Haciendo que el cumplimiento de la ciberseguridad FFIEC sea más simple para los bancos
El Consejo de Examen de Instituciones Financieras Federales (FFIEC) se estableció el 10 de marzo de 1979, de conformidad con el título X de la Ley de Regulación de Instituciones Financieras y Tasa de Interés de 1978 (FIRA), Ley Pública 95-630. En 1989, el título XI de la Ley de Reforma Institucional, Recuperación y Ejecución de Instituciones Financieras de 1989 (FIRREA) estableció el Subcomité de Tasación (ASC) dentro del Consejo de Exámenes.
El FFIEC es un organismo interinstitucional formal facultado para prescribir principios uniformes, estándares y formularios de informe para el examen federal de las instituciones financieras por la Junta de Gobernadores del Sistema de Reserva Federal (FRB), la Corporación Federal de Seguros de Depósitos (FDIC), la Administración Nacional de Cooperativas de Ahorro y Crédito (NCUA), la Oficina del Contralor de la Moneda (OCC) y la Oficina de Protección Financiera del Consumidor (CFPB) y hacer recomendaciones para promover la uniformidad en la supervisión de las instituciones financieras.
Para alentar la aplicación de principios y normas uniformes de examen por parte de las autoridades de supervisión estatales y federales, el Consejo estableció, de conformidad con el requisito del estatuto, el Comité de Enlace Estatal compuesto por cinco representantes de las agencias de supervisión estatales. De conformidad con la Ley de Servicios Regulatorios de Servicios Financieros de 2006, se incorporó a un organismo estatal representativo como miembro con derecho a voto del Consejo en octubre de 2006. El FFIEC es responsable del desarrollo de sistemas de informes uniformes para las instituciones financieras supervisadas federalmente, sus sociedades holding y el filiales de instituciones no financieras de esas instituciones y sociedades holding.
Ciberseguridad y FFIEC
El FFIEC toma en serio la ciberseguridad. Mire el último comunicado de prensa provisto por FFIEC que brinda asesoramiento a las instituciones financieras, de conformidad con las expectativas normativas existentes, para administrar activamente los riesgos asociados con la mensajería interbancaria y las redes de pago mayorista. Las áreas de enfoque son la evaluación de riesgos; controles de autenticación, autorización y acceso; monitoreo y mitigación; detección de fraude; y respuesta al incidente.
Proteger contra el acceso no autorizado.
Limite el número de credenciales con privilegios elevados en toda la institución, especialmente las cuentas de administrador, y la capacidad de asignar fácilmente privilegios elevados para acceder a sistemas críticos.
Revise los derechos de acceso periódicamente para confirmar que las aprobaciones siguen siendo apropiadas para la función de trabajo.
Establezca períodos de vencimiento estrictos para las credenciales no utilizadas, supervise los registros para el uso de credenciales antiguas y finalice inmediatamente las credenciales no utilizadas o injustificadas.
Establezca reglas de autenticación, tales como controles de geolocalización y hora del día, o implemente protocolos de autenticación de múltiples factores para paneles de control basados en la web. En adición:
- Llevar a cabo auditorías periódicas para revisar los niveles de acceso y permiso a sistemas críticos para empleados y contratistas. Implementar políticas de acceso de mínimo privilegio en toda la empresa. En particular, no permita que los usuarios tengan derechos de administrador local en las estaciones de trabajo.
- Cambiar la contraseña predeterminada y la configuración de las credenciales basadas en el sistema.
- Evite que los sistemas sin parche, como las computadoras hogareñas y los dispositivos móviles personales, se conecten a los sistemas internos.
- Implementar controles de monitoreo para detectar dispositivos no autorizados conectados a redes internas.
- Use conexiones seguras cuando acceda remotamente a sistemas y servicios (por ejemplo, redes privadas virtuales).
Retos con acceso y autorización
Lo anterior tiene mucho sentido, sin embargo, no siempre es fácil cumplir con la orientación como la anterior. Los problemas que surgen se deben a una multitud de factores como: sistemas dispares, diseños organizacionales fragmentados, roles de usuario en constante evolución, desgaste de empleados y más. Para las personas de TI y seguridad, puede sentir como si la organización constantemente estuviera dando un paso fuera de los límites aceptables de cumplimiento, por una razón u otra. Esto es similar a otros verticales como el cuidado de la salud, donde los equipos de TI, GRC y Seguridad a menudo lidian con el cumplimiento de varias leyes como HIPAA.
Presentamos algunos consejos para facilitar el cumplimiento de las recomendaciones de ciberseguridad de FFIEC.
-
Auditorías regulares: utilice un sistema de gestión de acceso privilegiado que le proporcione un proceso de auditoría centrado en el propietario de la unidad de negocio de 30, 90, 180 y 365 días. Esto asegura que los recursos críticos sean auditados cada 30 días, mientras que el acceso a sistemas menos críticos puede ocurrir en una línea de tiempo más prolongada, aunque de manera racionalizada y automatizada. Use un proceso documentado y track-able para escalar y reducir los derechos en las máquinas. Nadie debería ser un administrador de un recurso, para siempre. Aquí hay un ejemplo de escalada y desescalación de privilegios y otro ejemplo de acceso basado en tiempo.
-
Rotación de la contraseña: utilice un sistema automatizado que elimine al humano de la ecuación. Esto es crítico, ¿por qué? la razón es que las personas tienen diferentes prioridades en diferentes momentos. Considere el caso donde su CFO está cerrando los números de reconciliación del trimestre, ¿cree que van a tomar medidas inmediatas en su correo electrónico de cambio de contraseña de fin de trimestre? Realmente no. Debe implementar un sistema que automáticamente gire las credenciales sin intervención humana. De hecho, también debe ficus al hacer esto para cuentas compartidas, no solo para cuentas privilegiadas. Por último, haga que el uso compartido de la cuenta sea claro y siga un procedimiento para que los cambios en las credenciales puedan ser rastreados y auditados. Siga la regla KISS - Keep it Simple. Aquí hay un ejemplo.
(3) Gestión de dispositivos: utilice algún tipo de solución de gestión de dispositivos móviles o un sistema de gestión de inventario o incluso una herramienta de gestión de configuración como Casper, SCCM, JAMF, Chef, Puppet. Algo es mejor que nada. Debería poder ver en algún momento cuántas aplicaciones usan las personas y qué servidores están en uso. Aquí hay un ejemplo.
(4) Control de sesión: debe utilizar algún tipo de sistema que ayude a garantizar el acceso y la autorización de lo que puede hacer una máquina. La solución debe manejar la escalada de privilegios y la desescalación para garantizar que nadie mantenga los derechos de administrador para siempre. Además, los sistemas deben ser capaces de proporcionar seguridad sobre las actividades que se han realizado en las máquinas, en esencia una especie de funcionalidad DVRish. Aquí hay un ejemplo.
En este artículo, hemos hablado sobre partes específicas del marco FFIEC que se ocupan de la ciberseguridad y en más detalle sobre las partes de acceso y autorización de la guía. Esperamos que los consejos presentados anteriormente lo ayuden a tomar las decisiones correctas para cualquier solución que desee utilizar para cumplir con las pautas de FFIEC.
Fuentes:
https://www.ffiec.gov/about.htm
https://www.ffiec.gov/press/PDF/Cybersecurity_of_IMWPN.pdf