'n padkaart vir ps21 3 waarom die tyd min raak vir finansiële dienste banier

'n Padkaart vir PS21/3: Waarom die tyd min raak vir finansiële dienste

Daar is baie geskryf oor die behoefte aan finansiëledienstefirmas om operasionele veerkragtigheid te verbeter. Maar die meeste van daardie kolomduim het tot nou toe gefokus op die EU se Wet op Digitale Operasionele Veerkragtigheid (DORA), wat in Januarie in werking getree het – selfs al is baie Britse banke dalk nog nie inskiklik wees. Waarskynlik belangriker vir baie Britse finansiëledienstemaatskappye is die Financial Conduct Authority (FCA) se nuwe beleidsverklaring: PS21 / 3.

Saam met die Omsigtigheidsreguleringsowerheid (PRA) se Toesighoudende Verklaring SS1/21, dit vorm 'n reeks veeleisende nuwe vereistes vir die sektor wat teen 31 Maart 2025 in plek moet wees. Vir enige organisasies wat daaraan dink om stilweg hierdie pogings te deprioritiseer, 'n "Geagte HUB" brief van die FCA vroeg in Februarie moet gedagtes fokus.

Die slotsom is dat die reguleerder nakoming verwag. Gelukkig kan ISO 27001 organisasies in die bestek help om die kultuur van operasionele veerkragtigheid te skep wat die FCA, PRA en DORA vereis.

Digitale verandering beteken digitale risiko

Soos die meeste sektore, het finansiële dienste geleidelik meer afhanklik geword van digitale infrastruktuur om mededingend te bly en die naatlose aanlynervarings te bied waarna kliënte smag. Soos van 2024, Sowat 86% van Britse volwassenes het aanlynbankdienste gebruik, en die syfer vir hierdie en mobiele bankdienste sal oor die komende jare voortgaan om opwaarts te klim - deels danksy die ontwrigtende impak van fintech-firmas. Die Britse mark vir hierdie besighede is gestel om die moeite werd te wees meer as $24 miljard (£19 miljard) teen 2029.

Die uitdaging met die groeiende tempo van hierdie digitale transformasie is die ekstra risiko wat daarmee gepaard gaan. ’n Toenemende afhanklikheid van tegnologie stel banke en ander firmas bloot aan ’n groter risiko van digitale afpersing, hoofsaaklik van losprysware, terwyl dit terselfdertyd die aanvaloppervlak uitbrei sodat oortredings byna onvermydelik word. Dit is 'n potensieel ernstige reputasie en finansiële risiko. Volgens die Internasionale Monetêre Fonds (IMF) se Globale Finansiële Stabiliteitsverslag, het meer as 20,000 12 aanvalle op die banksektor verliese van meer as $9.5 miljard (£20 miljard) oor die afgelope 2017 jaar veroorsaak. Boonop het “uiterste verliese” sedert 2.5 meer as vervierdubbel tot $2 miljard (£XNUMX miljard).

Kuberrisiko spruit egter nie altyd uit kwaadwillige derde partye nie. Aan die einde van Januarie, a groot Barclays IT-onderbreking het talle kliënte hoog en droog gelaat, nie in staat om belasting, rekeninge en verbandbetalings te betaal of selfs toegang tot korrekte inligting op hul rekeninge te kry nie. Die uitval was voorspelbaar branderig vir die uitlener in die straat, wat ten tyde van die skrywe steeds nie die oorsaak van die voorval verduidelik het nie.

Wat die FCA wil hê

Dis hoekom die FCA, byvoorbeeld, blykbaar gretig is om regulatoriese vereistes rondom digitale operasionele veerkragtigheid in die sektor te verhoog. PS21/3 eis dat banke, bouverenigings, versekeraars, betalingsverskaffers en ander die volgende voor einde Maart in orde kry:

  • Identifiseer die organisasie se belangrikste besigheidsdienste en hou dit gereeld onder oë
  • Stel impaktoleransies vir elk van hierdie dienste en hersien dit gereeld
  • Identifiseer en dokumenteer die mense, prosesse, tegnologie, fasiliteite en inligting wat nodig is om sleuteldienste te lewer. Dit sluit enige verskafferverhoudings in wat die organisasie se vermoë kan beïnvloed om binne impaktoleransiegrense te bly
  • Ontwikkel toetsplanne wat beskryf hoe die organisasie binne impaktoleransies kan bly vir elke "belangrike besigheidsdiens" - identifiseer geloofwaardige scenario's wat in lyn is met risiko's en kwesbaarhede. Dit sal senior bestuurders help om te verseker dat kwesbaarheidsremediëringsplanne toepaslik befonds word
  • Ontwikkel en toets insidentreaksieplanne
  • Lewer 'n selfevaluering in lyn met handboek leiding aan die betrokke beheerliggaam. Dit moet die organisasie se reis na operasionele veerkragtigheid beklemtoon, insluitend 'n oorsig van kwesbaarhede wat gevind is, scenario's wat getoets is (plus hul uitkoms), remediëringsplanne en die algehele strategie om binne impaktoleransies vir alle kritieke besigheidsdienste te bly.
  • Gereelde horisonskandering om nuwe en opkomende risiko's te help verstaan ​​en te verseker dat die behoorlike beheermaatreëls in plek is om operasionele ontwrigtings op te spoor, daarop te reageer en te herstel

