Quadro di sicurezza informatica e segnalazione degli incidenti per il settore dell’intermediazione ipotecaria dell’Ontario

Leave a Comment / Computer security / By

Nell’agosto 2022, l’Autorità di regolamentazione dei servizi finanziari dell’Ontario (FSRA) ha pubblicato una guida in cui annunciava: (1) l’adozione da parte della FSRA dei Principi per la preparazione alla sicurezza informatica per il settore dell’intermediazione ipotecaria (i “Principi di sicurezza informatica”) emessi dal Consiglio canadese dei regolatori dei broker ipotecari (MBRCC); e (2) un nuovo obbligo per gli intermediari e gli amministratori di mutui di notificare all’FSRA se si verificano un incidente di sicurezza informatica che potrebbe avere un impatto materiale sulle informazioni dei clienti. Sebbene la Guida si applichi ad agenti ipotecari, broker, intermediari e amministratori regolamentati dalla FSRA, i principi di sicurezza informatica sono utili per le organizzazioni di tutti i settori.

FSRA Guida n. MB0048INF

La Guida spiega che l’adozione da parte della FSRA dei principi di sicurezza informatica ha lo scopo di aiutare gli agenti ipotecari, i broker, gli intermediari e gli amministratori in Ontario a conformarsi al Personal Information Protection and Electronic Documents Act (riguardante la sicurezza delle informazioni personali) e al Codice di condotta MBRCC per il settore dell’intermediazione ipotecaria (relativo alla sicurezza delle informazioni dei clienti) “fornendo pratiche leader per prevenire gli incidenti informatici e rispondendo adeguatamente ad essi quando si verificano”. La FSRA osserva che i principi di sicurezza informatica adottano un approccio basato sui principi, che consente alle persone ed entità regolamentate di ottenere risultati specifici in un modo che è “adatto alle dimensioni e alla struttura della loro attività”.

La Guida richiede agli intermediari e agli amministratori di mutui di informare l’FSRA non appena determinano che un incidente di sicurezza informatica potrebbe avere un “impatto materiale sulle informazioni dei clienti”. La Guida fornisce un elenco di “indicatori” che un incidente di sicurezza informatica potrebbe avere un impatto materiale sui clienti. La Guida spiega che quando la FSRA viene a conoscenza di un incidente di sicurezza informatica, attiverà il suo protocollo di condotta di mercato per la sicurezza informatica, che delinea le attività previste dalla FSRA con un licenziatario per monitorare le indagini del licenziatario e la risposta a un incidente di sicurezza informatica.

Principi di sicurezza informatica dell’MBRCC

MBRCC è un forum per le autorità di regolamentazione dei broker ipotecari canadesi per collaborare e promuovere una maggiore coerenza normativa al servizio dell’interesse pubblico. MBRCC ha pubblicato i principi di sicurezza informatica per supportare la preparazione alla sicurezza informatica nel settore dell’intermediazione ipotecaria descrivendo le pratiche per evitare incidenti di sicurezza informatica e rispondere adeguatamente quando si verificano.

I principi di sicurezza informatica hanno lo scopo di allinearsi ai requisiti legali esistenti, inclusi gli obblighi di riservatezza dei clienti professionali e gli obblighi di privacy ai sensi delle leggi sulla protezione delle informazioni personali. I principi di sicurezza informatica si basano su migliori pratiche riconosciute, tra cui il quadro di sicurezza informatica NIST e la linea guida B-13 di OSFI – Tecnologia e gestione dei rischi informatici.

I principi di sicurezza informatica articolano quattro principi, supportati da azioni specifiche raccomandate, che descrivono i risultati desiderati per la preparazione alla sicurezza informatica. Di seguito una sintesi:

