it-swarm-es.com

¿Qué requisitos de seguridad son un estándar de facto en la industria financiera?

¿Qué tecnologías, procesos o leyes que se relacionan con InfoSec se aplican específicamente a la industria financiera?

Si está familiarizado con la industria financiera, ¿puede compartir detalles? Por ejemplo:

  • ¿Cuáles son los detalles de los controles comunes?

  • ¿Qué tecnología (o producto ampliamente implementado) satisface un control particular

8
goodguys_activate

También en el Reino Unido, los requisitos de la FSA son, aunque bastante imprecisos y abiertos a la interpretación, basados ​​en estándares de facto de la industria como ISO 27001, CobIT, ITIL, etc., con el objetivo principal de que una organización implemente controles apropiados basados ​​en el datos o procesos.

La Ley de Protección de Datos también ocupa un lugar destacado en la lista de normas importantes que cumplir, especialmente ahora que la ICO puede imponer multas por no proteger los datos personales.

PCI es actualmente una de las regulaciones de mayor puntuación a cumplir, ya que los impulsores de las organizaciones de servicios financieros son comerciales. Si bien aprobar los requisitos de PCI no es garantía de seguridad, fallarlos presenta riesgos muy importantes.

6
Rory Alsop

Uno que no se ha mencionado en las respuestas hasta ahora, pero que bien puede ser relevante en varias áreas de los servicios financieros es PCI DSS . Se aplicará si la organización procesa los detalles de la tarjeta de crédito/débito de cualquiera de los esquemas principales, por ejemplo, banca minorista, seguros, básicamente cualquier cosa que trate con clientes individuales.

Una cosa acerca de PCI en comparación con cosas como SOx, es que especifica mucho más en cuanto a detalles técnicos sobre qué controles se deben cumplir. Esto puede verse como algo bueno o malo.

Por un lado, impide que la gente discuta tanto si se necesitan ciertas clases de control, pero por otro lado puede generar una mentalidad de "casilla de verificación", en la que la organización busca cumplir con la letra del estándar pero no el espíritu.

5
Rory McCune

En los EE. UU., Las dos regulaciones principales que se aplican:

2
AviD

La mayoría de nuestros clientes financieros se apegan a las evaluaciones de vulnerabilidad y las pruebas de penetración cuando se trata de manejar la seguridad de su información con la FDIC. Para ayudar a nuestros clientes que están considerando un nivel más alto de pruebas (o certificación), creamos una Guía de seguridad de la información . Es gratis y muy útil.

Descrito en la guía:

  • Evaluación de vulnerabilidad (generalmente realizada en la industria financiera)
  • Prueba de penetración (generalmente realizada en la industria financiera)
  • Diagrama de flujo de datos seguro
  • Revisión de diseño
  • Evaluación de brechas
  • Evaluación compartida de BITS (creada por la industria financiera)
  • Evaluaciones ISO 27002
  • SAS-70
  • Certificación ISO 27001 (nivel más alto de garantía)
1