Norma de segurança da informação APRA CPS 234: um guia para a conformidade

Estabelecida pela Autoridade Australiana de Regulação Prudencial, a norma de Segurança da Informação CPS 234 visa garantir que as entidades reguladas pela APRA que operam no setor financeiro tenham práticas de segurança da informação sólidas e eficazes para proteger os seus dados sensíveis contra ameaças cibernéticas. Ao aderir a esta norma, as instituições financeiras melhoram a sua postura de segurança, mitigam riscos cibernéticos, salvaguardam os dados da empresa e constroem confiança.

Na última década, o cibercrime registou um aumento acentuado. Os atores maliciosos estão a encontrar formas mais sofisticadas e engenhosas de comprometer ativos de informação, causando danos financeiros e reputacionais significativos às empresas na Austrália e em todo o mundo. As instituições financeiras são especialmente suscetíveis devido à grande quantidade de dados financeiros e ao acesso a informações pessoais identificáveis que estas organizações detêm. Sistemas de segurança da informação inadequados e a dependência de tecnologia e fornecedores terceiros por parte de empresas de seguros, bancos e fundos de pensões estão a agravar estes problemas.

A CPS 234 representou um enorme salto no reforço dos processos de segurança da informação do setor de serviços financeiros. A estrutura CPS 234 foi concebida para garantir que as entidades reguladas pela APRA mantêm práticas robustas de segurança da informação e resiliência operacional, protegendo-se a si próprias e aos seus clientes de riscos cibernéticos. A CPS 234 também exige que as organizações prestem mais atenção à gestão de riscos de fornecedores de TI, garantindo que os incidentes envolvendo terceiros sejam reduzidos.

Compreender e integrar com sucesso esta regulamentação não é apenas uma questão de conformidade, mas um imperativo estratégico. Ela vai até ao âmago de como as instituições de serviços financeiros operam, salvaguardam informações e, em última análise, como mantêm a confiança.

Este blogue explica o que é a CPS 234, quem deve cumpri-la e partilha as melhores práticas para atender aos principais requisitos de segurança da informação da norma. E, mais importante ainda, partilha como o software pode apoiar as organizações na implementação de processos que se alinhem com os requisitos da CPS 234.

O que é a CPS 234?

Estabelecida pela Autoridade Australiana de Regulação Prudencial (APRA), a CPS 234 para segurança da informação é uma norma prudencial destinada às entidades reguladas pela APRA que operam no setor financeiro. O seu principal objetivo é garantir que estas organizações tenham práticas de segurança da informação sólidas e eficazes para minimizar a probabilidade e o impacto dos riscos e incidentes de segurança da informação. Foi concebida para proteger a confidencialidade e integridade dos ativos de informação, incluindo aqueles geridos por prestadores de serviços terceiros relacionados.

A norma exige que a gestão de topo estabeleça e mantenha uma estrutura abrangente de políticas de segurança, gerencie o risco cibernético, implemente controlos de segurança robustos e defina responsabilidades claras para as funções de segurança. Para se alinharem com os requisitos da CPS 234, as entidades devem também ter planos de resposta a incidentes e ser capazes de responder eficazmente a potenciais incidentes de segurança. Os testes regulares e a verificação independente dos controlos dos ativos de tecnologia da informação são também um requisito fundamental da CPS 234 para garantir a conformidade contínua.

Por que é importante a CPS 234?

Os ciberataques estão a aumentar em impacto, frequência e sofisticação, com os perpetradores a aperfeiçoarem continuamente os seus esforços para comprometer redes e sistemas. A estrutura de segurança da informação CPS 234 para organizações financeiras australianas é importante para garantir que as entidades reguladas pela APRA são resilientes a ciberataques e outros riscos de segurança da informação. A norma também exige que as entidades respondam prontamente caso ocorra um incidente de segurança.

