A “Federal Financial Institutions Examination Councilan” conhecida como FFIEC, lançou o seu programa-piloto de avaliação de segurança 
cibernética, que irá examinar mais de 500 instituições bancárias nos Estados Unidos.
Além disso, o Conselho lançou uma página Web dedicada à segurança cibernética das informações.
O programa-piloto está previsto para ser executado até julho, de acordo com Stephanie Collins, porta-voz do Escritório do Controlador da Moeda do país.
Seu objetivo é ajudar instituições bancárias menores a acabar com as lacunas de segurança em potencial. As avaliações serão conduzidas pelos reguladores estaduais e federais durante os exames regulares, diz o FFIEC.
“Informações do projeto piloto ajudará os reguladores na avaliação de como as instituições financeiras comunitárias gerenciam a segurança cibernética e sua preparação para mitigar crescentes riscos”, diz o conselho.
O foco das ciber-avaliações incluem gestão de risco e de supervisão, inteligência de ameaças e colaboração, controles de segurança cibernética, prestador de serviços e gestão de risco do fornecedor e gerenciamento de cyber-incidente e resiliência.
“Outro objetivo do piloto é ajudar os reguladores a tomar decisões no conhecimento dos riscos para melhorar a eficácia dos programas de supervisão, orientação e dos treinamentos”, diz o FFIEC.
Instituições a serem examinadas incluem aqueles com menos de US $ 10 bilhões em ativos totais. Os exames também vão analisar os limites de instituições autorizadas, incluindo bancos de confiança e os bancos de desenvolvimento comunitário, bem como as cooperativas de crédito, Collins no OCC diz.
Atenuar riscos
Durante um encontro recente realizada por cerca de 5.000 CEOs e gerentes seniores de instituições financeiras da comunidade, o FFIEC destacou as principais áreas de foco para a diretoria e os conselhos de administração, como eles avaliam a capacidade de suas instituições para identificar e atenuar os riscos de segurança cibernética, incluindo:
– Construção de uma cultura de segurança;
– A identificação, medição, condução e monitoramento de riscos;
– Desenvolvimento de uma gestão de risco proporcional aos riscos e complexidade das instituições;
– Alinhamento de estratégia de segurança cibernética com a estratégia de negócios e representando como os riscos serão geridos, tanto agora como no futuro;
– Criação de um processo de governança para garantir a sensibilização e responsabilização em curso;
– Garantia de relatórios oportunos para a gerência sênior, que incluem informações significativas sobre a vulnerabilidade da instituição para os ciber-riscos.
O conselho não respondeu imediatamente a um pedido de informações adicionais, incluindo detalhes de quando o programa piloto vai acabar e ser substituído por um programa permanente.
Segurança Cibernética – Página Web
Nova página Web cibersegurança do FFIEC servirá como um repositório central de materiais relevantes, oferecendo links para declarações conjuntas, seminários na web e outras informações para ajudar as instituições financeiras.
“Enquanto a segurança da informação tem sido um foco central de supervisão ao longo de décadas, os membros FFIEC estão tomando uma série de medidas para aumentar a consciência dos riscos de segurança cibernética em instituições financeiras e da necessidade de identificar, avaliar e mitigar esses riscos, tendo em conta o aumento do volume e sofisticação das ameaças cibernéticas que representam riscos para todos os setores de nossa sociedade “, diz o FFIEC.
Preparando-se para avaliações
Associações e analistas da indústria dizem que os líderes bancários devem se preparar para uma supervisão mais rigorosa de conscientização e iniciativas de segurança cibernética.
Doug Johnson, vice-presidente de política de gestão de risco da American Bankers Association, diz que as instituições comunitárias devem esperar aprofundadas avaliações de sua consciência de segurança cibernética durante o processo de análise.
“Nós não tivemos muito foco em ciber especificamente no passado”, diz ele. “Mas no final, tudo isto é sobre a avaliação de risco, então uma boa segurança cibernética faz sentido para os negócios. É um exercício de gestão de risco.”
“Os bancos e cooperativas de crédito devem se preparar para mais perguntas sobre seus relacionamentos com terceiros e estratégias de mitigação de riscos para terceiros” diz Shirley Inscoe, Analista de fraude financeira da consultoria Aite Group.
