Keamanan Siber : Apakah Skema Pensiun Anda Siap Untuk Yang Diharapkan?

On By In Informasi, News, Security, Uncategorized

Keamanan Siber : Apakah Skema Pensiun Anda Siap Untuk Yang Diharapkan? – Tingkat kejahatan dunia maya terus tumbuh pada tingkat yang belum pernah terjadi sebelumnya di Inggris Raya dan di seluruh dunia, dengan angka Pemerintah Inggris dari tahun 2021 menunjukkan bahwa hampir 40% bisnis yang disurvei telah mengalami pelanggaran atau serangan keamanan dunia maya pada tahun lalu. Selama beberapa tahun terakhir, ancaman serangan telah diperburuk oleh peningkatan staf yang bekerja dari rumah, dan dari meningkatnya ketegangan politik dan aktivitas dari negara-negara yang bermusuhan.

Keamanan Siber : Apakah Skema Pensiun Anda Siap Untuk Yang Diharapkan?

thetrainingco – Ransomware terus menjadi fokus penjahat dunia maya dan sekarang menjadi ancaman dunia maya paling menonjol dan langsung bagi bisnis Inggris, dan salah satu yang harus menjadi agenda utama skema pensiun. Namun, banyak skema, wali amanat, dan administrator tampaknya tidak cukup siap, dengan laporan Aon baru-baru ini menyoroti bahwa hanya 2 dari 5 skema yang memiliki rencana respons insiden yang kuat, dan bahwa sebagian besar skema percaya bahwa mereka dapat mengandalkan sumber daya keamanan siber sponsor mereka. jika terjadi insiden (yang tidak akan disesuaikan dengan skema, atau kemungkinan diuji sebagai solusi yang tepat).

Baca Juga : Pasar Forensik Digital 2021 Tren Industri, Pertumbuhan, Analisis, dan Peluang

takeaways kunci

• Wali pada akhirnya bertanggung jawab untuk mengelola keamanan siber sebagai bagian dari tata kelola dan kontrol mereka yang efektif.

• Tingkat ancaman saat ini tinggi, dan dana pensiun kemungkinan besar menjadi target.

• Rantai pasokan skema seringkali menciptakan kerentanan material yang paling besar.

Tindakan utama

• Audit dan uji langkah-langkah keamanan teknis di tempat.

• Tinjau, segarkan, dan uji rencana respons.

• Memetakan, mengaudit, dan menguji rantai pasokan.

• Buat “lembar ambil” dengan informasi penting di beberapa halaman.

• Libatkan profesional pihak ketiga – TI forensik dan hukum – sehingga mereka tersedia dalam keadaan darurat.

• Menyegarkan pelatihan bagi para wali dan pemangku kepentingan utama.

Tampaknya tidak ada tren yang jelas dalam target serangan ransomware, selain dikenakan terhadap organisasi yang memiliki sarana untuk membayar tuntutan dan akan menghadapi tekanan langsung (keuangan, reputasi, dan peraturan) untuk melanjutkan bisnis seperti biasa. Hal ini membuat skema pensiun, dan mereka yang beroperasi dalam manajemen dan rantai pasokan mereka, sangat rentan terhadap serangan.

Dalam wawasan terbaru ini kita melihat mengapa skema pensiun secara khusus terekspos, lanskap peraturan dan akuntabilitas wali amanat, dan mencakup cara-cara teknis dan praktis yang dapat disiapkan oleh skema, dan merencanakan tanggapan mereka terhadap, serangan yang tak terhindarkan.

Skema Pensiun sebagai target utama

Skema pensiun berada pada risiko tinggi menjadi sasaran serangan dari penjahat dunia maya karena beberapa faktor utama:

  • Mereka menyimpan sejumlah besar data berharga dan sensitif (termasuk data pribadi dan data skema) yang dapat dijual oleh penyerang di pasar gelap atau dienkripsi sebagai bagian dari permintaan tebusan.
  • Sangat penting bahwa skema dapat mempertahankan pembayaran mereka kepada penerima manfaat tanpa gangguan ini memberi tekanan pada skema untuk mematuhi serangan ransomware agar dapat beroperasi seperti biasa.
  • Relatif diketahui (dari beberapa survei industri) bahwa banyak skema sedang dipersiapkan. Penting untuk dipahami bahwa penjahat dunia maya sekarang “profesional”, melakukan penelitian terperinci mereka sendiri tentang siapa yang akan diserang dan sektor mana yang paling rentan.
  • Skema pensiun juga biasanya memiliki rantai pasokan yang kompleks, dengan administrasi yang signifikan dan layanan spesialis yang dialihdayakan. Hal ini menyebabkan sejumlah titik lemah dalam integrasi layanan dan sistem dan membuka kerentanan yang dapat dieksploitasi oleh penjahat dunia maya. Dari perspektif internal (dan untuk skema yang menjalankan lebih banyak fungsi internal), fungsi TI internal mungkin berada di bawah tekanan sumber daya, dan sistem mungkin ketinggalan zaman, yang menambah risiko eksposur.