A CPS 234 é importante para as entidades reguladas pela APRA. As expectativas elevadas das partes interessadas, incluindo a gestão de topo, o conselho de administração, os acionistas, os reguladores e os clientes, relativamente à salvaguarda eficaz dos ativos de informação, impulsionaram a necessidade de medidas de segurança de TI mais robustas. Compreender os requisitos da CPS 234 é, portanto, crucial para todas as entidades reguladas pela APRA no setor financeiro.

A quem se aplica a CPS 234?

A CPS 234 aplica-se a todas as entidades jurídicas reguladas pela Autoridade Australiana de Regulação Prudencial, nomeadamente:

Organizações bancárias, cooperativas de crédito, neobancos ou quaisquer outras instituições autorizadas a aceitar depósitos
Companhias de seguros
Fundos de pensões
Sociedades gestoras de participações sociais não operacionais
Companhias de seguros de vida e sociedades mutualistas
Companhias de seguros de saúde privadas

Estas entidades são responsáveis por manter sistemas e práticas de segurança da informação adequados às ameaças que enfrentam. Além disso, quando os ativos de informação de uma entidade regulada pela APRA são geridos ou detidos por terceiros, os requisitos da CPS 234 também se aplicam a esses terceiros.

Quais são os principais requisitos da CPS 234?

A intenção e a estrutura da CPS 234 são concebidas para promover e incentivar boas práticas de segurança nas instituições financeiras e atribuir responsabilidade e prestação de contas adequadas ao conselho de administração. A norma de segurança da informação CPS 234 exige que as empresas implementem as seguintes práticas.

Definir funções e responsabilidades, incluindo o envolvimento do conselho de administração: De acordo com a CPS 234, o conselho de administração de uma entidade regulada pela APRA é o responsável final pela segurança da informação da organização. O Conselho deve fornecer à gestão um esquema claro de como espera estar envolvido na segurança da informação e fornecer orientações sobre os processos de escalonamento de riscos e quaisquer requisitos de comunicação. Além disso, as organizações devem ter funções claramente definidas relacionadas com a segurança da informação, com responsabilidades claras para o conselho de administração e a gestão de topo no que diz respeito à responsabilidade pela tomada de decisões, aprovações, operações e outros processos de segurança da informação. Estas disposições destinam-se a incentivar a formação de equipas multifuncionais para proporcionar uma supervisão e governança adequadas em matéria de segurança da informação.

Manter uma capacidade de segurança da informação com uma gestão eficaz dos riscos cibernéticos: Uma entidade regulada pela APRA deve manter medidas de segurança da informação adequadas à dimensão e extensão das ameaças aos seus ativos de informação para garantir que os dados estão seguros e que a organização se mantém operacional. Isto inclui a capacidade de identificar e gerir riscos e vulnerabilidades cibernéticas através de avaliações e testes regulares dos riscos. As empresas devem estabelecer um registo de riscos cibernéticos, definir indicadores-chave de risco (KRIs), monitorizar os níveis de risco e tomar as medidas adequadas para manter o risco cibernético dentro de níveis toleráveis.

Gerir o risco de TI de terceiros: A CPS 234 exige que as empresas avaliem regularmente a capacidade de segurança da informação de terceiros e monitorizem continuamente as ameaças. Isto inclui a utilização de avaliações de risco de terceiros para identificar potenciais riscos, a utilização de ferramentas de inteligência de terceiros para compreender o risco relativo a cada fornecedor e a monitorização do desempenho em relação a SLAs e KPIs. As organizações devem estabelecer recomendações de correção com base nos resultados da avaliação de risco dos fornecedores para garantir que os riscos de terceiros são abordados prontamente.

Ter políticas de cibersegurança adequadas: As diretrizes da estrutura de políticas da CPS 234 exigem que uma entidade regulada pela APRA mantenha uma biblioteca de políticas de segurança da informação proporcional à sua exposição a vulnerabilidades e ameaças. Isto garante que as equipas internas e terceiros estão cientes dos requisitos da política de segurança da informação e os cumprem, e que são regularmente avaliados.

