en køreplan for ps21 3 hvorfor tiden er ved at løbe ud for finansielle tjenester banner

En køreplan til PS21/3: Hvorfor tiden løber ud for finansielle tjenester

Der er skrevet meget om behovet for finansielle servicevirksomheder for at øge den operationelle modstandskraft. Men de fleste af disse kolonnetommer har indtil nu fokuseret på EU's Digital Operational Resilience Act (DORA), som trådte i kraft i januar – også selvom mange britiske banker måske ikke endnu være medgørlig. Nok vigtigere for mange britiske finansielle servicevirksomheder er Financial Conduct Authority (FCA)'s nye politikerklæring: PS21/3.

Sammen med Prudential Regulation Authority (PRA)'s tilsynserklæring SS1 / 21, det danner en række krævende nye krav til sektoren, som skal være på plads senest den 31. marts 2025. For alle organisationer, der tænker på stille og roligt at nedprioritere disse bestræbelser, en "Kære CEO" brev fra FCA i begyndelsen af ​​februar bør fokusere sindene.

Den nederste linje er, at tilsynsmyndigheden forventer overholdelse. Heldigvis kan ISO 27001 hjælpe organisationer inden for rammerne med at skabe den kultur af operationel modstandsdygtighed, som FCA, PRA og DORA efterspørger.

Digital forandring betyder digital risiko

Ligesom de fleste sektorer er finansielle tjenester vokset støt mere afhængige af digital infrastruktur for at forblive konkurrencedygtige og levere de sømløse onlineoplevelser, som kunderne higer efter. Pr 202486 % af de voksne i Storbritannien brugte netbank, og tallet for denne og mobilbank vil fortsætte med at stige opad i løbet af de kommende år – delvist takket være fintech-virksomhedernes forstyrrende virkning. Det britiske marked for disse virksomheder er sat til at være værd over $24 mia. (£19 mia.) i 2029.

Udfordringen med det voksende tempo i denne digitale transformation er den ekstra risiko, der følger med. En stigende afhængighed af teknologi udsætter banker og andre firmaer for en større risiko for digital afpresning, primært fra ransomware, samtidig med at angrebsfladen udvides, så brud bliver næsten uundgåelige. Det er en potentielt alvorlig omdømmemæssig og økonomisk risiko. Ifølge Den Internationale Valutafond (IMF). Global finansiel stabilitetsrapport, har mere end 20,000 angreb på banksektoren forårsaget tab på over 12 milliarder dollars (9.5 milliarder pund) i løbet af de sidste 20 år. Derudover er "ekstreme tab" mere end firedoblet siden 2017 til $2.5 mia.

Men cyberrisiko stammer ikke altid fra ondsindede tredjeparter. I slutningen af ​​januar, en større Barclays it-udfald efterlod utallige kunder høje og tørre, ude af stand til at betale skat, regninger og afdrag på realkreditlån eller endda få adgang til korrekte oplysninger på deres konti. Nedfaldet har været forudsigeligt hæsblæsende for highstreet-udlåneren, som i skrivende stund stadig ikke havde forklaret årsagen til hændelsen.

Hvad FCA ønsker

Det er derfor, FCA for det første ser ud til at være opsat på at øge regulatoriske krav omkring digital operationel robusthed i sektoren. PS21/3 kræver, at banker, byggeforeninger, forsikringsselskaber, betalingsudbydere og andre får følgende i orden inden udgangen af ​​marts:

  • Identificer organisationens vigtigste forretningsydelser, og hold dem løbende under revision
  • Indstil påvirkningstolerancer for hver af disse tjenester og gennemgå dem regelmæssigt
  • Identificer og dokumenter de mennesker, processer, teknologi, faciliteter og informationer, der er nødvendige for at levere nøgletjenester. Dette inkluderer alle leverandørforhold, som kan påvirke organisationens evne til at forblive inden for påvirkningstolerancegrænserne
  • Udvikl testplaner, som beskriver, hvordan organisationen kan forblive inden for påvirkningstolerancer for hver "vigtig forretningsservice" - identificere plausible scenarier tilpasset risici og sårbarheder. Dette vil hjælpe seniorledere med at sikre, at planer for udbedring af sårbarhed er passende finansieret
  • Udvikle og teste hændelsesresponsplaner
  • Aflever en selvevaluering iht håndbogsvejledning til det relevante ledelsesorgan. Dette bør fremhæve organisationens rejse til operationel modstandskraft, herunder en oversigt over fundne sårbarheder, testede scenarier (plus deres udfald), afhjælpningsplaner og den overordnede strategi for at forblive inden for påvirkningstolerancer for alle kritiske forretningstjenester
  • Regelmæssig horisontscanning for at hjælpe med at forstå nye og opståede risici og sikre, at de korrekte kontroller er på plads til at opdage, reagere på og komme sig efter driftsforstyrrelser

