Nem uma semana passa sem uma nova revelação de uma enorme violação cibernética em algum lugar do mundo. E como segurança cibernética As ameaças aumentam, assim como o número e a extensão dos regulamentos que buscam proteger as organizações e seus clientes.
Um alvo primário para criminosos cibernéticos, as instituições de serviços financeiros devem navegar como um sistema crescente e cada vez mais complexo de regulamentos e regras. Mas agora eles têm uma nova ferramenta para ajudá -los a demonstrar conformidade com vários regulamentos - enquanto também reduzem os custos associados.
Trabalhando com bits, a divisão de tecnologia do Instituto de Políticas Bancárias e uma coalizão de mais de 150 instituições de serviços financeiros, a BCG Platinion desenvolveu o perfil da estrutura de segurança cibernética do setor financeiro, que harmoniza e consolida os requisitos regulatórios. O perfil melhora a segurança cibernética, reduzindo significativamente os encargos administrativos e os custos de conformidade.
More—and More Complex—Regulations
According to Dados da indústria , Somente nos Estados Unidos, mais de 30 regulamentos de segurança cibernética foram lançados desde 2014. Globalmente, o ritmo tem sido semelhante. E em 2017, o Conselho de Estabilidade Financeira anunciou que 72% de suas 25 jurisdições membros planejavam emitir mais orientações regulatórias de segurança cibernética. Numerosos regulamentos visam estabelecer um conjunto de práticas robustas de segurança cibernética para proteger os consumidores e apoiar a estabilidade da economia global. Infelizmente, no entanto, eles usam vocabulários e léxicos diferentes para comunicar os mesmos conceitos e práticas. Consequentemente, eles exercem um ônus significativo para o setor de serviços financeiros, que deve demonstrar sua conformidade com a palavra precisa de cada regulamento individual.
These numerous regulations aim to establish a set of robust cybersecurity practices to protect consumers and support the stability of the global economy. Unfortunately, however, they use differing vocabularies and lexicons to communicate the same concepts and practices. Consequently, they exert a significant burden on the financial services industry, which must demonstrate its compliance with the precise word of each individual regulation.
Entidades de serviços financeiros ainda menores podem trabalhar com 2 a 3 reguladores. E grandes bancos globais podem trabalhar com 10, 20 ou ainda mais reguladores em todo o mundo.
Este ambiente regulatório complicado resulta em ineficiências, tempo perdido e impactos financeiros substanciais para as instituições financeiras. De acordo com o Instituto de Políticas Bancárias, um diretor de segurança da informação indicou que ele e sua equipe gastaram quase 40% de seu tempo de trabalho reconciliando várias estruturas cibernéticas e regulamentares.
Em outro banco multinacional, o CIO, o chefe de auditoria e dezenas de pessoal operacional tiveram que realizar uma análise de dois meses da conformidade com a segurança cibernética do banco. O esforço consumiu 15% do orçamento operacional para a função de risco e conformidade tecnológica do banco durante todo o ano.
Avaliações de risco representam uma das maiores ineficiências para instituições financeiras. Cada regulador normalmente requer uma avaliação anual de risco alinhada a uma estrutura que publica, e as respostas a essa avaliação devem ser apoiadas por documentos detalhados de evidência. As perguntas nessas avaliações e os documentos de evidência são frequentemente semelhantes, mas redigidos de maneiras ligeiramente diferentes, o que significa que cada avaliação requer uma grande quantidade de esforço incremental.
Nova estrutura ajuda o setor e os reguladores
The Financial Sector Cybersecurity Framework Profile, which harmonizes and consolidates regulatory requirements, was created with assistance from BCG Platinion to help financial institutions meet their compliance obligations with less effort, time, and money. It improves cybersecurity while significantly reducing administrative burdens and compliance costs.
Através de bits, o setor de serviços financeiros desenvolveu, endossou e comprometido em adotar o perfil. O processo levou 18 meses e envolveu mais de 40 sessões de trabalho com mais de 300 especialistas individuais. As organizações participantes variaram de bancos comunitários e cooperativas de crédito a grandes empresas de bancos multinacionais, investimentos e seguros.
O perfil reduz o número de perguntas de relatório que as empresas de serviços financeiros devem responder - 49% para grandes organizações para 73% para pequenas. Ele integra mais de 30 requisitos regulatórios em uma estrutura comum que agora foi endossada por instituições financeiras e por seus reguladores.
