Dall’inizio del nuovo anno finanziario, istituzioni finanziarie regolamentate sotto l’Australian Prudential Regulation Authority (APRA), il fuoco acceso sotto di loro per prendere cybersecurity un po ‘ più seriamente.
La nuova istruzione passa attraverso APRA la CPS-234 standard di Sicurezza delle Informazioni [PDF] e richiedono commissioni di APRA-le imprese regolamentate, per essere in ultima analisi, la responsabilità di garantire che l’entità mantiene la sua sicurezza delle informazioni.
“Questo Prudenziale Standard mira a garantire che APRA-giuridica e prende misure per essere immune da incidenti di sicurezza informatica (compresi gli attacchi cibernetici) attraverso il mantenimento della sicurezza dei dati capacità commisurata con informazioni di vulnerabilità e minacce alla sicurezza,” il principio spiega.
Vedi anche: APRA consiglia regolamentata per gestire i rischi di adozione del cloud
Con la nuova direttiva, un’APRA-giuridica e deve definire in modo chiaro le informazioni relative alla sicurezza, ruoli e responsabilità degli amministratori, degli alti dirigenti, organi di governo e gli individui.
Essi devono, inoltre, tenere e mantenere un registro che dettagli la dimensione e la portata delle minacce per il suo patrimonio di informazioni, nonché di implementare i controlli per tutelare il suo patrimonio di informazioni di registro e ad effettuare la verifica sistematica e assicurazione circa l’efficacia di tali controlli”.
Inoltre, l’ente è tenuto a notificare APRA di “materiale” incidenti di sicurezza informatica.
Un’APRA-regolamentata deve notificare APRA al più presto possibile e, in ogni caso, non oltre le 72 ore, dopo aver preso coscienza della sicurezza dei dati in caso di incidente.
Che cosa costituisce un incidente se non materialmente influenzato, o aveva la potenzialità di incidere in maniera rilevante dal punto di vista finanziario o non finanziario, l’ente o gli interessi dei depositanti, assicurati, beneficiari, o altri clienti; è stato notificato alle altre autorità di regolamentazione, in Australia o in altre giurisdizioni.
Ha bisogno di divulgare una violazione? Leggi questo: obbligo di denuncia le Violazioni dei Dati schema: Sempre pronto a rivelare una violazione dei dati Australia
Inoltre, un APRA-regolamentata deve notificare APRA al più presto possibile e, in ogni caso, entro e non oltre 10 giorni lavorativi dopo si viene a conoscenza di un materiale di sicurezza delle informazioni di controllo di debolezza che l’entità si aspetta non sarà in grado di risolvere in modo tempestivo.
“Il consiglio di amministrazione di un’APRA-giuridica è in ultima analisi responsabile per la sicurezza delle informazioni dell’ente. Il consiglio deve assicurare che l’impresa mantiene le informazioni di sicurezza in modo proporzionale con la dimensione e la portata delle minacce per il suo patrimonio di informazioni, e che consente il costante buon funzionamento dell’ente,” APRA detto.
Secondo il nuovo standard, un APRA-regolato entità deve classificare le informazioni di beni, compresi quelli gestiti da parti correlate e soggetti terzi, per livello di criticità e di sensibilità.
“Ove le attività sono gestite da un parte o di un terzo, l’APRA-regolato entità deve valutare la sicurezza delle informazioni capacità di quel partito, commisurato con le possibili conseguenze di informazioni di incidente di sicurezza che interessano tali attività,” il regolatore aggiunto.
Lo standard è di fatto ai sensi dell’articolo 11AF del testo unico Bancario, 1959, sezione 32 della Legge sull’Assicurazione 1973, sezione 230A di Assicurazione sulla Vita Act del 1995, articolo 92 della Assicurazione Sanitaria Privata (Vigilanza Prudenziale) Act del 2015, e la sezione 34C del fondo Pensione di Settore (Supervisione) Act 1993 (SIS).
Come tale, essa si applica a tutti APRA-le imprese regolamentate, definito autorizzato il deposito istituti (Dga), anche stranieri, Dga, e non operativi di holding di società autorizzate ai sensi della Legge sulle banche; generali assicurazioni, camere non-holding operativa di società autorizzate ai sensi della Legge sull’Assicurazione, di genitori e di enti di Livello 2 gruppi assicurativi; vita le aziende, tra società, diritto estero società di assicurazione sulla vita, e non operative le società holding registrata in Vita Legge di Assicurazione; gli assicuratori di salute riservati registrati ai sensi del PHIPS Atto; e RSE concessionari sotto la SIS Agire nel rispetto delle loro operazioni di business.
Vedi anche: Consigli per costruire e far progredire la tua carriera (free PDF) (TechRepublic)
Parlando con ZDNet circa il profilarsi di un mandato, Sostenibile, ANZ, country manager di Beda Hackney ha detto che il nuovo standard è stato un meccanismo appropriato per rendere le istituzioni finanziarie in Australia consapevoli delle minacce che devono affrontare.
“La maggiore attenzione sulla sicurezza informatica nel settore bancario è certamente accolto con favore”, ha detto. “Le banche sono diventate una destinazione attraente per i cattivi attori che cercano di monetizzare i loro sforzi. E il crescente numero di dispositivi IoT, i servizi di cloud pubblico, ed effimere, le applicazioni sono in rapida espansione, la superficie di attacco.
“È importante che le autorità di regolamentazione, i consigli di amministrazione, i dirigenti e le organizzazioni ovunque continuerà a dare priorità cybersecurity ora e in futuro.”
Il nuovo mandato, che solidifica l’idea di cybersecurity essere un problema di livello, ma significa anche assi avranno bisogno di avvolgere la testa intorno a un nuovo dominio della tecnologia.
“Schede saranno ritenuti responsabili a seguito di incidenti informatici, quindi è importante che a capire dove l’organizzazione è esposta e in che misura essi sono efficaci processi di bonifica in atto,” Hackney ha continuato.
“Tuttavia, non tutti i dirigenti sono esperto in sicurezza informatica gergo. CISOs e la loro sicurezza, le squadre devono comunicare chiaramente l’organizzazione, il livello di sicurezza in termini di business, armare il consiglio e degli altri dirigenti con informazioni utili sul modo migliore per ridurre il rischio. La collaborazione e l’impegno sono fondamentali.”
RELATIVI COPERTURA
Sicurezza informatica: il Tuo capo non si cura e che non è OK anymoreThis è come ci si sente ad affrontare un importante cyber attackCulture l’anello mancante per la sicurezza informatica più debole linkWhy digitale-savvy consiglio di aumentare le tue entrate (TechRepublic)Come CISOs possibile a migliorare la propria comunicazione con il consiglio (TechRepublic)3 cose che avete bisogno di una sensibilizzazione cybersecurity piano di formazione (TechRepublic)
Argomenti Correlati:
Australia
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati