FCA establece nuevas reglas para los bancos sobre la notificación de incidentes operativos y de seguridad a los clientes
El miércoles 15 de agosto, la Autoridad de Conducta Financiera (FCA) aplicó nuevas reglas que requieren que los proveedores de cuentas personales y comerciales publiquen información que ayude a los clientes actuales a comparar cuentas bancarias de diferentes proveedores. Los bancos deberán informar de los principales incidentes operativos y de seguridad que hayan tenido lugar y revelar si hay líneas de ayuda al cliente disponibles las 24 horas.
La presión para que los bancos informen sobre las fallas del sistema se ve agravada por la fecha límite del 5 de octubre que se acerca rápidamente al Banco de Inglaterra y la FCA, en la que deben informar sobre su exposición a los riesgos y cómo responderán a las interrupciones.[1] Dado que los clientes tienen más visibilidad y opciones bancarias que nunca, encontrar nuevas formas de mitigar el riesgo es una prioridad para los bancos para mantener su reputación como instituciones seguras y confiables.
Las empresas de servicios financieros están pasando cada vez más de un enfoque centrado en el producto a la ciberseguridad. En cambio, se están enfocando en compartimentar y asegurar individualmente sus aplicaciones críticas, como la banca en línea o los pagos interbancarios, para evitar un efecto dominó si un área es atacada.
Pero debido a la infraestructura obsoleta, puede resultar difícil para las instituciones financieras evaluar cómo se integran las aplicaciones en la red y cómo se comunican entre sí en tiempo real. Este es un primer paso crucial cuando se trata de escribir políticas de seguridad para aplicaciones individuales y, en consecuencia, prevenir incidentes operativos y de seguridad, dice Nick Hammond, asesor principal de servicios financieros en Tecnología mundial.
Nick Hammond, de World Wide Technology, comenta: “Las empresas de servicios financieros están bajo una presión significativa para ser rápidas y transparentes cuando se trata de informar incidentes operativos y de seguridad. Para aliviar esta presión y mantener una seguridad estricta, están trabajando para garantizar un alto nivel de seguridad en las aplicaciones.
“Si bien las reglas más antiguas requerían ejercicios anuales de cumplimiento de casillas de verificación, las nuevas regulaciones requieren una garantía continua de las aplicaciones críticas. Pero la naturaleza compleja de los sistemas existentes es un problema. Las infraestructuras heredadas a menudo se construyeron con métricas diferentes y, a veces, conflictivas a lo largo de los años, lo que significa que un intrincado mosaico de aplicaciones se comunican entre sí de formas complicadas.
Nick Hammond continúa: “La red de interdependencias opacas crea un gran obstáculo para los bancos, lo que significa que muchos están aprovechando la experiencia en infraestructura como primer paso para asegurar su software interno. Al obtener información sobre la infraestructura, las empresas pueden crear una imagen en tiempo real de toda la red, lo que les permite racionalizar con confianza la forma en que las diferentes aplicaciones comparten datos dentro del sistema.
“En consecuencia, las empresas pueden adaptar las políticas de seguridad adecuadas a cada aplicación segmentada, evitando flujos de datos innecesarios o ilícitos. A su vez, esto les ayudará a mantener su reputación como instituciones confiables y seguras «.