Power Point PPTX | Diposting 26 Aug 2022 | 3 thn lalu
Authentication
digital resources
253x Tipe PPTX Ukuran file 2.38 MB Source: www.acsda.org
TEMAS
1. IOSCO Cyber Resilience
2. IOSCO vs Cyber Resilience
3. Objectives
4. ISO 27001 experience
5. Incidents Management
6. Information leak Control
7.
2
IOSCO Cyber Resilience
We just started, but some progress in other areas
IOSCO
IOSCO
Guidance ISO 27001
Guidance ISO 27001
DCV IOSCO Principles
DCV IOSCO Principles
Governance
Governance
(Framework)
(Framework) Broadly
2: Governance Broadly
2: Governance Observed
Observed
Identification
Identification 3: Framework for
3: Framework for
(Critical
(Critical the
the Broadly
Functions) Broadly
Functions) Comprehensive
Comprehensive Observed
management of Observed
management of
risks
Protection risks
Protection
(Services and
(Services and 8: Settlement
assets) 8: Settlement N/A
assets) finality N/A
finality
17: Operational
17: Operational Observed
Detection Observed
Detection risk
(anomalies) risk
(anomalies)
20: FMI links Observed
20: FMI links Observed
Response and
Response and
Recovery
Recovery
(2 Hrs. RTO)
(2 Hrs. RTO)
3
Business Continuity Mgmt System
Business Continuity Mgmt System
IOSCO Cyber Resilience vs ISO 27001
Cyber Resilience Components ISO -27001
IOSCO - Cyber Resilience ISO
Complementary Guidance focus on FMIs and their Standard
interconnections with other institutions (risks Applicable to any market or institution or area or
uncover in IOSCO principle 17). asset; with a focus on a Mgmt System of information
Target group: CSDs, CCPs, SSSs TRs security
Has an specific and current view of the trend of
cyber attacks risks applied to FMIs and their view
of the systemic risk that can generate
Without a doubt that Guide provides new challenges and delivers a comprehensive view of
the evolution of the risks and potential impacts on the FM regarding such threats.
IOSCO Cyber Resilience – ISO 27001
• Understanding that both, IOSCO and ISO, taking about Security with different focus, in our opinion the main
differences or considerations that brings this guide is that it has a SPECIFIC FOCUS on FMIs and the topics
certainly complement and some cases incorporate and establish new challenges for FMIs.
• In our analysis, below some of the main considerations in this guide shows and that in some way they are not
considered in ISO 27001:
Requerimiento IOSCO N° ISOCOPD535 Clausulas Requerimiento de IOSCO no cubierto por ISO
ISO
2 .Gobernance
International and national standards 2.2.5 Las FMI ', deben alinearse con las principales normas, directrices o recomendaciones,
reflejando mejores enfoques actuales de la industria en la gestión de las amenazas
informáticas
Board and senior management 2.3.1 5.3 La responsabilidad última. El directorio de una FMI es en última instancia responsable de
responsibilities. establecer la estrategia y la garantía de que el riesgo cibernético se gestiona con eficacia.
Culture 2.3.2 5.1
Skills 2.3.3 7.2 Para que el directorio y la alta gerencia puedan realizar una supervisión efectiva del marco de
resiliencia y riesgo cibernético, ambos grupos deben contener miembros con las habilidades
y conocimientos apropiados para entender y manejar los riesgos planteados por las amenazas
informáticas
Accountability 2.3.4 5.3 Las FMI deben designar a un alto ejecutivo, para que sea responsable total y responsable para
el marco cibernético de resiliencia dentro de la organización. Este papel debe tener
suficiente autoridad, independencia, recursos.
