Una hoja de ruta para PS21 3 ¿Por qué se acaba el tiempo para los servicios financieros? Banner

Una hoja de ruta para la PS21/3: Por qué se acaba el tiempo para los servicios financieros

Se ha escrito mucho sobre la necesidad de que las empresas de servicios financieros mejoren su resiliencia operativa, pero hasta ahora la mayoría de esos artículos se han centrado en la Ley de resiliencia operativa digital de la UE (DORA), que entró en vigor en enero, incluso si muchos bancos del Reino Unido Puede que aún no Cumplir con las normas. Sin duda, lo más importante para muchas empresas de servicios financieros británicas es la nueva Declaración de política de la Autoridad de Conducta Financiera (FCA): PS21 / 3.

Junto con la Declaración de Supervisión de la Autoridad de Regulación Prudencial (PRA) SS1 / 21, constituye una serie de nuevos requisitos exigentes para el sector que deben estar en vigor antes del 31 de marzo de 2025. Para cualquier organización que esté pensando en dejar de lado estos esfuerzos de forma discreta, una Carta “Estimado CEO” Lo que la FCA anunció a principios de febrero debería centrar la atención.

En definitiva, el regulador espera que se cumpla con las normas. Afortunadamente, la norma ISO 27001 puede ayudar a las organizaciones incluidas en el ámbito de aplicación a crear la cultura de resiliencia operativa que exigen la FCA, la PRA y la DORA.

El cambio digital implica riesgo digital

Como la mayoría de los sectores, los servicios financieros se han vuelto cada vez más dependientes de la infraestructura digital para seguir siendo competitivos y brindar las experiencias en línea fluidas que los clientes anhelan. A partir de 2024Alrededor del 86% de los adultos del Reino Unido utilizaban la banca en línea, y se prevé que la cifra de este tipo de servicios y de la banca móvil siga aumentando en los próximos años, en parte gracias al impacto disruptivo de las empresas de tecnología financiera. El mercado del Reino Unido para estas empresas es puesto a valer más de 24 millones de dólares (19 millones de libras esterlinas) para 2029.

El desafío que plantea el ritmo creciente de esta transformación digital es el riesgo adicional que conlleva. Una dependencia cada vez mayor de la tecnología expone a los bancos y otras empresas a un mayor riesgo de extorsión digital, principalmente mediante ransomware, al tiempo que amplía la superficie de ataque de modo que las infracciones se vuelven casi inevitables. Se trata de un riesgo financiero y de reputación potencialmente grave. Según el informe del Fondo Monetario Internacional (FMI), Informe de estabilidad financiera globalMás de 20,000 ataques al sector bancario han causado pérdidas superiores a los 12 millones de dólares (9.5 millones de libras esterlinas) en los últimos 20 años. Además, las “pérdidas extremas” se han más que cuadriplicado desde 2017 hasta alcanzar los 2.5 millones de dólares (2 millones de libras esterlinas).

Sin embargo, el riesgo cibernético no siempre proviene de terceros malintencionados. A finales de enero, un importante interrupción del sistema informático de Barclays El escándalo dejó a innumerables clientes abandonados a su suerte, sin poder pagar impuestos, facturas ni hipotecas, ni siquiera acceder a información correcta sobre sus cuentas. Como era de esperar, las consecuencias han sido muy duras para el prestamista tradicional, que, en el momento de redactar este artículo, todavía no había explicado la causa del incidente.

Lo que quiere la FCA

Por eso, la FCA, por ejemplo, parece estar interesada en aumentar los requisitos regulatorios en torno a la resiliencia operativa digital en el sector. La PS21/3 exige que los bancos, las sociedades de crédito, las aseguradoras, los proveedores de pagos y otros pongan en orden lo siguiente antes de fines de marzo:

  • Identificar los servicios comerciales más importantes de la organización y revisarlos periódicamente
  • Establezca tolerancias de impacto para cada uno de estos servicios y revíselas periódicamente
  • Identificar y documentar las personas, los procesos, la tecnología, las instalaciones y la información necesarias para prestar los servicios clave. Esto incluye cualquier relación con los proveedores que pueda afectar la capacidad de la organización para permanecer dentro de los límites de tolerancia al impacto.
  • Desarrollar planes de prueba que describan cómo la organización puede permanecer dentro de las tolerancias de impacto para cada “servicio comercial importante”, identificando escenarios plausibles alineados con los riesgos y las vulnerabilidades. Esto ayudará a los gerentes superiores a garantizar que los planes de remediación de vulnerabilidades cuenten con los fondos adecuados.
  • Desarrollar y probar planes de respuesta a incidentes
  • Entregar una autoevaluación de acuerdo con guía manual al organismo de gobierno pertinente. Esto debe destacar el camino recorrido por la organización hacia la resiliencia operativa, incluida una descripción general de las vulnerabilidades encontradas, los escenarios probados (más sus resultados), los planes de remediación y la estrategia general para permanecer dentro de las tolerancias de impacto para todos los servicios comerciales críticos.
  • Análisis periódico del horizonte para ayudar a comprender los riesgos nuevos y emergentes y garantizar que se implementen los controles adecuados para detectar, responder y recuperarse de las interrupciones operativas.

