Industri perbankan berada di puncak spektrum kedewasaan untuk keamanan siber, tetapi masih banyak pekerjaan yang harus dilakukan.
Perusahaan di seluruh industri telah menanggapi ancaman pencurian dunia maya dengan kontrol dan prosedur keamanan siber terbaik di kelasnya, mematuhi dan bahkan melampaui standar tinggi yang telah dibuat oleh badan pengawas untuk perbankan.
Namun karena ancaman yang tidak ada habisnya bagi industri perbankan, kewajiban regulasi terus berkembang. Di antara perkembangan terbaru, amandemen baru yang diusulkan untuk peraturan keamanan dunia maya Negara Bagian New York akan menambah persyaratan yang belum pernah ada sebelumnya di industri mana pun.
Draf Peraturan Departemen Layanan Keuangan New York (NYDFS) Bagian 500 Cybersecurity dikeluarkan pada Juli 2022 dan akan berlaku secara luas untuk penyedia layanan keuangan di seluruh negeri.
Amandemen NYDFS 500 yang diusulkan tidak hanya regulator yang mengawasi perkembangan bank. Catatan lainnya meliputi:
- Undang-undang keamanan siber diberlakukan pada bulan Maret di Consolidated Appropriations Act of 2022 yang mewajibkan entitas di sektor infrastruktur penting untuk melapor kepada pemerintah federal dalam waktu 72 jam setelah pelanggaran dan dalam waktu 24 jam setelah pembayaran uang tebusan. Bank akan tunduk pada undang-undang ini, tetapi Badan Layanan Infrastruktur Kritis belum menentukan entitas atau insiden apa yang dicakup oleh undang-undang tersebut.
- Standar ketahanan operasional dari Office of the Comptroller of the Currency (OCC) mencakup fokus pada keamanan siber. Standar OCC mempromosikan pendekatan berbasis prinsip untuk tata kelola, analisis skenario, ketahanan sistem, pengawasan dan pelaporan.
- Amandemen yang diusulkan United States Securities dan Exchange Commision (SEC) untuk aturan pengungkapan terkait dengan manajemen risiko keamanan siber, strategi, tata kelola, dan pelaporan insiden oleh perusahaan publik. Aturan yang diusulkan akan mewajibkan pelaporan tentang insiden keamanan siber yang material, pembaruan tentang insiden sebelumnya, dan pengungkapan tentang peran tata kelola dan manajemen dalam aktivitas keamanan siber.
Salah satu persyaratan yang diajukan mewajibkan CEO dan CFO perusahaan publik untuk mengeluarkan pernyataan yang menyatakan bahwa laporan keuangan secara wajar yang mewakili operasi dan kondisi keuangan perusahaan. Proposal NYDFS 500 akan mewajibkan CEO dan Chief Information Security Officer (CISO) bank untuk menandatangani sertifikasi tahunan untuk kepatuhan keamanan siber NYDFS.
Aturan yang diusulkan juga akan membutuhkan dewan untuk memiliki keahlian yang cukup tentang keamanan siber untuk secara efektif melakukan pengawasan atas area risiko yang penting ini.
Proposal NYDFS juga mencakup persyaratan ketahanan operasional yang diperketat serta dirancang untuk membantu bank merespons dengan tepat jika terjadi pelanggaran. Proposal berisi persyaratan untuk rencana kesinambungan bisnis/pemulihan bencana dan rencana tanggap insiden, ditambah persyaratan pengujian berkala untuk rencana tersebut.
Proposal ini mencerminkan praktik terbaik keamanan siber yang penting. Ketahanan merupakan komponen penting dari setiap rencana pertahanan dunia maya. Perencanaan dan praktik ketahanan biasanya mencakup:
- Rencana terperinci tentang bagaimana semua personel kunci di seluruh organisasi akan merespons jika terjadi pelanggaran. Ini termasuk orang-orang di bidang IT, hukum, manajemen risiko, komunikasi, dan bahkan dewan direksi dan CEO.
- Praktik berbasis skenario dari rencana respons, membutuhkan partisipasi semua pemangku kepentingan.
Departemen audit internal bank memiliki peran penting dalam manajemen risiko keamanan siber. Rencana audit keamanan siber harus komprehensif dan terintegrasi ke dalam semua aspek bisnis, dan mereka perlu melaporkan apakah rencana pengendalian dan ketahanan sudah sesuai.
Rencana audit internal yang berhasil juga akan mengevaluasi apakah bank mematuhi peraturan keamanan siber yang berlaku, dan harus fleksibel serta cukup tepat waktu untuk menentukan apakah perubahan dilakukan untuk mengikuti peraturan baru. Audit internal akan secara independen menilai peraturan baru, menentukan kepatuhan bank terhadap peraturan tersebut dan melaporkan kepada komite audit dan dewan mengenai postur kepatuhan bank yang sebenarnya.
Pada akhirnya, persyaratan peraturan yang dihadapi lembaga keuangan — seperti memperkuat kontrol, meningkatkan pengawasan dewan, dan berfokus pada ketahanan — dapat mengarah pada peningkatan keamanan siber yang dapat melindungi bank dan pada akhirnya sistem keuangan.
Artikel ini telah diterbitkan oleh Grant Thornton, dengan judul Cyber Regulatory Pressures Mount for Banks pada 16 November 2022. Artikel selengkapnya dapat dibaca di sini.
