La FFIEC publicó este verano las conclusiones generales de una evaluación realizada a más de 500 instituciones financieras comunitarias. En sucomunicadode prensa del 3 de noviembre1, la FFIEC abordó la creciente necesidad de adoptar medidas de ciberseguridad más estrictas e indicó que ya estaba revisando y actualizando las directrices existentes para la gestión de los riesgos de ciberseguridad.
La evaluación de la FFIEC se centró en dos áreas principales de riesgo: determinar el nivel de comprensión de la alta dirección sobre el riesgo inherente a las amenazas y vulnerabilidades de ciberseguridad; y el grado de preparación de las instituciones para evaluar y abordar esos riesgos.
Al revisar los niveles de riesgo inherente, la FFIEC animó a las instituciones financieras a comprender los tipos de conexiones utilizadas para acceder a los sistemas y datos; si determinados productos y servicios introducían un riesgo adicional para la ciberseguridad de la institución; y a comprender los riesgos de ciberseguridad asociados a las diversas tecnologías utilizadas para ofrecer esos productos y servicios.
La evaluación de la preparación en materia de ciberseguridad realizada por la FFIEC se centró en la capacidad de las instituciones para identificar y evaluar de forma proactiva los riesgos de ciberseguridad; los procesos y controles establecidos para hacer frente a dichos riesgos; y la eficacia con la que las instituciones gestionaban su exposición a riesgos de ciberseguridad en los proveedores de servicios externos.
Se espera que la guía actualizada de la FFIEC sobre riesgos de ciberseguridad anime a las instituciones financieras a desarrollar y mantener entornos dinámicos de control de riesgos que gestionen de forma proactiva las amenazas de ciberseguridad tanto para las propias instituciones como para sus proveedores de servicios externos, y a continuar desarrollando planes sofisticados de continuidad del negocio y recuperación ante desastres. No se ha proporcionado un plazo específico para la publicación de la nueva guía sobre ciberseguridad. Sin embargo, mientras tanto, sería prudente que las instituciones financieras comenzaran a redoblar sus esfuerzos en las áreas en las que se centra la FFIEC en sus Observaciones generales sobre ciberseguridad.
1 http://www.ffiec.gov/press/PDF/FFIEC_Cybersecurity_Assessment_Observations.pdf
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
