¿Qué tecnologías, procesos o leyes relacionadas con InfoSec se aplican específicamente a la industria financiera?
Si está familiarizado con la industria financiera, ¿puede compartir detalles? Por ejemplo:
¿Cuáles son los detalles específicos de los controles comunes?
Qué tecnología (o producto ampliamente implementado) satisface un control particular
Como se mencionó, las dos leyes principales en los EE. UU. son la Ley Sarbanes-Oxley (SOx) y la Ley Gramm-Leach-Bliley (GLB).
Si está en el lado bancario del sector de servicios financieros, una lectura obligada es el Consejo de examen de instituciones financieras federales (FFIEC) Folleto de seguridad de la información con fecha de julio de 2006.
El manual hace referencia a NIST, ISO y COBIT. Los documentos de la serie 800 de NIST son una excelente fuente de orientación sobre una variedad de temas. En el lado ISO vea la norma ISO / IEC 27002.
Si cae en SOx, probablemente se encontrará involucrado con dos marcos de control, COBIT y COSO. Los marcos de control no le dirán exactamente cómo implementar un control. Aunque no está directamente asociado con el cumplimiento de SOx, SANS ha publicado entre otras cosas una lista de Veinte controles de seguridad críticos . Estos controles están un poco más cerca de la implementación real, pero aún así no le dicen exactamente cómo hacerlo. La forma en que implementes un control en particular dependerá en gran medida de tu entorno.
También en el Reino Unido, los requisitos de la FSA son, aunque muy modestos y abiertos a la interpretación, basados en estándares de facto de la industria como ISO 27001, CobIT, ITIL, etc., con el objetivo principal de que una organización aplique los controles adecuados Basado en los datos o procesos.
La Ley de protección de datos también se encuentra en la lista de los registros importantes que deben cumplirse, especialmente ahora que el ICO puede imponer multas por no proteger los datos personales.
PCI es actualmente una de las regulaciones de puntaje más altas para cumplir, ya que los impulsores de las organizaciones de servicios financieros son comerciales. Si bien pasar los requisitos de PCI no es una garantía de seguridad, si los falla, ¡se presentan riesgos muy importantes!
Uno que no se ha mencionado en las respuestas hasta ahora, pero que puede ser relevante en varias áreas de Servicios Financieros es PCI DSS . Se aplicará si la organización procesa los detalles de la tarjeta de crédito / débito de cualquiera de los esquemas principales, por lo tanto, banca minorista, seguros, básicamente cualquier cosa que trate con clientes individuales.
Una cosa sobre PCI en comparación con cosas como SOx, es que especifica mucho más en cuanto a detalles técnicos en cuanto a qué controles se necesitan para cumplir. Esto puede verse como algo bueno o malo.
Por un lado, evita que las personas discutan tanto si se necesitan ciertas clases de control, pero por otro lado puede impulsar una mentalidad de "casilla de verificación", donde la organización busca cumplir con la letra de El estándar pero no el espíritu.
La mayoría de nuestros clientes financieros se apegan a las evaluaciones de vulnerabilidad y las pruebas de penetración cuando se trata de manejar su seguridad de la información con la FDIC. Para ayudar a nuestros clientes que están considerando un nivel más alto de pruebas (o certificación), creamos una Guía de seguridad de la información . Es gratis y muy útil.
Descrito en la guía:
Lea otras preguntas en las etiquetas legal compliance