Definición y propósito

La Normativa Prudencial CPS 234 de Seguridad de la Información de APRA ("Normativa Prudencial CPS 234") tiene como objetivo garantizar que las entidades reguladas por APRA tomen medidas para ser resilientes frente a incidentes de seguridad de la información, incluidos ciberataques, a fin de mantener la confidencialidad, integridad o disponibilidad de los activos de información, incluidos los gestionados por partes relacionadas o terceros.

En última instancia, esta Normativa Prudencial busca aumentar la seguridad de los datos que los australianos confían a sus instituciones financieras y mejorar la estabilidad general del sistema.

Órgano rector

El órgano rector de la Normativa Prudencial CPS 234 es la Autoridad Reguladora Prudencial de Australia (APRA), que es responsable de supervisar y regular las instituciones financieras en Australia.

Última actualización

La versión más reciente de la Normativa Prudencial CPS 234 fue lanzada en julio de 2019.

Aplicable a

La Normativa Prudencial CPS 234 se aplica a todas las entidades reguladas por APRA, incluidas las instituciones autorizadas para tomar depósitos (ADIs), aseguradoras generales, compañías de vida, aseguradoras de salud privadas y entidades de superannuation registrables (RSEs) en Australia. Apunta específicamente a la industria de servicios financieros.

Controles y requisitos

El marco describe varios controles y requisitos a los que deben adherirse las entidades reguladas por APRA. Estos caen bajo las siguientes áreas de dominio:

• Roles y responsabilidades: Definir claramente los roles y responsabilidades relacionados con la seguridad de la información de la Junta, la alta dirección, los órganos de gobierno y las personas.
• Capacidad de seguridad de la información: Mantener una capacidad de seguridad de la información acorde con el tamaño y la magnitud de las amenazas a sus activos de información, que permita la operación continua y sólida de la entidad.
• Marco de políticas: Mantener un marco de políticas de seguridad de la información que sea acorde con sus exposiciones a vulnerabilidades y amenazas y proporcione dirección sobre las responsabilidades de todas las partes que tienen la obligación de mantener la seguridad de la información.
• Identificación y clasificación de activos de información: Clasificar sus activos de información, incluidos los gestionados por partes relacionadas y terceros, por criticidad y sensibilidad.
• Implementación de controles: Implementar controles para proteger sus activos de información acorde con la criticidad y sensibilidad de esos activos de información, y llevar a cabo pruebas y aseguramiento sistemático sobre la efectividad de esos controles.
• Gestión de incidentes: Tener mecanismos sólidos para detectar y
• responder a incidentes de seguridad de la información de manera oportuna, incluidos los planes de respuesta a la seguridad de la información.
• Pruebas de efectividad de los controles: Probar la efectividad de sus controles
• de seguridad de la información a través de un programa de pruebas sistemático.
• Auditoría interna: Contar con personal capacitado que revise el diseño y la efectividad operativa de los controles de seguridad de la información, incluidos los mantenidos por partes relacionadas y terceros.
• Notificación a APRA: Notificar a APRA de los incidentes importantes de seguridad de la información lo antes posible y, a más tardar, 72 horas después de tener conocimiento del incidente.

Por favor, consulte la documentación oficial del Estándar Prudencial CPS 234 para obtener una lista detallada de controles y requisitos.

Tipo de auditoría, frecuencia y duración

El Estándar Prudencial CPS 234 requiere que las entidades realicen auditorías internas que evalúen todos los aspectos del entorno de control de seguridad de la información a lo largo del tiempo. No especifica la frecuencia ni la duración. Sin embargo, requiere que las entidades revisen y prueben anualmente sus planes de respuesta a la seguridad de la información y la suficiencia de su programa de pruebas de control. Por lo tanto, las auditorías internas generalmente se realizan de forma anual o cuando hay un cambio importante en los activos de información o en el entorno empresarial.