Identificação e classificação de ativos de informação: Esta disposição da CPS 234 exige que as organizações reguladas pela APRA classifiquem os seus ativos de informação por criticidade e sensibilidade, incluindo os geridos por terceiros e partes relacionadas. Estas classificações devem refletir o grau em que um incidente de segurança da informação que afete esse ativo poderia afetar a organização e as suas finanças, operações, titulares de apólices e clientes. Para iniciar este processo, as equipas devem definir uma metodologia para acompanhar e quantificar os riscos de dados e monitorizá-los de forma contínua.

Os critérios utilizados para classificar os ativos de dados podem incluir o impacto financeiro, o impacto na reputação, a sua exposição a processos operacionais ou voltados para o cliente, a sua criticidade para o desempenho e as operações da empresa, e quaisquer considerações legais ou regulamentares relacionadas.

Implementação de controlos: Para cumprir a CPS 234, as organizações devem ter controlos de segurança da informação para proteger os ativos de informação críticos. As empresas devem identificar as vulnerabilidades e ameaças existentes e emergentes para cada ativo de dados, classificar a criticidade e sensibilidade do ativo, compreender a fase do ciclo de vida de todos os ativos de informação e documentar as potenciais consequências de um incidente de segurança de dados.

Teste de controlos: Uma entidade regulada pela APRA deve testar a eficácia dos seus controlos de segurança da informação através de um programa de testes sistemático. Isto inclui controlos para quaisquer ativos de dados geridos por terceiros. Os testes devem estar alinhados com a taxa de alteração das vulnerabilidades e ameaças, a criticidade e sensibilidade do ativo de dados, as consequências de um incidente de segurança da informação, quaisquer áreas onde a organização não seja capaz de aplicar as suas políticas de segurança da informação e a frequência de alteração dos ativos de informação.

Quaisquer deficiências de controlo que não possam ser corrigidas rapidamente devem ser comunicadas à direção e ao conselho de administração para garantir uma rápida resolução.

Gestão de incidentes cibernéticos: As entidades reguladas pela APRA são também obrigadas a ter um conjunto de políticas e procedimentos para detetar e responder a incidentes de segurança da informação em tempo útil. Isto inclui a comunicação, o escalonamento e a resolução de incidentes.

A implementação de um processo de gestão de incidentes cibernéticos bem testado e comprovado é fundamental para acelerar a descoberta e mitigação de incidentes. As empresas devem garantir que os funcionários sabem quando e como comunicar um incidente cibernético e devem ter processos claramente definidos para o escalonamento e a correção.

Auditorias cibernéticas: Nesta categoria, a função de auditoria interna de uma organização regulada pela APRA deve incluir uma revisão do design e da eficácia operacional dos controlos de segurança da informação, incluindo os mantidos por terceiros. As equipas podem padronizar as avaliações de segurança da informação em relação a estruturas de controlo de segurança da informação, como ISO 27001, COSO ou SOC 2. Ao fazê-lo, as equipas de segurança de TI e de auditoria interna podem implementar uma metodologia central para medir e demonstrar a adesão aos controlos internos de TI e garantir uma visão consolidada do seu sistema de segurança da informação.

Processo para notificar a APRA: Na categoria final de requisitos, as entidades devem notificar a APRA no prazo de 72 horas após tomarem conhecimento de um incidente material de segurança da informação, e no prazo de 10 dias úteis após tomarem conhecimento de uma fraqueza no controlo de segurança da informação que não possa ser corrigida de forma eficaz e rápida.

Para cumprir este requisito, as equipas devem garantir canais de comunicação eficazes. As equipas podem utilizar dados de monitorização de riscos e testes de controlo para destacar potenciais problemas, e as partes interessadas relevantes podem decidir se é necessária a notificação à APRA e escalar em conformidade.