It provides a single framework to enable financial institutions to:
- Engage with their boards on risk management for cyber threats
- Lay the foundation for a robust and compliant cybersecurity program
- Avalie seus riscos e recursos de segurança cibernética
- Consolidate a company’s regulatory obligations
- Evaluate the cybersecurity programs of partners, vendors, and other service providers
- Facilitate technology innovation while managing cybersecurity risks
- Compare the state of cybersecurity across peer institutions
- Envolver -se com os reguladores sobre o status de sua segurança cibernética e conformidade regulatória de risco cibernético.
Além disso, o perfil também foi endossado pelo Instituto Nacional de Padrões e Tecnologia dos EUA (NIST). Pode ser usado por todo tipo de instituição financeira ou qualquer fornecedor de terceiros para uma empresa de serviços financeiros. O perfil alinha mais de 30 regulamentos federais, estaduais e globais federais dos EUA com três estruturas -chave de segurança cibernética usadas globalmente:
How the Profile Works
The profile is an adaptable framework designed to scale across institutions no matter their complexity, connections within and to other financial partners, size, and significance to the national and global economies. It can be used by every type of financial institution or any third -party provider to a financial services firm. The profile aligns more than 30 US federal, state, and global regulations with 3 key cybersecurity frameworks used globally:
- A estrutura de segurança cibernética do NIST, que se tornou o padrão -ouro de segurança cibernética na base de segurança dos EUA e para muitas entidades globais
- The International Organization for Standardization (ISO)/International Electrotechnical Commission (IEC) 27001, the prevalent global information security standard
- O Comitê de Pagamentos e Infraestruturas de Mercado (CPMI)-Organização Internacional das Diretrizes de Comissões de Valores Mobiliários (IOSCO).
O perfil fornece uma organização, vocabulário e taxonomia comuns projetados para incorporar futuros requisitos de segurança cibernética. Ele permite que instituições e reguladores individuais se concentrem nos elementos centrais de suas missões de gerenciamento de riscos de segurança cibernética. E elimina a necessidade de "reinventar a roda" para cada nova regra.
Espera -se abordar 80% a 90% dos requisitos regulatórios em um determinado momento, fornecendo um único conjunto de evidências regulatórias a serem compartilhadas entre vários reguladores. Dessa forma, ele libera reguladores e empresas para se concentrar nas áreas de maior prioridade e necessidade.
a longo prazo, o perfil ajudará a libertar reguladores e executivos de serviços financeiros para concentrar mais recursos nas ameaças emergentes mais importantes. O perfil também é um documento vivo que se expandirá para cobrir os regulamentos além dos EUA. Em sua próxima versão, o perfil incorporará regulamentos adicionais da Europa, Hong Kong e outras jurisdições.
O perfil consiste em duas partes:
Questionário de Nível de Impacto. A avaliação leva em consideração o significado da instituição para a economia nacional geral, sua interconectividade para outras entidades de serviços financeiros, o grau em que a empresa presta serviços a outras entidades de serviços financeiros e seu impacto na economia regional. This first part is designed to help a financial institution assess how extensive its cybersecurity practices must be. The assessment takes into account the institution’s significance to the overall national economy, its interconnectivity to other financial services entities, the degree to which the company provides services to other financial services entities, and its impact on regional economy.
Cyber Diagnostic. Drawing on the results from the Impact Tiering Questionnaire, this tool lists specific cybersecurity practices that are relevant and required for the unique circumstances of the financial institution.
Obviamente, as instituições financeiras que usam a ferramenta sempre podem optar por implementar práticas mais rigorosas do que as ditadas pelo nível que o perfil identifica para eles. Da mesma forma, os reguladores sempre podem exigir que uma instituição financeira vá além do seu nível de impacto auto-avaliado. do tempo da equipe e milhões de dólares em custos de conformidade. A coalizão que desenvolveu o perfil está atualmente trabalhando para estender o perfil globalmente, simplificando ainda mais a conformidade e ajudando a indústria a concentrar seus recursos onde mais importantes. Ela recebe comentários e perguntas sobre o perfil. Nadya Bartol
Industry Response to the Profile
When the profile was officially launched on October 25, 2018, both the industry and the regulators committed to adopting the profile.
The profile has already proven helpful in creating harmonized compliance regimens that are projected to save countless hours of staff time and millions of dollars of compliance costs. The coalition that developed the profile is currently working on extending the profile globally, further simplifying compliance and helping the industry focus their resources where those matter most.
Nadya Bartol, BCG associate director, served as colead on profile development and led the BCG team supporting the framework effort. She welcomes comments and questions about the profile.