 

FCA har allerede offentliggjort nogle observationer på nuværende compliance-indsats, som den siger skal hjælpe med at vejlede finansielle servicevirksomheder, når de vurderer parathed og færdiggør PS21/3-planer. Tilsynsmyndigheden er særligt ivrig efter at sikre, at tredjepartsrisiko løbende og aktivt styres af virksomheder inden for rammerne, herunder gennem test, hvor det er relevant. Og at afhjælpningsplaner er fuldt finansierede. Det kræver også, at overholdende organisationer ikke behandler PS21/3 som en "en gang og udført aktivitet", men i stedet integrerer dets krav i virksomhedskulturen.

Hvordan ISO 27001 kan hjælpe

Det er her ISO 27001 kommer til sin ret. Ifølge ISMS.online chief product officer Sam Peters er der overensstemmelse mellem standarden og PS21/3 på flere nøgleområder, herunder:

  • Governance og ansvarlighed- Begge lægger vægt på ledelsesansvar ved fastlæggelse og overvågning af robusthedsstrategier.
  • Impact Tolerance og Risikostyring- Begge kræver risikobaseret beslutningstagning og fastsættelse af risikotærskler for at bevare modstandskraften.
  • Test og scenarieanalyse- Begge kræver regelmæssige tests for at vurdere og forbedre den operationelle modstandsdygtighed, så organisationer kan håndtere forstyrrelser effektivt.
  • Tredjeparts risikostyring- Begge kræver due diligence af tredjeparter, selvom ISO 27001 giver en struktureret tilgang til styring af leverandørsikkerhedsrisici.
  • Hændelsesrapportering og respons- Begge kræver planlægning af hændelsesrespons, selvom "ISO 27001 går videre ved at sikre hændelseshåndtering er dokumenteret, overvåget og forbedret over tid," ifølge Peters.
  • Kontinuerlig forbedring og læring af forstyrrelser- Begge lægger vægt på at lære af forstyrrelser for løbende at øge modstandskraften.

"Virksomheder, der bruger ISO 27001, har allerede et solidt grundlag for at opfylde FCA-resilienskravene, især inden for risikostyring, hændelsesrespons og løbende forbedringer," siger Peters. "Ved at udnytte ISO 27001 kan finansielle servicevirksomheder styrke overholdelse af FCA-reglerne og samtidig forbedre deres overordnede sikkerhedsposition og modstandsdygtighed."

Som nævnt deler de nye FCA-regler også kerneprincipper omkring operationel robusthed med DORA. Dette omfatter større lederskabsansvarlighed, tredjeparts modstandskraft, forbedret hændelsesrespons og "kortlægning af kritiske tjenester, identificering af sårbarheder og fastsættelse af risikotærskler," siger Peters. Selvom de to regimer adskiller sig med hensyn til omfang og håndhævelse, giver dette en mulighed for britiske finansielle virksomheder, der opererer i EU, til at tilpasse FCA's operationelle modstandsdygtighedsstrategier med DORA'er, ved at bruge ISO 27001 som grundlag.

Dette vil i sidste ende "hjælpe med at strømline compliance-indsatsen og reducere regulatoriske risici", konkluderer Peters.

Forfatter

Phil Muncaster

Phil Muncaster har været it-journalist i 20 år. Han startede som reporter på virksomhedens IT-titlen IT Week i 2005 og gik videre til rollen som nyhedsredaktør, før han rejste for at forfølge en freelancekarriere. Siden da har Phil skrevet for titler, herunder The Register, hvor han arbejdede som Asien-korrespondent, mens han havde base i Hong Kong i over to år, MIT Technology Review, SC Magazine, Infosecurity Magazine og andre.

Se alle indlæg af Phil Muncaster

Relaterede indlæg

SOC 2 er her! Styrk din sikkerhed og opbyg kundernes tillid med vores kraftfulde overholdelsesløsning i dag!