Como pode o software de GRC ajudar no cumprimento da CPS 234?

O software de GRC pode apoiar as entidades reguladas pela APRA a gerir com sucesso a norma prudencial de segurança da informação CPS 234 nas seguintes áreas-chave:

Gerir riscos de TI e cibernéticos: O software de GRC capacita as organizações a cumprir os requisitos da CPS 234, oferecendo uma estrutura para implementar um programa de gestão de risco de TI de melhores práticas. Ao identificar riscos cibernéticos, criar registos de riscos de TI e cibernéticos e realizar avaliações de risco cibernético online na plataforma, as equipas podem obter uma visão holística da exposição ao risco cibernético. As entidades reguladas podem estabelecer indicadores-chave de risco (KRIs) e monitorizar continuamente os níveis de risco. Os fluxos de trabalho automatizados facilitam a escalada de riscos e a implementação de ações de tratamento de riscos.

Definir controlos para reduzir o risco cibernético: O software de GRC fornece uma estrutura de melhores práticas para as empresas definirem controlos para gerir o risco cibernético. As empresas podem capturar detalhes críticos sobre vulnerabilidades e ameaças, a criticidade e sensibilidade dos dados, a fase em que os ativos de informação se encontram dentro do seu ciclo de vida e as consequências de um incidente de segurança. Os controlos podem ser ligados ao conjunto de dados relevante e a quaisquer riscos cibernéticos correspondentes no registo de riscos.

Testes e eficácia do controlo: O software de GRC habilitado para CPS 234 permite que as entidades reguladas pela APRA estabeleçam um programa de testes de controlo que se alinha com a taxa de mudança de ameaças e vulnerabilidades, considera a criticidade e sensibilidade dos dados, examina as consequências de um incidente de segurança, considera a exposição a ambientes onde as políticas de TI não podem ser aplicadas e a frequência de alteração dos ativos de informação. As organizações também podem realizar testes de controlo para controlos relacionados com terceiros relevantes que detêm dados da empresa. Quaisquer deficiências de controlo podem ser facilmente comunicadas à parte interessada relevante e os fluxos de trabalho automatizados permitem uma rápida escalada e resolução de ineficiências de controlo.

Gestão de risco de terceiros: O software de GRC permite às empresas implementar um processo de gestão de risco de terceiros de melhores práticas para supervisionar eficazmente os riscos cibernéticos e os acordos contratuais com os prestadores de serviços. As empresas podem criar uma biblioteca de fornecedores que captura dados essenciais sobre detalhes de contratos, SLAs e KPIs, e controlos relevantes e monitorizar o desempenho contínuo em relação a métricas-chave. Funcionários, fornecedores e prestadores de serviços podem preencher convenientemente questionários, inquéritos e avaliações de risco de fornecedores online, com todos os dados a alimentar a plataforma, construindo um perfil de cada fornecedor. As empresas podem utilizar painéis de controlo e relatórios para acompanhar facilmente o desempenho dos fornecedores e os riscos cibernéticos de terceiros. Muitas soluções de GRC ligam-se a fornecedores de inteligência de risco de terceiros, permitindo-lhes visualizar informações sobre a estabilidade financeira, considerações éticas, questões legais e regulamentares e postura de cibersegurança de cada terceiro com quem trabalham.

Demonstrar conformidade com a CPS 234 e outras normas e regulamentos: O software de GRC permite às organizações configurar uma biblioteca de obrigações e incluir quaisquer regulamentos aplicáveis e quaisquer políticas internas de TI e monitorizar a conformidade implementando processos e verificações de fluxo de trabalho passo a passo. As equipas podem receber notificações de atualizações regulamentares de fornecedores de conteúdo regulamentar de terceiros diretamente na plataforma e implementar um processo de gestão de mudança regulamentar de melhores práticas para garantir que todas as operações estão alinhadas com os requisitos regulamentares relevantes.