 

Die FCA het reeds 'n paar waarnemings gepubliseer oor huidige nakomingspogings, wat volgens hom behoort te help om finansiëledienstemaatskappye te lei terwyl hulle gereedheid assesseer en PS21/3-planne finaliseer. Die reguleerder is veral gretig om te verseker dat derdepartyrisiko deurlopend en aktief bestuur word deur maatskappye wat binne-omvang is, insluitend deur toetsing waar toepaslik. En dat remediëringsplanne ten volle befonds word. Dit vereis ook dat organisasies wat daaraan voldoen, nie PS21/3 as 'n "eenmalige aktiwiteit" behandel nie, maar eerder sy vereistes in die korporatiewe kultuur insluit.

Hoe ISO 27001 kan help

Dit is waar ISO 27001 tot sy reg kom. Volgens ISMS.online hoofprodukbeampte, Sam Peters, is daar belyning tussen die standaard en PS21/3 op verskeie sleutelareas, insluitend:

  • Bestuur en aanspreeklikheid- Beide beklemtoon leierskap-aanspreeklikheid in die opstel van en toesig oor veerkragtigheidstrategieë.
  • Impakverdraagsaamheid en risikobestuur- Beide vereis risiko-gebaseerde besluitneming en die stel van risikodrempels om veerkragtigheid te handhaaf.
  • Toetsing en scenario-analise- Beide vereis gereelde toetsing om operasionele veerkragtigheid te assesseer en te verbeter sodat organisasies ontwrigtings effektief kan hanteer.
  • Derdeparty-risikobestuur- Beide vereis omsigtigheid van derde partye, hoewel ISO 27001 'n gestruktureerde benadering bied vir die bestuur van verskaffersekuriteitsrisiko's.
  • Voorvalverslagdoening en -reaksie- Beide vereis insidentreaksiebeplanning, alhoewel "ISO 27001 verder gaan deur te verseker dat voorvalhantering gedokumenteer, gemonitor en verbeter word met verloop van tyd," volgens Peters.
  • Deurlopende verbetering en leer uit ontwrigtings- Albei beklemtoon leer uit ontwrigtings om voortdurend veerkragtigheid te verbeter.

"Firms wat ISO 27001 gebruik, het reeds 'n stewige grondslag om te voldoen aan FCA-veerkragtigheidsvereistes, veral in risikobestuur, insidentreaksie en deurlopende verbetering," sê Peters. "Deur ISO 27001 te gebruik, kan finansiëledienstefirmas voldoening aan FCA-reëls versterk, terwyl hulle hul algehele sekuriteitsposisie en veerkragtigheid verbeter."

Soos genoem, deel die nuwe FCA-reëls ook kernbeginsels rondom operasionele veerkragtigheid met DORA. Dit sluit groter leierskap-aanspreeklikheid, derdeparty-veerkragtigheid, verbeterde insidentreaksie in, en "kartering van kritieke dienste, identifisering van kwesbaarhede en die stel van risikodrempels," sê Peters. Alhoewel die twee regimes verskil in terme van omvang en toepassing, bied dit 'n geleentheid vir Britse finansiële firmas wat in die EU werksaam is om FCA se operasionele veerkragtigheidstrategieë in lyn te bring met DORA's, deur ISO 27001 as 'n grondslag te gebruik.

Dit sal uiteindelik "help om nakomingspogings te stroomlyn en regulatoriese risiko's te verminder", sluit Peters af.

skrywer

Phil Muncaster

Phil Muncaster is al 20 jaar 'n IT-joernalis. Hy het in 2005 begin as 'n verslaggewer oor IT-ondernemingstitel IT Week en het tot die rol van Nuusredakteur gevorder voordat hy vertrek het om 'n vryskutloopbaan te volg. Sedertdien het Phil vir titels geskryf, insluitend The Register, waar hy as Asië-korrespondent gewerk het terwyl hy meer as twee jaar in Hong Kong gevestig was, MIT Technology Review, SC Magazine, Infosecurity Magazine en ander.

Bekyk alle plasings deur Phil Muncaster

Verwante poste

SOC 2 is hier! Versterk jou sekuriteit en bou klantevertroue met ons kragtige voldoeningsoplossing vandag!