Seja cibernético resiliente: realizar valor em uma seção 166 Pessoa qualificada Revisão

Risco cibernético e resiliência operacional são um foco crescente para a autoridade de conduta financeira (FCA) ou revisões prudenciais da Autoridade de Regulamentação (PRA) seção 166 (S166) 'Pessoa especializada'. Embora as organizações de serviços financeiros (FS) veem geralmente o S166 como uma sanção e até o sinal de fracasso, é importante lembrar que não é uma punição. Em vez disso, o objetivo principal é dar aos reguladores uma melhor compreensão das operações e da conformidade regulatória de uma organização como parte de seu desejo de manter padrões de qualidade em todo o setor. Além disso, a revisão do S166 pode oferecer uma oportunidade para fortalecer o entendimento e o controle sobre o de hoje, o de hoje Ameaças cibernéticas complexas e de mudança rápida. Portanto, aproveitando nossa experiência como pessoas qualificadas aprovadas pela FCA, como você pode lidar com a revisão do S166 e obter os benefícios da maneira mais eficaz?

O número de revisões da FCA S166 tem crescido nos últimos anos. Esse tipo de investigação independente é frequentemente associada a falhas na governança e conformidade em áreas como lavagem anti-dinheiro. Mas o gerenciamento de riscos cibernéticos e a resiliência operacional são agora um alvo cada vez mais comum para as revisões do S166. Sistema. À medida que as defesas cibernéticas e a resiliência operacional mais ampla são classificadas ao lado da justiça, a solidez financeira e as salvaguardas dos clientes na lista de prioridades da FCA, não é apenas a barra para proteção cibernética e prontidão incidente que está subindo, mas também a contabilidade de nível executivo. Os riscos cibernéticos são entendidos, sendo gerenciados de maneira eficaz e que o investimento cibernético reflete as exposições e a tolerância ao risco da organização. Os reguladores se envolvem quando não têm confiança de que esse é o caso.

The s166 focus on cyber security and operational resilience not only reflects the growing prevalence of cyberattacks and the fast-moving cyber threat landscape, but also the intensifying regulatory spotlight on safeguarding critical infrastructure, including the global financial system. 

The failed CrowdStrike update and resulting global systems outage in July 2024 underline how systemically critical operational resilience has become. As cyber defences and wider operational resilience come to rank alongside fairness, financial soundness and customer safeguards on the FCA’s list of priorities, it’s not just the bar for cyber protection and incident readiness that’s rising, but also executive-level accountability. 

Demonstrating cyber regulation compliance

O entendimento e a direção no nível executivo podem ser dificultados pela diversidade dos riscos, pelas dificuldades de garantir medição confiável e o jargão técnico nas avaliações de risco. Uma pergunta comum nas empresas com as quais trabalhamos é: "Nós realmente entendemos os riscos que enfrentamos e nossos planos os abordarão a um nível aceitável?". Se as equipes executivas estão achando difícil entender o risco cibernético e gerenciá -las com confiança suficiente, pode ser difícil demonstrar aos reguladores que o negócio está no topo dos riscos. Revisão. As principais perguntas que exploramos com os clientes incluem se eles identificaram os riscos certos e se seus planos de remediação abordam adequadamente essas exposições em potencial. Também analisamos se eles podem entregar planos de remediação na prática. Com base no nosso 

An s166 review: called in to investigate

This need to demonstrate that cyber risk management is up to scratch is an increasing trigger for s166 review. 

We’ve carried out s166 reviews following trigger events such as when a major cyber incident or penetration test reveals significant control failings. Key questions we explore with clients include whether they’ve identified the right risks and whether their remediation plans adequately address these potential exposures. We also look at whether they can deliver remediation plans in practice. Drawing on our Experiência de entrega do programa e NIST MELHOR PRÁTICA, podemos ajudar os clientes a fazer melhorias práticas simples para abordar essas questões e fortalecer a confiança do regulador, o que é regulamentado por uma resposta cibernética da organização e a resiliência operacional e o que é regulamentado, quando o que é regulamentado para a segurança da organização e a resiliência operacional. ataque de ransomware ou outro incidente. O regulador pode simplesmente querer saber mais sobre a eficácia das avaliações de ameaças, gerenciamento de riscos e linhas de relatórios até a equipe executiva e o conselho. Em um exemplo típico, a FCA ou PRA pode exigir uma revisão do S166, porque certos indicadores de risco não estão melhorando, apesar do investimento considerável. Mas, como encontramos em nossas investigações, o problema pode não ser salvaguardas insuficientes, mas a falta de relatórios claros e facilmente compreensíveis que tornam uma organização incapaz de demonstrar o progresso que está sendo feito. Nossas recomendações resultantes, portanto, centraram-se em como garantir que os riscos cibernéticos sejam claramente definidos, gerenciados adequadamente e suficientemente inteligíveis para as partes interessadas em nível executivo. Então, como uma organização FS, como você pode transformar esse escrutínio regulatório em sua vantagem? Três prioridades se destacam:

When we’re asked to provide a skilled person investigation and report, it’s not always in response to a hack, ransomware attack or other incident. The regulator might simply want to know more about the effectiveness of the threat assessments, risk management and reporting lines up to the executive team and Board. In a typical example, the FCA or PRA might call for a s166 review because certain risk indicators aren’t improving despite considerable investment. But as we’ve found in our investigations, the problem may not be insufficient safeguards, but a lack of clear, readily understandable reporting that renders an organization unable to demonstrate the progress being made. Our resulting recommendations have therefore centred on how to ensure cyber risks are clearly defined, appropriately managed and sufficiently intelligible for executive-level stakeholders. 

Turning a s166 investigation to your advantage 

What these investigations show is that while s166 reviews are demanding, they can still be beneficial. So as an FS organisation, how can you turn this regulatory scrutiny to your advantage? Three priorities stand out: