Regulación de ciberseguridad NYDFS

Resumen de la regulación

Regulación de los requisitos de ciberseguridad del Departamento de Servicios Financieros del Estado de Nueva York para las empresas de servicios financieros:

Está diseñado para promover la protección de la información de los clientes, así como los sistemas de tecnología de la información de las entidades reguladas. Esta regulación requiere que cada empresa evalúe su perfil de riesgo específico y diseñe un programa que aborde sus riesgos de manera robusta. La alta dirección debe tomar este problema en serio y ser responsable del programa de ciberseguridad de la organización, además de presentar una certificación anual que confirme el cumplimiento de estas regulaciones. El programa de ciberseguridad de una entidad regulada debe garantizar la seguridad y solidez de la institución y proteger a sus clientes.

Es fundamental que todas las instituciones reguladas que aún no lo hayan hecho actúen con rapidez y urgencia para adoptar un programa de ciberseguridad y que todas las entidades reguladas se encuentren sujetas a estándares mínimos con respecto a sus programas. La cantidad de eventos cibernéticos aumenta de forma constantemente y las estimaciones del riesgo potencial para nuestra industria de servicios financieros son estrictas. La adopción del programa descrito en estas regulaciones es una prioridad para el estado de Nueva York.1

A continuación, presentamos extractos específicos de 23 NYCRR Parte 500 con los que Thales puede ayudar a su organización a cumplir

Sección 500.06 Registro de auditoría

Cada entidad cubierta deberá ... incluir registros de auditoría diseñados para detectar y responder a Eventos de ciberseguridad que tengan una probabilidad razonable de dañar en forma material cualquier parte material de las operaciones normales de la Entidad cubierta.

Sección 500.07 Privilegios de acceso

Como parte de su programa de ciberseguridad, con base en la Evaluación de Riesgos de la Entidad Cubierta, cada Entidad Cubierta limitará los privilegios de acceso del usuario a los Sistemas de Información que brindan acceso a la Información No Pública y revisará periódicamente dichos privilegios de acceso.

Sección 500.08 Seguridad de la aplicación

El programa de ciberseguridad de cada Entidad Cubierta incluirá procedimientos escritos, pautas y estándares diseñados para garantizar el uso de prácticas de desarrollo seguras para aplicaciones desarrolladas internamente utilizadas por la Entidad Cubierta, así como procedimientos para evaluar, valorar o poner a prueba la seguridad de aplicaciones desarrolladas externamente utilizadas por la Entidad Cubierta en el contexto del entorno tecnológico de la Entidad Cubierta.

Sección 500.11 Política de seguridad para proveedores de servicios de terceros

Cada Entidad Cubierta deberá implementar políticas y procedimientos escritos diseñados para garantizar la seguridad de los Sistemas de Información y la Información Privilegiada que son accesibles a, o mantenidos por, Proveedores de Servicios de Terceros.

Sección 500.14 Capacitación y monitoreo

Como parte de su programa de ciberseguridad, cada Entidad Cubierta deberá ... implementar políticas, procedimientos y controles basados en riesgos diseñados para monitorear la actividad de los Usuarios Autorizados y detectar el acceso no autorizado o el uso o la manipulación de la Información No Pública por parte de dichos Usuarios Autorizados ...

Sección 500.15 Cifrado de información no pública

Como parte de su programa de ciberseguridad, con base en su Evaluación de Riesgos, cada Entidad Cubierta deberá implementar controles que incluyan el cifrado, para proteger la Información No Pública que la Entidad Cubierta tenga o transmita tanto en tránsito a través de redes externas como en reposo.

¹https://www.governor.ny.gov/sites/governor.ny.gov/files/atoms/files/Cybersecurity_Requirements_Financial_Services
_23NYCRR500.pdf

Resumen del cumplimiento

Thales puede ayudarlo a cumplir con muchos de los requisitos para el 23 NYCRR Parte 500 por medio de las siguientes opciones:

Sección 500.06 Registro de auditoría

CipherTrust Manager de Thales cuenta con auditorías e informes sólidos que se integran con los sistemas SIEM para detectar y responder a eventos de ciberseguridad que tienen una probabilidad razonable de dañar cualquier parte material de las operaciones normales de la empresa.

Sección 500.07 Privilegios de acceso

El administrador CipherTrust le permite a la organización limitar los privilegios de acceso de los usuarios a los sistemas de información que brindan acceso a información no pública.

Sección 500.08 Seguridad de la aplicación

CipherTrust Application Data Protection le permite a su organización cifrar archivos o columnas específicos en bases de datos, nodos de Big Data y entornos de plataforma como servicio (PaaS). El producto presenta un conjunto de APIs documentadas y basadas en estándares que se pueden utilizar para realizar operaciones criptográficas y de administración de claves en su ecosistema tecnológico.

Sección 500.11 Política de seguridad para proveedores de servicios de terceros

Thales cuenta con productos y servicios de ciberseguridad especializados para empresas que utilizan servicios de nube pública y otros servicios de terceros. Estos incluyen la administración de claves de cifrado de múltiples nubes y la capacidad de llevar su propio cifrado a la nube.

Sección 500.15 Cifrado de información no pública

La solución Vormetric Transparent Encryption de Thales protege los datos con cifrado de archivo y datos en reposo a nivel de volumen, controles de acceso y registro de auditorías de acceso sin volver a diseñar aplicaciones, bases de datos ni infraestructura. El empleo del software de cifrado de datos transparente es simple, rápido y escalable, con agentes instalados sobre el sistema de archivos en servidores o máquinas virtuales para aplicar las políticas de cumplimiento y seguridad de datos. La administración de las políticas y cifrado de claves se da por medio del CipherTrust Manager y enlaces.

Los cifradores de alta velocidad de Thales ofrecen cifrado de datos en movimiento independientes de la red (Capas 2, 3 y 4) asegurándose de que los datos estén protegidos conforme se trasladan de un centro a otro, o desde las instalaciones a la nube o viceversa. Nuestras soluciones de HSE les permiten a los clientes proteger mejor los datos, el video, la voz y los metadatos de la interceptación, la vigilancia y la intercepción abierta y encubierta, todo a un costo asequible y sin comprometer el rendimiento.