Nem uma semana passa sem uma nova revelação de uma enorme violação cibernética em algum lugar do mundo. E como segurança cibernética As ameaças aumentam, assim como o número e a extensão dos regulamentos que buscam proteger as organizações e seus clientes.
Um alvo primário para os criminosos cibernéticos, as instituições de serviços financeiros devem navegar tanto em um sistema crescente quanto um cada vez mais complexo de regulamentos e regras. Mas agora eles têm uma nova ferramenta para ajudá -los a demonstrar conformidade com vários regulamentos - enquanto também reduzem os custos associados.
Trabalhando com bits, a divisão de tecnologia do Instituto de Políticas Bancárias e uma coalizão de mais de 150 instituições de serviços financeiros, a BCG Platinion desenvolveu o perfil da estrutura de segurança cibernética do setor financeiro, que harmoniza e consolida requisitos regulamentares. O perfil melhora a segurança cibernética, reduzindo significativamente os encargos administrativos e os custos de conformidade.
More—and More Complex—Regulations
According to Dados do setor , Somente nos Estados Unidos, mais de 30 regulamentos de segurança cibernética foram lançados desde 2014. Globalmente, o ritmo tem sido semelhante. E em 2017, o Conselho de Estabilidade Financeira anunciou que 72% de suas 25 jurisdições membros planejavam emitir orientações regulatórias de segurança cibernética.
Esses numerosos regulamentos visam estabelecer um conjunto de práticas robustas de segurança cibernética para proteger os consumidores e apoiar a estabilidade da economia global. Infelizmente, no entanto, eles usam vocabulários e léxicos diferentes para comunicar os mesmos conceitos e práticas. Consequentemente, eles exercem um ônus significativo para o setor de serviços financeiros, que deve demonstrar sua conformidade com a palavra precisa de cada regulamento individual.
Entidades de serviços financeiros ainda menores podem trabalhar com 2 a 3 reguladores. E grandes bancos globais podem trabalhar com 10, 20 ou ainda mais reguladores em todo o mundo.
Este ambiente regulatório complicado resulta em ineficiências, tempo perdido e impactos financeiros substanciais para as instituições financeiras. De acordo com o Instituto de Políticas Bancárias, um diretor de segurança da informação indicou que ele e sua equipe gastaram quase 40% de seu tempo de trabalho reconciliando várias estruturas cibernéticas e regulamentares.
Em outro banco multinacional, o CIO, o chefe de auditoria e dezenas de pessoal operacional tiveram que realizar uma análise de dois meses da conformidade com a segurança cibernética do banco. O esforço consumiu 15% do orçamento operacional para a função de risco e conformidade tecnológica do banco durante todo o ano.
Avaliações de risco representam uma das maiores ineficiências para instituições financeiras. Cada regulador normalmente requer uma avaliação anual de risco alinhada a uma estrutura que publica, e as respostas a essa avaliação devem ser apoiadas por documentos detalhados de evidência. As perguntas nessas avaliações e os documentos de evidência são frequentemente semelhantes, mas redigidos de maneiras ligeiramente diferentes, o que significa que cada avaliação requer uma grande quantidade de esforço incremental. com menos esforço, tempo e dinheiro. Melhora a segurança cibernética, reduzindo significativamente os encargos administrativos e os custos de conformidade.
New Framework Helps the Industry and the Regulators
The Financial Sector Cybersecurity Framework Profile, which harmonizes and consolidates regulatory requirements, was created with assistance from BCG Platinion to help financial institutions meet their compliance obligations with less effort, time, and money. It improves cybersecurity while significantly reducing administrative burdens and compliance costs.
Através de bits, o setor de serviços financeiros desenvolveu, endossou e comprometido em adotar o perfil. O processo levou 18 meses e envolveu mais de 40 sessões de trabalho com mais de 300 especialistas individuais. As organizações participantes variaram de bancos comunitários e cooperativas de crédito a grandes empresas de bancos multinacionais, investimentos e seguros.
O perfil reduz o número de perguntas de relatório que as empresas de serviços financeiros devem responder - 49% para grandes organizações para 73% para pequenas. Ele integra mais de 30 requisitos regulatórios em uma estrutura comum que agora foi endossada por instituições financeiras e por seus reguladores.
fornece uma única estrutura para ativar as instituições financeiras:
- Envolva -se com suas placas sobre gerenciamento de riscos para ameaças cibernéticas
- Coloque as bases para um programa robusto e compatível de segurança cibernética
- Avalie seus riscos e recursos de segurança cibernética e outras capacidades de segurança e consolidar as obrigações de ciberesciosas || Provedores
- Consolidate a company’s regulatory obligations
- Evaluate the cybersecurity programs of partners, vendors, and other service providers
- Facilita a inovação tecnológica, gerenciando riscos de segurança cibernética
- Compare o estado de segurança cibernética em instituições pares
- envolve -se com os reguladores sobre o status de sua cibercerto e conformidade regulatória de risco cibernético.
