Krypton Solid

Krypton Solid
Krypton Solid

La última tecnología en raciones de 5 minutos

Mejores prácticas y requisitos para el cumplimiento de GLBA

La Sección 501 (b) de la Ley Gramm-Leach-Bliley (GLBA) estableció la política de que cada institución financiera tiene una obligación afirmativa y continua de respetar la privacidad de sus clientes y proteger la seguridad y confidencialidad de la información personal no pública. Las disposiciones de la regulación entraron en vigencia en julio de 2001 y desde entonces han dirigido el debate sobre la protección de la información del cliente en la banca. La marcha constante de la automatización cada vez más profunda en los procesos bancarios y la explosión de la interconectividad entre bancos, clientes y proveedores de servicios han hecho que los requisitos de cumplimiento de GLBA sean aún más relevantes que cuando se introdujeron por primera vez.

La Carta de Instituciones Financieras de la FDIC FIL-68-2001 declaró que los objetivos de los estándares exigidos por 501 (b) son: garantizar la seguridad y confidencialidad de la información del cliente; proteger la información personal contra cualquier amenaza o peligro anticipado a la seguridad o integridad de dicha información; y proteger contra el acceso no autorizado o el uso de la información del cliente que podría resultar en daños o inconvenientes sustanciales para cualquier cliente.

Las instrucciones de examen de FFIEC que guían a los examinadores de campo en la evaluación del cumplimiento de una institución con 501 (b) enfatizan cinco consideraciones clave. Consideremos cada uno de los principales objetivos e identifiquemos las estrategias actuales para el cumplimiento de GLBA para proteger la información personal.

Involucrar a la junta. La mayoría de las organizaciones bancarias han satisfecho este requisito al involucrar activamente a la junta, o al designado por la junta, con temas relacionados con la protección de la información. Esto incluye reuniones informativas periódicas con distintos niveles de formalidad. La tendencia inconfundible es aumentar la conciencia y la participación de la junta.

CONTENIDO RELACIONADO  En la iniciativa de ciudad inteligente de Columbus, el transporte toma el volante

Evaluar el riesgo. La naturaleza y las tácticas asociadas con la evaluación de riesgos para el cumplimiento de GLBA fueron inicialmente algo turbias, pero se aclararon en la orientación posterior sobre el Programa de gestión de riesgos de tecnología de la información (IT-RMP). IT-RMP eliminó una gran cantidad de ambigüedad en los elementos del proceso de evaluación de los riesgos de la información del cliente y está disponible para todos los bancos como una guía para desarrollar sus propios procesos de gestión de riesgos. Esta área es particularmente importante si se considera que representa la respuesta de los bancos al desafío de administrar sus riesgos únicos. Los riesgos comunes que enfrentan todos los bancos se abordan en gran medida dentro de las pautas de examen de FFIEC, pero IT-RMP define el enfoque de un banco para la identificación y análisis de los elementos de riesgo que son exclusivos de su propio negocio.

Gestionar y controlar el riesgo. El énfasis de este objetivo es la evaluación de la capacidad del banco para tomar medidas después de completar la evaluación de riesgos de la información del cliente. Específicamente, el examinador está evaluando el éxito de los bancos en el diseño de tácticas efectivas de mitigación (es decir, control). Esto incluye el examen de aspectos de personal, procesos y tecnología, así como el estudio de los resultados de las pruebas y auditorías de controles. Por lo tanto, esta estrategia de cumplimiento idealmente debería distinguirse, pero integrarse, con el enfoque general de auditoría de TI del banco. Algunos bancos etiquetan explícitamente los controles relevantes como «controles de información del cliente», similar a la identificación y priorización de controles clave con los esfuerzos de Sarbanes Oxley 404.

CONTENIDO RELACIONADO  ¿Qué es Microsoft SharePoint Framework?

Supervisar a los proveedores de servicios. Esta área ha crecido literalmente en importancia debido a la popularidad de la tecnología y los servicios de subcontratación. Los bancos han establecido competencias en la gestión y supervisión de proveedores, así como en procesos recurrentes de evaluación y certificación. La aparición de la computación en la nube, el software como servicio y otros modelos de proveedores de servicios solo aumentará la importancia de esta área. También conducirán inevitablemente a debates sobre el nivel de centralización de las actividades de gestión de proveedores y las formas de aprovechar las evaluaciones de controles genéricos, como los informes de auditoría SAS 70 que, por naturaleza, no abordan los riesgos únicos de una organización, pero que, no obstante, brindan valor a la supervisión del proveedor. proceso.

