Federal Financial Institutions Examination Council (FFIEC)

Compártelo en

¿Qué es la herramienta de evaluación de ciberseguridad de FFIEC?

FFIEC -> El Consejo de Examen de Instituciones Financieras Federal (Federal Financial Institutions Examination Council) desarrolló la Herramienta de Evaluación de Ciberseguridad para ayudar a las instituciones financieras a identificar sus riesgos y determinar su preparación en ciberseguridad. La herramienta es un marco que puede ayudar a las organizaciones, más no una ley o reglamento que requiera cumplimiento. Las instituciones financieras también pueden utilizar la herramienta de evaluación para evaluar a sus proveedores de servicios externos.

 

¿Qué dice FFIEC Cybersecurity sobre la clasificación de datos?

  • La administración de la institución debe emplear un nivel de cifrado suficiente para proteger la información de la divulgación. Los métodos de cifrado deben revisarse periódicamente para garantizar que los tipos y formas de cifrado sigan siendo seguros a medida que evolucionan la tecnología y las amenazas. Las decisiones con respecto a qué datos cifrar y en qué puntos cifrar los datos generalmente se basan en el riesgo de divulgación y los costos de cifrado. La necesidad de cifrar los datos está determinada por la clasificación de datos y la evaluación de riesgos de la institución.
  • Los dispositivos, programas y datos son recursos del sistema. Debido a que los usuarios pueden acceder a estos recursos a través de la red de la institución, la gerencia debe identificar y restringir el acceso lógico a todos los recursos del sistema, al mínimo requerimiento para actividades laborales legítimas y aprobadas, de acuerdo con el principio de privilegio mínimo. Pasar más allá del trabajo mínimo necesario a realizar expone los sistemas y la información de la institución a una posible pérdida de confidencialidad, integridad y disponibilidad.
  • Los inventarios son esenciales para que la administración identifique los activos que requieren protección adicional, como aquellos que almacenan, transmiten o procesan información confidencial del cliente, secretos comerciales u otra información o soporte que podría ser un objetivo de los ciberdelincuentes. Saber qué activos de información tiene la institución y dónde se almacenan, transmiten o procesan ayuda a la administración a cumplir con las leyes y regulaciones federales y estatales con respecto a la privacidad y seguridad de la información confidencial del cliente.
  • Después de hacer un inventario de los activos, la gerencia debe clasificar la información de acuerdo con el nivel apropiado de protección necesario. Por ejemplo, los sistemas que contienen información confidencial del cliente pueden requerir controles de acceso basados ​​en las responsabilidades del trabajo. Estos sistemas deben tener controles más sólidos que los sistemas que contienen información destinada al público en general. Algunas instituciones clasifican la información como pública, no pública o confidencial de la institución, mientras que otras usan las clasificaciones alta, moderada y baja. Categorías adicionales, como críticas y no críticas, pueden ser útiles para ciertos tipos de instituciones.
  • Las consideraciones principales para la respuesta a incidentes incluyen lo siguiente: Cómo equilibrar las preocupaciones con respecto a la confidencialidad, integridad y disponibilidad de dispositivos y datos. Esta consideración es un factor crucial para una estrategia de contención y puede involucrar consideraciones legales y de responsabilidad. La gerencia puede decidir si algunos sistemas deben desconectarse o apagarse a la primera señal de intrusión, o si otros deben dejarse en línea.
  • La institución debe proteger la confidencialidad de la información de los clientes y de la institución. Una violación de la confidencialidad podría revelar información de propiedad exclusiva, aumentar el riesgo de fraude, dañar la reputación de la institución, violar la privacidad del cliente y los derechos asociados, y violar leyes o regulaciones.
  • Al transmitir información confidencial a través de una red pública, la información debe estar encriptada para protegerla de la interceptación o escuchas ilegales.
  • Para los dispositivos que corresponden a la propiedad de la institución, la institución debe cifrar los datos confidenciales que residen en el dispositivo de acceso.

 

Estos son algunos ejemplos en los que la clasificación de datos de los documentos es necesaria o que ayudarían enormemente a la organización a obtener una descripción general de dónde reside la información sensible y confidencial. Esto facilita la implementación de las medidas necesarias para proteger los datos y conocer el riesgo involucrado. También facilita la obtención de una descripción general en caso de un incidente de ciberseguridad.

 

Resumen: La herramienta de ciberseguridad de FFIEC expone varios requisitos para las buenas prácticas de ciberseguridad, en las que, haber realizado una clasificación de datos sería de gran ayuda.

Artículos relacionados