden vincular al conjunto de datos relevante y a cualquier riesgo cibernético correspondiente en el registro de riesgos.
Pruebas y eficacia del control: El software GRC habilitado para CPS 234 permite a las entidades reguladas por APRA establecer un programa de pruebas de control que se alinee con la velocidad a la que cambian las amenazas y las vulnerabilidades, considere la criticidad y la sensibilidad de los datos, examine las consecuencias de un incidente de seguridad, considere la exposición a entornos donde las políticas de TI no se pueden hacer cumplir y la frecuencia de los cambios en los activos de información. Las organizaciones también pueden realizar pruebas de control para los controles relacionados con terceros relevantes que poseen datos de la empresa. Cualquier deficiencia de control se puede informar fácilmente a la parte interesada relevante y los flujos de trabajo automatizados permiten el escalamiento y la resolución rápidos de las ineficiencias de control.
Gestión de riesgos de terceros: El software GRC permite a las empresas implementar un proceso de gestión de riesgos de terceros de mejores prácticas para supervisar eficazmente los riesgos cibernéticos y los acuerdos contractuales con los proveedores de servicios. Las empresas pueden crear una biblioteca de proveedores que capture datos esenciales sobre los detalles del contrato, los SLA y los KPI, y los controles relevantes y supervisar el rendimiento continuo en relación con las métricas clave. El personal, los proveedores y los suministradores pueden completar convenientemente cuestionarios, encuestas y evaluaciones de riesgos de los proveedores en línea con todos los datos que se introducen en la plataforma, creando un perfil de cada proveedor. Las empresas pueden utilizar paneles e informes para rastrear fácilmente el rendimiento de los proveedores y los riesgos cibernéticos de terceros. Muchas soluciones GRC se conectan con proveedores de inteligencia de riesgos de terceros, lo que les permite ver información sobre la estabilidad financiera, las consideraciones éticas, las cuestiones legales y regulatorias y la postura de ciberseguridad de cada tercero con el que trabajan.
Demostrar el cumplimiento de CPS 234 y otros estándares y regulaciones: El software GRC permite a las organizaciones configurar una biblioteca de obligaciones e incluir cualquier regulación aplicable y cualquier política de TI interna y supervisar el cumplimiento mediante la implementación de procesos y comprobaciones de flujo de trabajo paso a paso. Los equipos pueden recibir notificaciones de actualización regulatoria de proveedores de contenido regulatorio de terceros directamente en la plataforma e implementar un proceso de gestión de cambios regulatorios de mejores prácticas para garantizar que todas las operaciones se alineen con los requisitos regulatorios relevantes.
Gestionar las políticas de TI y garantizar el cumplimiento: Aproveche el software GRC para establecer una biblioteca de políticas de TI y gestionar los cambios de políticas, las aprobaciones, las firmas y las certificaciones dentro de la plataforma. Las organizaciones pueden capturar detalles críticos sobre cada política y ver informes sobre el cumplimiento de la política y las certificaciones de los empleados. Las políticas se pueden vincular fácilmente a los riesgos, controles, auditorías y requisitos de cumplimiento relevantes.
Gestionar las auditorías cibernéticas: Planifique y programe eficazmente cualquier auditoría cibernética interna y externa. Las empresas pueden utilizar flujos de trabajo y formularios de mejores prácticas para planificar y programar los requisitos de auditoría y los auditores internos pueden completar los hallazgos utilizando formularios en línea. Todos los hallazgos se capturan en la plataforma y cualquier recomendación se puede implementar utilizando flujos de trabajo de gestión de casos de mejores prácticas. Rastree las recomendaciones y las acciones vinculando las auditorías a los riesgos y los tratamientos de riesgos cuando sea relevante. Esto proporciona una trazabilidad completa de extremo a extremo y permite la presentación de informes a las partes interesadas clave.
Gestión y resolución de incidentes cibernéticos: Para ajustarse al estándar CPS 234, la mayoría del software GRC incluye capacidades de notificación de incidentes según las mejores prácticas para ayudar a las organizaciones a informar y resolver eficazmente los incidentes cibernéticos de forma rápida, en línea con los requisitos de CPS 234. Se pueden implementar controles fácilmente para reducir las tasas de incidentes y los riesgos cibernéticos se pueden asignar a cualquier incidente cibernético relacionado para determinar la causa probable utilizando técnicas de análisis de causa raíz. Las empresas pueden informar fácilmente sobre las tasas de incidentes e implementar nuevas medidas para reducir la recurrencia, reforzando los esfuerzos de mejora continua.
Flujo de trabajo de notificación a APRA: Las empresas deben tener un proceso formal de escalamiento para notificar a APRA sobre posibles incidentes de seguridad de la información y debilidades en el control de la seguridad de la información. Las plataformas GRC permiten a las empresas implementar flujos de trabajo para garantizar que las partes interesadas sean notificadas de inmediato sobre cualquier incidente cibernético y controles ineficaces, lo que les permite notificar a APRA dentro del plazo designado y documentar completamente el proceso de notificación. Envíe alertas por correo electrónico o SMS con un enlace directo a la plataforma, lo que permite al personal llevar a cabo las acciones de escalamiento necesarias.
Mejore las capacidades de seguridad de la información de su organización con el software CPS 234
El estándar prudencial CPS 234 exige que las entidades reguladas por APRA en toda Australia tomen medidas para ser resilientes contra la ciberdelincuencia manteniendo una capacidad de seguridad de la información acorde con sus vulnerabilidades y amenazas de seguridad de la información.
Si bien la intención y la estructura de CPS 234 se han establecido para promover y fomentar las buenas prácticas de seguridad dentro de las instituciones financieras y poner la debida responsabilidad y rendición de cuentas en la junta directiva, el cumplimiento de estas directrices puede ser un proceso complejo si no se cuenta con el respaldo de la solución de software adecuada.
Solicite una demostración hoy mismo para saber cómo el software GRC de Riskonnect puede ayudar a su organización a implementar procesos estructurados y de mejores prácticas para cumplir con los requisitos de CPS 234.