Establecer un proceso eficaz para ajustar el programa de gestión de riesgos. El último aspecto a considerar es la capacidad de una institución para modificar su programa de gestión de riesgos en respuesta a cambios internos y externos. Esto incluye cambios impulsados ​​por fusiones, adquisiciones, cambios tecnológicos y el uso de subcontratas. Todos los bancos han empleado algún proceso de ajuste, aunque con distintos niveles de formalidad con respecto al grado de documentación y rigidez en la adherencia a su proceso. Deberíamos esperar un mayor énfasis en la documentación de los cambios en el programa, idealmente con evidencia de la aprobación de la junta.

A medida que avanzamos hacia la segunda década de gestión de riesgos de información bajo los requisitos de GLBA, seguimos enfrentándonos a muchos de los mismos problemas que enfrentamos en 2001. Los rápidos cambios tecnológicos garantizarán que la protección de la información del cliente siga siendo un desafío.

CONTENIDO RELACIONADO  Green House Data agrega la automatización de parches a su segmento de software

Sobre el Autor:
Paul Rohmeyer es miembro de la facultad de la escuela de posgrado del Instituto de Tecnología Stevens. Proporciona orientación en gestión de riesgos tecnológicos a empresas de la industria de servicios financieros, y anteriormente ocupó puestos gerenciales en las industrias de servicios financieros, telecomunicaciones y farmacéutica..

¡Haz clic para puntuar esta entrada!
(Votos: Promedio: )

También te puede interesar...

Reclutar inteligentemente para el Internet de las cosas

A medida que Internet de las cosas continúa sacudiendo diferentes industrias, las empresas se ven obligadas a interrogar y evaluar sus estrategias de contratación para asegurarse de que cuentan con equipos sólidos que puedan desarrollar

Comprender los pros y los contras de IBM PowerVM

PowerVM de IBM ofrece un entorno de virtualización seguro y escalable que permite a los administradores de TI consolidar las cargas de trabajo y utilizar mejor los recursos del servidor, al mismo tiempo que reduce

Nuevos métodos para enfriar centros de datos

Entre la demanda de la administración de costos más bajos y el mayor enfoque de la sociedad en la eficiencia energética, se encuentra el dilema de los centros de datos de refrigeración. Si puede responder

Cree un programa de ciberseguridad ágil con Scrum

El marco de Scrum es un método que se centra en el trabajo en equipo, la responsabilidad y los procesos iterativos para el desarrollo de productos, siendo los productos hardware, software o funciones. Las organizaciones

La hoja de referencia del cmdlet de Power BI-PowerShell

Las características de administración de Power BI están disponibles en el portal de administración de la herramienta, oa través de Office 365, Azure Active Directory, API administrativas y SDK, o cmdlets de PowerShell. Los administradores

¿Qué significa Salesforce para las funciones de Tableau AI?

Tableau ha realizado inversiones sustanciales en inteligencia artificial, adquiriendo una serie de empresas de análisis automatizado y de lenguaje natural. Dado que Tableau fue adquirido por Salesforce, los usuarios ahora tienen acceso al poderoso motor

Descubriendo el valor de IoT con lagos de datos

La gran cantidad de dispositivos conectados a Internet ha provocado una explosión de crecimiento de datos. La tecnología de IoT ha permitido la comunicación entre humanos, dispositivos y sistemas como un elemento fundamental para la

¿Qué es un dispositivo de red en línea?

Un dispositivo de red en línea es aquel que recibe paquetes y los reenvía a su destino previsto. Los dispositivos de red en línea comunes incluyen enrutadores, conmutadores, firewalls y sistemas de detección y prevención

¿Qué es Google Kubernetes Engine (GKE)?

Google Kubernetes Engine (GKE) es un sistema de administración y orquestación para contenedores Docker y clústeres de contenedores que se ejecutan dentro de los servicios de nube pública de Google. Google Kubernetes Engine se basa

Evaluación del ROI de Oracle DB 12c Multitenant

J. Marshall Romberg no sabía que Oracle DB 12c Multitenant iba a tener un costo adicional. Romberg, el arquitecto de datos empresariales de Sabre Holdings, empresa de tecnología de viajes con sede en Southlake, Texas,

¿Es CoreOS Rocket mejor que Docker?

¿En qué se diferencia la tecnología de contenedores Rocket de CoreOS de la seguridad de Docker? ¿Hay escenarios en los que … ¿Sería preferible usar Rocket sobre Docker y viceversa? CoreOS Rocket, comúnmente conocido como

Almacenar un archivo de imagen en SQL Server

¿Cómo almaceno un archivo de imagen en SQL? Estoy tratando de escribir un procedimiento almacenado que obtendrá automáticamente un archivo de texto de un directorio y lo insertará en una tabla SQL a una hora

¿Cómo se reconfigura el acceso a un puerto VMkernel?

Con vSphere, puede reconfigurar la configuración del puerto VMkernel y limitar el acceso desde servicios como Secure Shell exclusivamente a su red de administración. Cada pila TCP/IP de VMkernel con una dirección IP usa esa

Deja un comentario