 

La FCA ya ha publicado algunas observaciones El regulador está particularmente interesado en garantizar que las empresas que se encuentran en el ámbito de aplicación gestionen de forma continua y activa el riesgo de terceros, incluso mediante pruebas cuando sea apropiado, y que los planes de remediación estén completamente financiados. También exige que las organizaciones que cumplen con las normas no traten la PS21/3 como una “actividad que se realiza una sola vez”, sino que incorporen sus requisitos a la cultura corporativa.

Cómo puede ayudar la ISO 27001

Aquí es donde la norma ISO 27001 cobra protagonismo. Según Sam Peters, director de productos de ISMS.online, existe una alineación entre la norma y la PS21/3 en varias áreas clave, entre ellas:

  • Gobernanza y rendición de cuentas Ambos enfatizan la responsabilidad del liderazgo a la hora de establecer y supervisar estrategias de resiliencia.
  • Tolerancia al impacto y gestión de riesgos Ambos requieren una toma de decisiones basada en riesgos y el establecimiento de umbrales de riesgo para mantener la resiliencia.
  • Pruebas y análisis de escenarios Ambos requieren pruebas periódicas para evaluar y mejorar la resiliencia operativa para que las organizaciones puedan gestionar las interrupciones de manera eficaz.
  • Gestión de riesgos de terceros Ambos requieren la debida diligencia con terceros, aunque la norma ISO 27001 proporciona un enfoque estructurado para gestionar los riesgos de seguridad de los proveedores.
  • Informes y respuesta ante incidentes Ambos requieren una planificación de respuesta a incidentes, aunque “la norma ISO 27001 va más allá al garantizar que el manejo de incidentes se documente, controle y mejore con el tiempo”, según Peters.
  • Mejora continua y aprendizaje a partir de las disrupciones Ambos enfatizan el aprendizaje a partir de las disrupciones para mejorar continuamente la resiliencia.

“Las empresas que utilizan la norma ISO 27001 ya cuentan con una base sólida para cumplir con los requisitos de resiliencia de la FCA, especialmente en gestión de riesgos, respuesta a incidentes y mejora continua”, afirma Peters. “Al aprovechar la norma ISO 27001, las empresas de servicios financieros pueden fortalecer el cumplimiento de las normas de la FCA y, al mismo tiempo, mejorar su postura de seguridad y resiliencia en general”.

Como se mencionó, las nuevas normas de la FCA también comparten principios básicos en torno a la resiliencia operativa con DORA. Esto incluye una mayor responsabilidad de los líderes, resiliencia de terceros, mejor respuesta a incidentes y “mapeo de servicios críticos, identificación de vulnerabilidades y establecimiento de umbrales de riesgo”, dice Peters. Aunque los dos regímenes difieren en términos de alcance y aplicación, esto ofrece una oportunidad para que las empresas financieras del Reino Unido que operan en la UE alineen las estrategias de resiliencia operativa de la FCA con las de DORA, utilizando la norma ISO 27001 como base.

En última instancia, esto “ayudará a agilizar los esfuerzos de cumplimiento y reducir los riesgos regulatorios”, concluye Peters.

Autor

Phil Muncaster

Phil Muncaster ha sido periodista de TI durante 20 años. Comenzó como reportero en el título de TI empresarial IT Week en 2005 y ascendió al puesto de editor de noticias antes de dejarlo para seguir una carrera independiente. Desde entonces, Phil ha escrito para títulos como The Register, donde trabajó como corresponsal en Asia mientras residía en Hong Kong durante más de dos años, MIT Technology Review, SC Magazine, Infosecurity Magazine y otros.

Ver todas las publicaciones de Phil Muncaster

Artículos Relacionados

¡SOC 2 ya está aquí! ¡Refuerce su seguridad y genere confianza en sus clientes con nuestra potente solución de cumplimiento hoy mismo!