Australian Prudential Regulation Authority (APRA) ha ricevuto 36 incidente notifiche dalle schede di aziende di servizi finanziari a quattro mesi dal suo nuovo security reporting standard è entrato in gioco.
La CPS-234 standard di Sicurezza delle Informazioni richiede commissioni di APRA-le imprese regolamentate di essere responsabile di assicurare che l’entità mantiene la sua sicurezza delle informazioni.
Sotto il requisito, enti regolamentati comunicano APRA al più presto possibile e, in ogni caso, non oltre le 72 ore, dopo che vengono a conoscenza di un’informazione di incidente di sicurezza.
APRA membro del consiglio esecutivo Geoff accettate in più ha detto il Cyber Violazione di Simulazione Australia (CyBSA 2019) conferenza a Sydney giovedì che il requisito di cui ha già contribuito a fornire APRA con ulteriori approfondimenti a scala e la natura delle minacce incontrate dalle imprese regolamentate.
36 notifiche, accettate in più ha detto che molte sono state le violazioni di dati che coinvolgono la divulgazione di informazioni personali, come risultato di un errore umano, come la divulgazione accidentale in cui un dipendente inviato un foglio di calcolo contenente le informazioni del cliente esterno.
“Gli altri, più minacciosamente, ha coinvolto un compromesso di personale o al cliente le credenziali con conseguente manipolazioni illecite di record, sito web defacement, e la frode”, ha detto, più tardi li chiama “relativamente minore”.
Ha bisogno di divulgare una violazione? Leggi questo: obbligo di denuncia le Violazioni dei Dati schema: Sempre pronto a rivelare una violazione dei dati Australia
“È importante notare che APRA regolamentato gregge sarebbe stato oggetto di enormemente più tentato attacchi informatici. Questi sono solo quelli che è riuscito-e che siamo a conoscenza.”
Accettate in più ha detto che il numero di incidenti non è un motivo per indebite di allarme, tuttavia, dato che c’è una popolazione di riferimento di circa 600 soggetti.
Ha detto che il settore finanziario in generale maniglie infosec incidenti, ma ha detto che APRA ha osservato, inoltre, le aree di debolezza, molti dei quali, il regolatore ha chiamato più volte.
“Per esempio, abbiamo identificato base cyber igiene come un costante motivo di preoccupazione. Questo include sistemi per i quali il venditore non è più fornire un supporto o aggiornamenti di sicurezza”, ha spiegato.
“La mancanza di una completa sicurezza del regime e poveri l’accesso a pratiche di gestione sono anche comuni. Alcune istituzioni ancora non si è sviluppato un completo inventario del patrimonio di informazioni all’interno del loro immobili o di mettere in atto un’efficace vigilanza in cui parte di questo immobile è gestito da terzi.”
Questo include sia i servizi basati su cloud e tradizionali modalità di sostegno, tutti catturati da CPS-234.
Vedi anche: APRA consiglia regolamentata per gestire i rischi di adozione del cloud
Con la nuova direttiva, un’APRA-giuridica e deve definire in modo chiaro le informazioni relative alla sicurezza, ruoli e responsabilità degli amministratori, degli alti dirigenti, organi di governo e gli individui.
Essi devono, inoltre, tenere e mantenere un registro che dettagli la dimensione e la portata delle minacce per il suo patrimonio di informazioni, nonché di implementare i controlli per tutelare il suo patrimonio di informazioni di registro e ad effettuare la verifica sistematica e assicurazione circa l’efficacia di tali controlli”.
Inoltre, l’ente è tenuto a notificare APRA di “materiale” incidenti di sicurezza informatica.
“Non è possibile proteggere quello che non hai capito e sei forte quanto l’anello più debole,” accettate in più, ha detto. “In breve, non c’è spazio per il miglioramento del settore.”
APRA il ruolo di, accettate in più, ha detto, è quello di garantire regolamentato istituzioni di resistere ad attacchi informatici attraverso la prevenzione, il rilevamento e la capacità di risposta. Ha detto che il regolatore, sarà sempre più difficile entità in questo settore, attraverso l’utilizzo di data-driven intuizioni di “dare priorità e personalizzare le attività di vigilanza”.
“Nel lungo termine, useremo queste informazioni per informare i parametri di base contro che APRA istituzioni regolamentate saranno confrontati e tiene conto per mantenere le loro difese informatiche”, ha detto. “Abbiamo impostato il piano con CPS-234 e sarà l’applicazione di tali giuridicamente vincolanti norme minime in un ‘costruttivamente tough “maniera”.
Internamente, accettate in più ha detto APRA anche aumentando la propria capacità di valutare la resilienza delle istituzioni regola, migliorando le proprie capacità, rivolgendosi a terzi, ove necessaria.
APRA anche annunciato giovedi che sarebbe impresa di un progetto pluriennale di aggiornamento “l’ampiezza, la profondità e la qualità della propria pensione di raccolta dei dati.
APRA Pensionistici di Trasformazione dei Dati mira a migliorare le pratiche di settore e di migliorare il membro risultati significativamente migliorare la comparabilità e la coerenza dei dati comunicati, la discussione di carta dice.
Si prevede che il progetto sarà più facile analizzare e comparazione fondo e le prestazioni del prodotto, soprattutto nella scelta del segmento di mercato.
APRA ha detto che intende utilizzare questo miglioramento dei dati per informare la propria prudenziali attività, approfondire operazioni del fondo, e di rafforzare la vigilanza del settore.
PIÙ SICUREZZA
Il mio Record di Salute ‘violazioni’ prevalentemente di fissaggio non corrispondenti Medicare recordsCybersecurity: meno della metà delle organizzazioni che sono pienamente preparati ad affrontare cyberattacksFormer ASIO testa chiede di più cyber sostegno governmentCyber Strategia di Sicurezza 2020: società Civile, esperti slam ‘sicurezza nazionale’ agendaPhishing avviso: Questa e-mail falso su una banca pagamento consegna trojan malwareWhy digitale-savvy consiglio di aumentare le tue entrate (TechRepublic)Come CISOs possibile a migliorare la propria comunicazione con il consiglio (TechRepublic)Rapido glossario: Cybersecurity attacchi (TechRepublic Premium)
Argomenti Correlati:
Australia
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati