Solución de cumplimiento de CPS 234

¿Quién debería cumplir con CPS 234?

CPS 234 cubre todas las entidades reguladas por el APRA, tales como:

• Bancos, cooperativas de crédito y otras instituciones de depósito autorizadas (ADI)
• compañías de seguros de vida
• fondos de jubilación
• Aseguradoras generales
• sociedades amigas
• aseguradoras privadas de salud
• Sociedades holding no operativas

Las entidades mencionadas anteriormente poseen información de identificación personal importante e información de salud protegida a la que se dirigirían los ataques cibernéticos durante un ataque.

Requisitos de capacidad de seguridad de la información de CPS 234

Según CPS 234, usted tiene requisitos de capacidad de seguridad de la información que debe cumplir.

Esto requiere:

• Su organización mantiene una capacidad de seguridad de la información correspondiente al tamaño de sus activos de información y al alcance de las amenazas.
• Evaluar las capacidades de seguridad de la información de entidades relacionadas o de terceros que gestionan activos de información en nombre de la organización.
• Asegúrese de que su organización mantenga su capacidad de seguridad de la información y actualice las vulnerabilidades y amenazas resultantes de cambios en los activos o el entorno.

Para cumplir con estos requisitos, las entidades reguladas generalmente revisan la idoneidad de los recursos, incluidos los recursos financieros y de personal y el acceso oportuno a las habilidades necesarias.

Requisitos de la política de seguridad de la información de CPS 234

Las entidades reguladas por la APRA deben mantener un marco de políticas de seguridad de la información que refleje su exposición a vulnerabilidades y amenazas. Las responsabilidades de todas las partes que tienen la obligación de mantener la seguridad de la información y los datos deben estar reguladas por la política de su organización.

El marco suele estar estructurado como una jerarquía con políticas de nivel superior respaldadas por directrices y procedimientos.

Hay muchas áreas comunes abordadas en el marco de políticas, tales como:

• Identificación, autorización y concesión de acceso a los activos de datos
• Los requisitos de seguridad de la información deben considerarse en cada etapa del ciclo de vida de un activo (desde la adquisición hasta el desmantelamiento y la destrucción).
• La gestión de la tecnología de seguridad de la información, incluidos firewalls, software antimalware, software de detección de intrusiones, software de prevención de intrusiones, sistemas criptográficos y herramientas de monitoreo.
• Se diseña una arquitectura general de seguridad de la información identificando el enfoque para crear su entorno de TI desde una perspectiva de seguridad.
• El seguimiento y la gestión de incidentes implican identificar, clasificar, informar y escalar incidentes. También incluye la conservación de pruebas para fines de investigación.
• Expectativas al utilizar terceros y partes relacionadas para mantener la seguridad de la información
• Uso aceptable de activos de información que cumplan con las responsabilidades del usuario final, incluidos miembros del personal, terceros, asociados y clientes.
• Reclutamiento y selección de personal y contratistas.
• Mecanismos para evaluar y medir el cumplimiento y la eficacia continua del marco de políticas de seguridad de la información

Este marco normalmente sería coherente con otros marcos de entidades, como la gestión de riesgos y la gestión de proveedores de servicios.

Requisitos de clasificación e identificación de activos de información de CPS 234

Las entidades reguladas por el APRA están obligadas a clasificar los activos de información, incluidos aquellos administrados por partes relacionadas y terceros.

Esto incluye infraestructura y sistemas auxiliares, como sistemas de control ambiental y sistemas de control de acceso físico. También comprende los activos de información gestionados por terceros o relacionados.

Las relaciones entre activos de información sensible o crítica y otros activos que pueden tener menos importancia pero que pueden usarse para violar la seguridad de esos activos.

Además, esto debe reflejar el grado en que los incidentes de seguridad de la información tienen el potencial de afectar (financieramente o de otro modo) a una entidad o a sus clientes.

Las empresas deben tener una metodología de clasificación para etiquetar lo que constituye un activo de información para garantizar que las partes interesadas estén informadas y conscientes. Este método también proporciona contexto sobre consideraciones de granularidad y cómo se califican los activos según su criticidad o sensibilidad. Tenga en cuenta que a los activos se les pueden asignar diferentes clasificaciones de criticidad y sensibilidad.

Es común que las entidades aprovechen sus análisis de impacto de continuidad del negocio existentes, que generalmente evalúan la criticidad y otros procesos sensibles, para realizar el análisis de sensibilidad.

Requisitos de control de seguridad de la información de CPS 234

Para cumplir con CPS 234, las entidades reguladas por el APRA deben implementar controles de seguridad de la información para proteger sus activos de datos de manera oportuna y proporcional a la amenaza que enfrentan, correspondientes a:

• Identificar vulnerabilidades y amenazas existentes y en aumento que podrían ser críticas para los activos de datos esenciales.
• La etapa del ciclo de vida de un activo de información.
• Las posibles consecuencias de un incidente de seguridad de datos

¿Cuáles son los requisitos de gestión de incidentes de CPS 234?

Según CPS 234, todas las entidades reguladas por el APRA deben contar con mecanismos robustos para detectar y responder a incidentes de seguridad de la información lo antes posible.

Existen muchos mecanismos de detección para la seguridad de la información, incluidas soluciones de escaneo, detección, monitoreo y registro. Estos controles de seguridad serán más sólidos y más variados según el impacto de un posible incidente de seguridad y, por lo general, cubrirán estas categorías amplias:

• Hardware físico
• Actividades de nivel superior como pagos
• Cambios en el acceso de los usuarios.

¿Cuáles son los requisitos de pruebas de control de CPS 234?

CPS 234 requiere que las entidades reguladas realicen pruebas sistemáticas sobre los controles de seguridad de la información de una naturaleza y frecuencia correspondientes a:

• El ritmo al que surgen nuevas vulnerabilidades y amenazas
• Los riesgos asociados con la exposición a entornos donde la entidad no puede hacer cumplir sus políticas de seguridad de la información.
• La importancia y sensibilidad de los activos de información.
• Las consecuencias de un incidente de seguridad de datos
• La importancia y frecuencia de los cambios en los activos de información.

Los controles de seguridad deben probarse al menos una vez al año o cada vez que se produzca un cambio importante en los activos de información o en el entorno empresarial para poder saber si siguen siendo eficaces y válidos. Para garantizar que las pruebas sean exitosas, es esencial definir claramente los criterios de éxito y cuándo será necesario volver a realizar las pruebas.

Las pruebas deben ser realizadas por especialistas independientes y debidamente capacitados que no tengan ningún conflicto de intereses y puedan proporcionar una evaluación justa.

¿Cuáles son los requisitos de auditoría interna de CPS 234?

Personal capacitado debe proporcionar una garantía confiable del control de seguridad de la información. Además, la función de auditoría interna tiene que evaluar el aseguramiento del control de seguridad de la información proporcionado por partes relacionadas o terceros en los casos en que:

• Un incidente de seguridad de la información que afecta los activos de información de una entidad puede tener un impacto financiero a largo plazo y la capacidad de dañar a los clientes.
• Las auditorías internas pretenden confiar en el aseguramiento del control de seguridad de la información proporcionado por la parte relacionada o un tercero.

Si la evaluación revela una deficiencia o si no hay seguridad de cumplir con los requisitos, la cuestión comúnmente se plantea ante la Junta para su consideración.

¿Cuándo se debe notificar al APRA según CPS 234?

La APRA debe ser informada lo antes posible y a más tardar 72 horas después de que la entidad tenga conocimiento de un incidente de seguridad.

Estos son incidentes que:

1. Podría haber tenido un impacto sustancial o podría afectar sustancialmente, financiera o no financieramente, los intereses de los depositantes, tomadores de pólizas, beneficiarios y otros clientes.
2. Haber informado a otros reguladores en Australia u otras jurisdicciones.

Al notificar al APRA, esperan que se les proporcione información como:

• Nombre de la entidad regulada
• Fecha y hora del incidente
• Cuando el incidente fue evaluado como material
• Tipo de incidente
• Descripción del incidente
• ¿Cuál es el estado actual?
• Acciones tomadas o planeadas

APRA debe ser informado lo antes posible y a más tardar diez días hábiles después de que tenga conocimiento de una debilidad en el control de seguridad de la información que la empresa no pueda solucionar a tiempo.

¿Qué diferencias existen entre CPS 234 e ISO 27001?

Una diferencia clave entre los dos estándares es cómo se hacen cumplir. Las organizaciones que obtengan la certificación ISO 27001 deben renovar su certificación cada tres años, con auditorías de seguimiento periódicas durante este período. CPS 234 no tiene certificado; en cambio, el APRA tiene muchas herramientas formales e informales para hacer cumplir la ley.

Los enfoques no formales incluyen trabajar con las empresas para identificar y abordar los problemas antes de que amenacen su capacidad de cumplir sus promesas.

Sin embargo, el APRA está preparado para tomar medidas coercitivas cuando sea apropiado; esto puede incluir acciones judiciales o instruir a las empresas para que adopten o detengan acciones concretas.

Si bien ISO 27001 es reconocida a nivel mundial, APRA creó el estándar CPS 234 para satisfacer la creciente necesidad de seguridad cibernética entre las entidades de la industria de servicios financieros. ISO 27001 es un estándar de seguridad de la información mucho más completo y se aplica a empresas de diversos sectores, sin importar su tamaño, tipo o ubicación.

CPS 234 se creó para trabajar al unísono con ISO/IEC 27001, con requisitos alineados con las cláusulas y controles de seguridad descritos en ISO 27001. Ambos estándares están diseñados para impulsar la seguridad de la información de una organización. A cualquier empresa u organización acreditada por ISO 27001 le resultará más fácil cumplir con los requisitos de CPS 234.

¿Cómo pueden prepararse las empresas para las auditorías de CPS 234?

Como puede ver, hay mucho por hacer para garantizar el cumplimiento. El requisito más manejable a cumplir es garantizar que todo el personal de seguridad cibernética tenga responsabilidades claramente definidas, articuladas y comunicadas en toda la organización.

Uno de los mayores desafíos para el cumplimiento de CPS 234 puede ser potencialmente la falta de pautas y aplicación práctica cuando se trata de terceros.

Cómo ayuda ISMS.online

Nuestra plataforma viene con varios marcos prediseñados que puede adoptar, adaptar o agregar, según las necesidades únicas de su organización. O puede crear fácilmente el suyo propio para proyectos de cumplimiento personalizados.