Persyaratan peraturan

Tidak mengherankan, Pengatur Pensiun ( TPR ) memandang keamanan siber sebagai masalah risiko yang signifikan untuk skema pensiun dan pada Maret 2021 menetapkan harapan baru untuk wali dalam rancangan kode praktik tunggal . Ini dibangun di atas persyaratan tingkat yang lebih tinggi di bawah Undang-Undang Pensiun 2004 yang memberlakukan persyaratan hukum untuk membangun dan mengoperasikan sistem tata kelola dan kontrol internal yang efektif.

Sebagai contoh (dari daftar panjang persyaratan), rancangan kode etik mencakup harapan berikut pada badan pengatur skema untuk:

  • memiliki peran dan tanggung jawab yang jelas untuk mengidentifikasi risiko dan pelanggaran dunia maya, dan untuk menanggapi insiden dunia maya;
  • menilai, pada interval yang tepat, kerentanan terhadap insiden siber dari fungsi, sistem dan aset utama skema (termasuk aset data) dan kerentanan penyedia layanan yang terlibat dalam menjalankan skema;
  • pertimbangkan untuk mengakses keterampilan dan keahlian khusus untuk memahami dan mengelola risiko;
  • memelihara rencana respons insiden dunia maya untuk melanjutkan operasi dengan aman dan cepat; dan
    mengambil tindakan agar kebijakan dan pengendalian tetap efektif.

Dimasukkannya keamanan siber dalam rancangan kode praktik tunggal yang baru merupakan pergeseran dari posisi keamanan siber saat ini yang ditangani di bawah bimbingan TPR . Pengadilan atau tribunal harus mempertimbangkan ketentuan kode etik (tidak seperti dengan pedoman) ketika menentukan apakah wali telah memenuhi persyaratan hukum mereka. Diantisipasi bahwa draf kode praktik tunggal yang baru akan berlaku pada Musim Panas 2022. Badan-badan yang mengatur perlu melakukan tinjauan terhadap kebijakan keamanan siber mereka untuk memastikan mereka memenuhi harapan yang ditetapkan dalam kode tersebut.

Pada tingkat umum, wali amanat dan manajer skema diwajibkan oleh hukum untuk menetapkan dan mengoperasikan kontrol internal yang memadai untuk memastikan skema mereka dioperasikan sesuai dengan aturan skema dan persyaratan peraturan. Bagian penting dari persyaratan ini adalah memiliki kontrol, proses, dan kebijakan untuk mengidentifikasi dan mengelola risiko (termasuk risiko yang timbul dari perspektif keamanan siber).

Di samping pengawasan TPR, wali juga harus mematuhi kewajiban mereka di bawah undang-undang perlindungan data Inggris, termasuk kewajiban di bawah Peraturan Perlindungan Data Umum Inggris untuk memiliki kebijakan yang didokumentasikan dengan jelas dan menerapkan langkah-langkah teknis dan organisasi yang sesuai untuk memastikan tingkat keamanan yang sesuai dengan mempertaruhkan. Ini adalah kewajiban yang luas dan membebankan tugas untuk memastikan sistem internal dan eksternal terlindungi dengan kuat.

Jika terjadi serangan dunia maya, wali (dan berpotensi pengontrol data terhubung lainnya yang terpengaruh oleh pelanggaran) harus melaporkan pelanggaran data pribadi apa pun ke Kantor Komisaris Informasi (” ICO “), kecuali pelanggaran tersebut tidak mungkin mengakibatkan risiko terhadap hak dan kebebasan individu yang bersangkutan, dan dalam beberapa kasus mereka juga harus mengomunikasikan pelanggaran data pribadi kepada subjek data itu sendiri.

Perlu dicatat bahwa suatu insiden dapat dilaporkan bahkan jika data tidak diekstraksi atau dirilis secara publik akses tidak sah ke data pribadi merupakan pelanggaran data pribadi berdasarkan GDPR Inggris dan dapat memicu kewajiban pelaporan. Hukuman untuk ketidakpatuhan terhadap undang-undang perlindungan data dapat mencapai lebih dari 17,5 juta atau 4% dari total omset tahunan di seluruh dunia.