La FFIEC publicó este verano las conclusiones generales de una evaluación de más de 500 instituciones financieras comunitarias. En su comunicado de prensadel 3 de noviembre1, la FFIEC hablaba de la creciente necesidad de medidas de ciberseguridad más estrictas e indicaba que ya estaba revisando y actualizando las directrices existentes para gestionar el riesgo de ciberseguridad.
La evaluación de la FFIEC se centró en dos áreas principales de riesgo: determinar el nivel de comprensión de los altos directivos del riesgo inherente a las amenazas y vulnerabilidades de ciberseguridad; y, el grado de preparación de las instituciones para evaluar y abordar esos riesgos.
Al revisar los niveles de riesgo inherente, la FFIEC animó a las instituciones financieras a comprender los tipos de conexiones utilizadas para acceder a los sistemas y datos; si determinados productos y servicios introducían un riesgo adicional de ciberseguridad para la institución; y, comprender los riesgos de ciberseguridad asociados a las diversas tecnologías utilizadas para ofrecer esos productos y servicios.
La evaluación de la FFIEC de la preparación en materia de ciberseguridad se centró en la capacidad de una institución para identificar/evaluar de forma proactiva los riesgos de ciberseguridad; los procesos y controles implantados para hacer frente a esos riesgos; y, en qué medida una institución gestionaba bien su exposición a la ciberseguridad en terceros proveedores de servicios.
Se espera que las directrices actualizadas de la FFIEC sobre el riesgo de ciberseguridad animen a las instituciones financieras a desarrollar y mantener entornos dinámicos de control de riesgos que gestionen de forma proactiva las amenazas a la ciberseguridad para las propias instituciones, así como para sus terceros proveedores de servicios, y a seguir desarrollando planes sofisticados de continuidad de negocio y recuperación en caso de catástrofe. No se ha especificado cuándo se publicarán las nuevas directrices sobre ciberseguridad. Sin embargo, mientras tanto sería prudente que las instituciones financieras empezaran a aumentar sus esfuerzos en las áreas en las que se centra la FFIEC en sus Observaciones Generales sobre Ciberseguridad.
1 http://www.ffiec.gov/press/PDF/FFIEC_Cybersecurity_Assessment_Observations.pdf
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