3. Identification
4. Protection of processes and assets
Resilience by design 4.2.2 A14 Una FMI deberá tener en cuenta la capacidad de recuperación cibernético desde cero
Layered protection that facilitates 4.2.4 A12 Los controles de protección de una FMI deberán permitir el seguimiento y la detección de la
response and recovery actividad anómala a través de múltiples capas de la infraestructura del FMI
Risks from interconnections 4.3.1 A13, A15 Una FMI deberá poner en práctica las medidas de protección para mitigar los riesgos
derivados de las entidades dentro de su ecosistema
Security analytics 4.4.1 Una FMI deberá implementar medidas para capturar y analizar el comportamiento anómalo
de las personas con acceso a sus sistemas. técnicas de identificación y prevención de pérdida
de datos se deben emplear para proteger contra la supresión de los datos confidenciales de
la red del FMI
High-risk groups 4.5.2 Los grupos de alto riesgo, como los que tienen acceso al sistema de privilegio o de las
funciones de negocio sensibles, deben identificarse y deben recibir una formación seguridad
de la información específica.
IOSCO Cyber Resilience – ISO 27001
5. Detection
Continuous monitoring 5.2.1 A12.4 Una FMI deberá establecer las capacidades para monitorear de forma continua (en tiempo
real o casi en tiempo real) y detectar actividades y eventos anómalos
Comprehensive scope of monitoring 5.2.2 A12.4, 12.6 Una FMI deberá controlar los factores internos y externos relevantes, incluyendo la línea de
negocio y funciones administrativas y de transacciones. El FMI deberá tratar de detectar tanto
las vulnerabilidades conocidas públicamente y vulnerabilidades que aún no se conocen
públicamente, tales como los llamados ataques de día cero
Layered detection 5.2.3
Las FMI debería adoptar un enfoque de defensa en profundidad mediante el establecimiento
de controles de detección de múltiples capas que cubren personas, procesos y tecnología,
con cada capa que sirve como una red de seguridad para precedentes capas.
Security analytics 5.2.5 Una FMI deberá implementar medidas para capturar y analizar el comportamiento anómalo
por parte de personas con acceso a la red corporativa
6. Response and recovery
Design and business integration 6.3.1 Las FMI debe diseñar sistemas y procesos para limitar el impacto de cualquier incidente
cibernético, reanudar las operaciones críticas de dos horas después de una interrupción, la
liquidación completa durante el día de fin de preservar la integridad y la transacción.
Data integrity 6.3.2 Las FMI debería tener planes para identificar, de manera oportuna, el estado de todas las
transacciones y posiciones miembro en el momento de la interrupción, apoyada por los
correspondientes objetivos de punto de recuperación. Por lo tanto, las FMI debe diseñar y
probar sus sistemas y procesos para permitir la recuperación de datos precisos por
incumplimiento
Data-sharing agreements 6.4.1 Las FMI debería considerar el establecimiento de acuerdos de intercambio de datos con
terceros o con los participantes pertinentes con antelación a fin de que estos datos no
corrompidos que se recibirán en el momento oportuno una vez al ataque cibernético exitoso
ha sido identificado.
Contagion. 6.4.2 Dado que los sistemas y procesos de una FMI suelen ir acompañadas de los sistemas y
procesos de otras entidades dentro de su ecosistema, en caso de un incidente cibernético a
gran escala es posible que una FMI que plantean el riesgo de contagio (es decir, de
propagación de malware o corrompidos de datos ) a, o estar expuesto al riesgo de contagio
de, su ecosistema. Una FMI deberá trabajar junto con sus entidades interconectadas para
permitir la reanudación de las operaciones (la primera prioridad siendo sus servicios críticos)
tan pronto como sea seguro y posible hacerlo sin causar un riesgo innecesario para el sector
más ancho o más en detrimento de la estabilidad financiera
Crisis communication 6.4.3 ISO22301
Responsible disclosure policy 6.4.4 Las FMI debería tener una política y procedimiento para habilitar la divulgación responsable
de vulnerabilidades potenciales. . En particular, las FMI debería dar prioridad a las
revelaciones que podrían facilitar la respuesta temprana y mitigación de riesgos por las partes
interesadas en beneficio del ecosistema y la estabilidad financiera más amplia
Forensic readiness 6.4.5 A16.1.7
no reviews yet
Please Login to review.