Gerir políticas de TI e garantir a conformidade: Aproveite o software de GRC para estabelecer uma biblioteca de políticas de TI e gerir alterações de políticas, aprovações, assinaturas e atestações dentro da plataforma. As organizações podem capturar detalhes críticos relativos a cada política e visualizar relatórios sobre conformidade de políticas e atestações de funcionários. As políticas podem ser facilmente ligadas aos riscos, controlos, auditorias e requisitos de conformidade relevantes.

Gerir auditorias cibernéticas: Planear e agendar eficazmente quaisquer auditorias cibernéticas internas e externas. As empresas podem usar fluxos de trabalho e formulários de melhores práticas para planear e agendar requisitos de auditoria e os auditores internos podem completar as conclusões usando formulários online. Todas as conclusões são capturadas na plataforma e quaisquer recomendações podem ser implementadas usando fluxos de trabalho de gestão de casos de melhores práticas. Acompanhe recomendações e ações ligando as auditorias de volta aos riscos e tratamentos de risco, quando relevante. Isto proporciona uma rastreabilidade completa de ponta a ponta e permite a elaboração de relatórios para as principais partes interessadas.

Gerir e resolver incidentes cibernéticos: Para se alinhar com a norma CPS 234, a maioria dos softwares de GRC inclui capacidades de comunicação de incidentes baseadas nas melhores práticas para apoiar as organizações a comunicar e resolver eficazmente incidentes cibernéticos de forma rápida, em conformidade com os requisitos da CPS 234. Os controlos podem ser facilmente implementados para reduzir as taxas de incidentes e os riscos cibernéticos podem ser mapeados para quaisquer incidentes cibernéticos relacionados para determinar a causa provável utilizando técnicas de análise de causa raiz. As empresas podem facilmente reportar as taxas de incidentes e implementar novas medidas para reduzir a recorrência, reforçando os esforços de melhoria contínua.

Fluxo de trabalho de notificação da APRA: As empresas são obrigadas a ter um processo formal de escalamento para notificar a APRA sobre potenciais incidentes de segurança da informação e fragilidades nos controlos de segurança da informação. As plataformas de GRC permitem que as empresas implementem fluxos de trabalho para garantir que as partes interessadas sejam prontamente notificadas de quaisquer incidentes cibernéticos e controlos ineficazes, permitindo-lhes notificar a APRA dentro do prazo designado e documentar completamente o processo de notificação. Envie alertas por e-mail ou SMS com um link direto para a plataforma, permitindo que a equipa execute as ações de escalamento necessárias.

Melhore as capacidades de segurança da informação da sua organização com o software CPS 234

A norma prudencial CPS 234 exige que as entidades reguladas pela APRA em toda a Austrália tomem medidas para serem resilientes contra o cibercrime, mantendo uma capacidade de segurança da informação proporcional às suas vulnerabilidades e ameaças de segurança da informação.

Embora a intenção e a estrutura da CPS 234 tenham sido estabelecidas para promover e incentivar boas práticas de segurança nas instituições financeiras e atribuir a devida responsabilidade e prestação de contas ao conselho de administração, o cumprimento destas diretrizes pode ser um processo complexo se não for apoiado pela solução de software adequada.

Solicite uma demonstração hoje para saber como o software GRC da Riskonnect pode apoiar a sua organização na implementação de processos estruturados e baseados nas melhores práticas para cumprir os requisitos da CPS 234.

Junte-se a mais de 200.000 profissionais como você!

Ready to Talk?

Work with us.

Connect with us.

Norma de segurança da informação APRA CPS 234: um guia para a conformidade

Share This, Choose Your Platform!

Related Posts

Como o software adequado simplifica a conformidade com o NDIS na área da saúde

Diretiva CER vs. DORA: qual é a diferença e por que é importante?

Precisa de um relatório SOC – e como obtê-lo?

Junte-se a mais de 200.000 profissionais como você!

Ready to Talk?

Work with us.

Connect with us.