Sebuah laporan survei dari sebuah firma hukum nasional yang mengkhususkan diri dalam keamanan siber menemukan bahwa bank-bank kecil dan menengah, pada umumnya, gagal menjalankan fungsi pengawasan utama tertentu terhadap vendor pihak ketiga mereka, bahkan ketika regulator bersikeras bahwa mereka meminta pertanggungjawaban pihak ketiga atas sistem perbankan. keamanan.
Temuan Jones Walker, yang memiliki pengacara di delapan negara bagian dan District of Columbia, didasarkan pada survei yang dilakukan pada bulan Juli.
Meskipun sebagian besar responden mengatakan bahwa mereka bergantung pada pihak ketiga untuk fungsi TI yang penting, seperti keamanan siber, perbankan terbuka, dan perbankan sebagai layanan, banyak dari responden tersebut mengatakan bahwa mereka tidak meminta pertanggungjawaban vendor mereka atas pelanggaran data atau memerlukan hak untuk melakukan audit. praktik keamanan siber mereka.
Vendor pihak ketiga sangat penting bagi bank komunitas, yang seperti kebanyakan usaha kecil lainnya, jarang memiliki tim keamanan siber independen. Bahkan bagi mereka yang melakukan hal tersebut, vendor pihak ketiga sering kali memberikan intelijen ancaman dan layanan lain yang hanya dapat ditandingi oleh bank besar.
Jadi, tidak mengherankan jika 99% responden mengatakan mereka sebagian atau seluruhnya bergantung pada pihak ketiga untuk menjalankan fungsi keamanan siber. Demikian pula, 90% mengatakan mereka mengandalkan pihak ketiga untuk menjalankan fungsi bisnis seperti perbankan terbuka atau perbankan sebagai layanan.
Ketergantungan ini menimbulkan beberapa risiko keamanan siber, namun risiko terbesar datang dari kurangnya uji tuntas yang dilakukan bank terhadap pihak ketiga ini, menurut Tom Walker, partner di Jones Walker. Walker menghabiskan enam tahun sebagai penasihat hukum dan kepala keuangan di Bank of Forest di Mississippi.
“Seperti yang ditunjukkan dengan jelas oleh survei kami, bank komunitas dan bank menengah dapat berbuat lebih banyak untuk memitigasi risiko yang ditimbulkan oleh vendor pihak ketiga terhadap sistem informasi, reputasi, dan data nasabah mereka dengan mengikuti standar industri dan peraturan dalam hal perencanaan, uji tuntas, seleksi, negosiasi kontrak, dan pemantauan,” kata Walker.
Salah satu contoh kurangnya uji tuntas adalah hanya 58% responden yang mengatakan bahwa mereka mengharuskan vendor keamanan siber mereka untuk memberikan semacam hak audit, yang memastikan bank dapat mengamati secara langsung praktik keamanan siber vendor tersebut.
Demikian pula, hanya 23% bank yang memiliki persyaratan ganti rugi kontraktual atas pelanggaran data dengan vendor mereka. Persyaratan tersebut meminta pertanggungjawaban vendor jika terjadi pelanggaran data bank pada vendor.
Mungkin yang paling penting adalah hanya 50% responden yang mengatakan bahwa mereka mewajibkan vendor untuk menjalankan program keamanan yang sesuai dengan panduan pemerintah federal. Panduan tersebut akan datang dari Institut Teknologi dan Standar Nasional, yang akan dilaksanakan tahun ini
Meskipun praktik-praktik ini dapat mengurangi risiko keamanan siber yang dihadapi bank, regulator juga dapat menguranginya
Perlunya pengawasan ini, sebagian disebabkan oleh kesenjangan peraturan antara bank dan vendornya.
“Bank memiliki peraturan yang ketat, namun banyak vendor pihak ketiga yang tidak mengaturnya,” kata Rob Carothers, partner di Jones Walker. “Sangat penting bagi bank untuk melakukan uji tuntas menyeluruh terhadap vendor mereka dan memastikan adanya perlindungan kontrak yang kuat.”
Dalam satu hal penting, kesenjangan peraturan antara bank dan vendor mereka semakin berkurang. Infrastruktur TI (seperti banyak perusahaan yang dianggap sebagai bagian dari infrastruktur penting negara) akan memperoleh keuntungan
Bank harus sudah melakukannya
Meski begitu, pelaporan insiden hanyalah salah satu bagian dari teka-teki peraturan dan kepatuhan. Sebelum insiden terjadi, bank juga harus menunjukkan rencana manajemen risiko keamanan siber mereka kepada regulator federal dan negara bagian tertentu, dan risiko pihak ketiga harus menjadi bagian dari teka-teki tersebut. Perusahaan IT tidak menghadapi persyaratan yang sama.
Seiring berkembangnya peraturan dan ancaman keamanan siber, bank perlu berinvestasi dalam strategi pencegahan dan manajemen vendor, menurut Granville Tate, Jr., wakil presiden eksekutif dan kepala administrasi Trustmark National Bank di Jackson, Mississippi.
Laporan dari Jones Walker “berfungsi sebagai pengingat dan sumber daya untuk membantu memperkuat pertahanan kami, melindungi data pelanggan kami, dan memastikan kami tetap tangguh terhadap ancaman dunia maya yang semakin canggih,” kata Tate.
hanwhalife
hanwha
asuransi terbaik
asuransi terpercaya
asuransi tabungan
hanwhalife
hanwha
asuransi terbaik
asuransi terpercaya
asuransi tabungan
hanwhalife
hanwha
berita hanwha
berita hanwhalife
berita asuransi terbaik
berita asuransi terpercaya
berita asuransi tabungan
informasi asuransi terbaik
informasi asuransi terpercaya
informasi asuransi hanwhalife