Cumplimiento normativo en Australia: comprensión de la normativa australiana CPS 230

Hay matices en la Norma Prudencial CPS 230 de la Autoridad Australiana de Regulación Prudencial (APRA) que todas las entidades reguladas deben comprender.

Vivian Susko
Vivian Susko 4 de marzo de 2024 5 minutos de lectura
¿Cuáles son los objetivos y requisitos clave de CPS 230?

La Autoridad Australiana de Regulación Prudencial (APRA) publicó la Norma Prudencial CPS 230 en marzo de 2017. A simple vista, la normativa tiene por objeto reforzar la resiliencia en materia de ciberseguridad y la gestión del riesgo operativo del sector financiero en Australia mediante el establecimiento de normas y requisitos para las mejores prácticas en materia de ciberseguridad. Pero, bajo la superficie, hay matices en la CPS 230 que todas las entidades reguladas por la APRA deberán comprender, so pena de incurrir en sanciones reglamentarias y daños a su reputación.

Profundicemos en el cumplimiento de la norma CPS 230 en Australia.

Lo primero es lo primero: ¿qué es CPS 230?

La CPS 230, también conocida como Norma Prudencial CPS 230, es una normativa establecida por la Autoridad Australiana de Regulación Prudencial (APRA) para abordar la resiliencia de la ciberseguridad en el sector financiero.

El reglamento establece los requisitos que deben cumplir las entidades reguladas, como las entidades de depósito autorizadas (ADI), las aseguradoras y los titulares de licencias de pensiones, garantizando que posean las capacidades adecuadas para detectar, responder y recuperarse de incidentes cibernéticos.

Aunque las entidades reguladas tienen hasta el 1 de julio de 2025 para cumplir con la normativa, la APRA deja claro que espera una preparación proactiva en 2024.

Relleno de credenciales

¿Cuáles son los objetivos y requisitos clave de CPS 230?

Objetivo: Mejorar la resiliencia de la ciberseguridad. CPS 230 tiene como objetivo fortalecer la resiliencia de la ciberseguridad de las instituciones financieras mediante el establecimiento de marcos, políticas y procedimientos sólidos para mitigar eficazmente las amenazas cibernéticas.

Requisito: Las instituciones financieras deben establecer y mantener un marco sólido de ciberseguridad adaptado a su perfil de riesgo específico y a su entorno operativo. Este marco debe abarcar políticas, procedimientos, controles y prácticas de gestión de riesgos alineados con las normas internacionales de ciberseguridad.

Objetivo: promover la gestión de riesgos. La normativa hace hincapié en la importancia de las prácticas proactivas de gestión de riesgos, incluyendo la identificación, evaluación, mitigación y supervisión de riesgos para protegerse contra los riesgos cibernéticos.

Requisito: Las instituciones financieras deben desarrollar e implementar planes integrales de gestión de incidentes cibernéticos, en los que se detallen los procedimientos para la detección, respuesta, contención, recuperación y notificación de incidentes. También se exige la realización de pruebas y simulacros periódicos de las capacidades de respuesta ante incidentes para garantizar la preparación.

Cómo ayuda a los CISO la gestión de riesgos informáticos y cibernéticos

Objetivo: Garantizar la seguridad del TPRM y la preparación para la respuesta ante incidentes. La norma CPS 230 obliga a las instituciones financieras a desarrollar planes integrales de respuesta ante incidentes para abordar y mitigar rápidamente los incidentes cibernéticos, minimizando su impacto en las operaciones y los clientes.

Requisito: El consejo de administración y la alta dirección de las instituciones financieras son los máximos responsables de la resiliencia en materia de ciberseguridad. Deben supervisar activamente y garantizar la eficacia de las medidas de ciberseguridad. Esto incluye asignar los recursos adecuados y fomentar una cultura de concienciación sobre la ciberseguridad. Las instituciones financieras también deben evaluar y supervisar la postura en materia de ciberseguridad de los proveedores de servicios externos, incluidos los proveedores de servicios en la nube y los vendedores, con el fin de mitigar las posibles vulnerabilidades y garantizar la resiliencia en toda la cadena de suministro.

Relleno de credenciales

El camino a seguir para las instituciones financieras

La CPS 230 representa un hito fundamental en el fortalecimiento de la resiliencia de la ciberseguridad dentro del sector financiero australiano, y su incumplimiento podría acarrear costosas consecuencias (sanciones reglamentarias, daño a la reputación, pérdidas financieras, mayores riesgos de ciberseguridad, etc.). Para mantener su casa en orden (y garantizar el cumplimiento), deberá centrarse en:

 

  • Establecimiento de una sólida cultura del riesgo: al fomentar un entorno en el que la concienciación sobre los riesgos y la responsabilidad están arraigadas en la filosofía de la organización, es más probable que los empleados cumplan los requisitos normativos. Una sólida cultura del riesgo fomenta la identificación proactiva de los riesgos, la evaluación y las estrategias de mitigación, lo que garantiza que la organización opere dentro de las directrices establecidas por la CPS 230.

 

  • Mejora continua e integración: El cumplimiento de la norma CPS 230 requiere un compromiso continuo con la mejora de los procesos y la integración fluida de las medidas de cumplimiento en las operaciones existentes. La integración implica incorporar las consideraciones de cumplimiento en todos los aspectos de las actividades de la organización, desde la planificación estratégica hasta las operaciones diarias, fomentando una cultura de cumplimiento en todos los niveles.

  • Mantener un inventario completo de todos los datos, procesos, sistemas y controles relevantes: un inventario ayuda a identificar posibles áreas de incumplimiento, lagunas en los controles y dependencias que pueden afectar al cumplimiento normativo. Al actualizar y revisar periódicamente el inventario, las organizaciones pueden asegurarse de que comprenden claramente su panorama de cumplimiento y pueden tomar las medidas adecuadas para subsanar cualquier deficiencia.

lista de comprobación informática para el usuario final

  • Elegir los socios adecuados: Seleccionar los socios adecuados, como proveedores, prestadores de servicios y entidades externas, es fundamental para cumplir con la norma CPS 230. Las organizaciones deben llevar a cabo una exhaustiva diligencia debida para evaluar la postura de cumplimiento de los socios potenciales y garantizar la alineación con los requisitos normativos. Al elegir socios con un fuerte compromiso con el cumplimiento y la gestión de riesgos, las organizaciones pueden mitigar el riesgo de incumplimiento y reforzar sus esfuerzos generales de cumplimiento.

 

  • Elegir la tecnología adecuada: Aprovechar las soluciones tecnológicas es fundamental para alcanzar y mantener el cumplimiento de la norma CPS 230. Las herramientas de automatización, el software de gestión de riesgos y las plataformas de cumplimiento pueden agilizar los procesos, mejorar la transparencia y facilitar las actividades de supervisión y presentación de informes. Al invertir en soluciones tecnológicas, las organizaciones pueden gestionar eficazmente los requisitos de cumplimiento, identificar los riesgos emergentes y demostrar el cumplimiento de la normativa CPS 230.

Otros blogs de su interés:

.vc_do_btn{margin-bottom:22px;}.vc_custom_1641868144227{margin-top: 60px !important;background-image: url(https://mitratech.com/wp-content/uploads/Artboard-1-copy-14.png?id=28706) !important;background-position: center !important;background-repeat: no-repeat !important;background-size: cover !important;}

Descubra Mitratech GRC Management

Obtenga más información sobre nuestro exclusivo conjunto de soluciones integrales de riesgo y cumplimiento normativo.

Contacte con nosotros
Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.