Além disso, o perfil também foi endossado pelo Instituto Nacional de Padrões e Tecnologia dos EUA (NIST). Pode ser usado por todo tipo de instituição financeira ou qualquer fornecedor de terceiros para uma empresa de serviços financeiros. O perfil alinha mais de 30 regulamentos federais, estaduais e globais federais dos EUA com três estruturas -chave de segurança cibernética usadas globalmente:
How the Profile Works
The profile is an adaptable framework designed to scale across institutions no matter their complexity, connections within and to other financial partners, size, and significance to the national and global economies. It can be used by every type of financial institution or any third -party provider to a financial services firm. The profile aligns more than 30 US federal, state, and global regulations with 3 key cybersecurity frameworks used globally:
- A estrutura de segurança cibernética do NIST, que se tornou o padrão -ouro de segurança cibernética no INFORMATION EM RESTRATION e para muitas entidades globais
- The International Organization for Standardization (ISO)/International Electrotechnical Commission (IEC) 27001, the prevalent global information security standard
- O Comitê de Pagamentos e Infraestruturas de Mercado (CPMI)-Organização Internacional de Diretrizes de Comissões de Valores Mobiliários (IOSCO).
O perfil fornece uma organização, vocabulário e taxonomia comuns projetados para incorporar futuros requisitos de segurança cibernética. Ele permite que instituições e reguladores individuais se concentrem nos elementos centrais de suas missões de gerenciamento de riscos de segurança cibernética. E elimina a necessidade de "reinventar a roda" para cada nova regra.
Espera -se que atenda a 80% a 90% dos requisitos regulatórios em um determinado momento, fornecendo um único conjunto de evidências regulatórias a serem compartilhadas entre vários reguladores. Dessa forma, ele libera reguladores e empresas para se concentrar nas áreas de maior prioridade e necessidade.
a longo prazo, o perfil ajudará a libertar reguladores e executivos de serviços financeiros para concentrar mais recursos nas ameaças emergentes mais importantes. O perfil também é um documento vivo que se expandirá para cobrir os regulamentos além dos EUA. Em sua próxima versão, o perfil incorporará regulamentos adicionais da Europa, Hong Kong e outras jurisdições.
O perfil consiste em duas partes:
Questionário de Nível de Impacto. A avaliação leva em consideração o significado da instituição para a economia nacional geral, sua interconectividade para outras entidades de serviços financeiros, o grau em que a empresa presta serviços a outras entidades de serviços financeiros e seu impacto na economia regional. This first part is designed to help a financial institution assess how extensive its cybersecurity practices must be. The assessment takes into account the institution’s significance to the overall national economy, its interconnectivity to other financial services entities, the degree to which the company provides services to other financial services entities, and its impact on regional economy.
Cyber Diagnostic. Drawing on the results from the Impact Tiering Questionnaire, this tool lists specific cybersecurity practices that are relevant and required for the unique circumstances of the financial institution.
Obviamente, as instituições financeiras que usam a ferramenta sempre podem optar por implementar práticas mais rigorosas do que as ditadas pelo nível que o perfil identifica para eles. Da mesma forma, os reguladores sempre podem exigir que uma instituição financeira vá além do seu nível de impacto auto-avaliado. Horário de tempo do pessoal e milhões de dólares em custos de conformidade. A coalizão que desenvolveu o perfil está atualmente trabalhando para estender o perfil globalmente, simplificando ainda mais a conformidade e ajudando a indústria a concentrar seus recursos onde mais importantes. Ela recebe comentários e perguntas sobre o perfil.
Industry Response to the Profile
When the profile was officially launched on October 25, 2018, both the industry and the regulators committed to adopting the profile.
The profile has already proven helpful in creating harmonized compliance regimens that are projected to save countless hours of staff time and millions of dollars of compliance costs. The coalition that developed the profile is currently working on extending the profile globally, further simplifying compliance and helping the industry focus their resources where those matter most.
Nadya Bartol, BCG associate director, served as colead on profile development and led the BCG team supporting the framework effort. She welcomes comments and questions about the profile.