  • Responsabilità e risorse: Le entità regolamentate dovrebbero nominare una persona responsabile della supervisione del rischio di sicurezza informatica e investire e assegnare tutte le risorse necessarie per sviluppare e mantenere efficaci salvaguardie di sicurezza informatica per proteggere le informazioni dei clienti. Le entità regolamentate dovrebbero sviluppare politiche e procedure di preparazione alla sicurezza informatica, richiedere alle persone responsabili di mantenere le proprie competenze e la comprensione dei rischi per la sicurezza informatica attraverso la formazione continua, aumentare la consapevolezza del personale e della direzione sui rischi della sicurezza informatica per garantire la preparazione alla sicurezza informatica e considerare l’acquisto di un’assicurazione di responsabilità civile per la sicurezza informatica.
  • Identificazione e prevenzione dei rischi: Le entità regolamentate dovrebbero identificare i principali rischi per la sicurezza informatica, disporre di adeguate protezioni per il rilevamento del rischio “endpoint”, condurre una valutazione dell’impatto aziendale degli incidenti informatici e garantire che i rischi per la sicurezza informatica facciano parte del piano di continuità aziendale, adottare misure adeguate per ridurre al minimo la probabilità e l’impatto di un rischio una volta identificato e determinare il comfort dell’entità con i rischi identificati.
  • Monitoraggio, rilevamento e risposta degli incidenti: Le entità regolamentate dovrebbero disporre di un protocollo per il monitoraggio, il rilevamento e la risposta agli incidenti di sicurezza informatica e un piano di risposta agli incidenti per proteggere le informazioni dei clienti e ridurre al minimo le interruzioni del servizio in caso di rilevamento di un incidente.
  • Gestione di terze parti: Le entità regolamentate dovrebbero proteggere le informazioni dei clienti adottando misure ragionevoli per garantire che i loro fornitori di servizi di terze parti esterni abbiano stabilito pratiche di preparazione alla sicurezza informatica. I principi di sicurezza informatica includono un elenco di controllo di base per la preparazione alla sicurezza informatica che può essere utilizzato dalle autorità di regolamentazione per valutare la preparazione alla sicurezza informatica nell’ambito dei loro programmi di monitoraggio e dalle entità regolamentate per autovalutare la loro preparazione alla sicurezza informatica.

Commenti e consigli

  • Tre pilastri: i principi di sicurezza informatica riflettono l’idea che una tecnologia efficace e una gestione del rischio informatico sia una sfida di gestione del rischio e conformità a livello aziendale che richiede un approccio globale e multidisciplinare basato su tre pilastri: persone, processi e tecnologia.
  • Miglioramento continuo: Il rispetto dei principi di sicurezza informatica non è un evento occasionale. I principi di sicurezza informatica richiedono alle entità regolamentate di stabilire processi e procedure per monitorare e migliorare continuamente la propria posizione di sicurezza informatica.
  • Altre linee guida: Quando si preparano per la conformità ai principi di sicurezza informatica, le entità regolamentate dovrebbero prendere in considerazione linee guida e migliori pratiche simili raccomandate da agenzie governative canadesi, autorità di regolamentazione, commissari per la privacy, associazioni di settore e altre organizzazioni, come le linee guida per l’outsourcing e le linee guida per la sicurezza delle informazioni della British Columbia Financial Services Authority. Vedere il bollettino BLG BCFSA finalizza le linee guida sulla sicurezza delle informazioni e sull’outsourcing.
  • Altri requisiti legali: Quando si preparano alla conformità con i Principi di sicurezza informatica, le entità regolamentate dovrebbero tenere conto di altre restrizioni e requisiti, imposti dalle leggi e dai contratti sulla protezione della privacy/delle informazioni personali, in merito al trattamento delle informazioni personali.
  • Direttori e funzionari: Gli amministratori e gli alti funzionari di un’entità regolamentata dovrebbero avere un coinvolgimento diretto nella conformità dell’entità ai principi di sicurezza informatica. Le loro decisioni dovrebbero essere prese con la dovuta cura documentata (vale a dire, sulla base di informazioni accurate e consigli di esperti) per ottenere il miglior risultato e supportare l’applicazione della “regola del giudizio aziendale”. Vedere il bollettino BLG Guida alla gestione del rischio informatico per i direttori aziendali canadesi.
  • Privilegio legale: Il rispetto dei Principi di sicurezza informatica e di altre attività di gestione del rischio può comportare comunicazioni e documenti sensibili che potrebbero essere soggetti a divulgazione obbligatoria in indagini normative e procedimenti legali, a meno che le comunicazioni e i documenti non siano protetti da privilegi legali. Ove opportuno, le entità regolamentate dovrebbero adottare misure per stabilire e mantenere il privilegio legale sulle comunicazioni e sui documenti relativi al rispetto dei principi di sicurezza informatica. Vedi i bollettini BLG Cyber ​​Risk Management – ​​Strategia sui privilegi legali – Parte 1 e Cyber ​​Risk Management – ​​Strategia sui privilegi legali – Parte 2.
  • Decisioni basate sul rischio: Il rispetto dei principi di sicurezza informatica richiederà alle entità regolamentate di prendere numerose decisioni basate sul rischio per ottenere risultati specifici “in un modo adatto alle dimensioni e alla struttura della loro attività”. Ognuna di queste decisioni dovrebbe essere pienamente informata (basata su informazioni tempestive, complete e affidabili), presa con il beneficio di un’adeguata consulenza di esperti tecnici indipendenti e consulenti legali e adeguatamente documentata

.

Leave a Comment

Your email address will not be published. Required fields are marked *