Regulación | Activar ahora
Los Requisitos de ciberseguridad del estado de Nueva York para empresas de servicios financieros, o 23 NYCRR Parte 500, entraron en vigor el 1 de marzo de 2017. Estos requisitos abordan una amplia gama de temas, desde cuestiones de políticas y gobernanza hasta métodos de seguridad.
Thales proporciona muchas de las soluciones necesarias para cumplir con estos requisitos.
Resumen de la regulación
Está diseñado para promover la protección de la información de los clientes, así como los sistemas de tecnología de la información de las entidades reguladas. Esta regulación requiere que cada empresa evalúe su perfil de riesgo específico y diseñe un programa que aborde sus riesgos de manera robusta. La alta dirección debe tomar este problema en serio y ser responsable del programa de ciberseguridad de la organización, además de presentar una certificación anual que confirme el cumplimiento de estas regulaciones. El programa de ciberseguridad de una entidad regulada debe garantizar la seguridad y solidez de la institución y proteger a sus clientes.
Es fundamental que todas las instituciones reguladas que aún no lo hayan hecho actúen con rapidez y urgencia para adoptar un programa de ciberseguridad y que todas las entidades reguladas se encuentren sujetas a estándares mínimos con respecto a sus programas. La cantidad de eventos cibernéticos aumenta de forma constantemente y las estimaciones del riesgo potencial para nuestra industria de servicios financieros son estrictas. La adopción del programa descrito en estas regulaciones es una prioridad para el estado de Nueva York.1
A continuación, presentamos extractos específicos de 23 NYCRR Parte 500 con los que Thales puede ayudar a su organización a cumplir
Cada entidad cubierta deberá ... incluir registros de auditoría diseñados para detectar y responder a Eventos de ciberseguridad que tengan una probabilidad razonable de dañar en forma material cualquier parte material de las operaciones normales de la Entidad cubierta.
Como parte de su programa de ciberseguridad, con base en la Evaluación de Riesgos de la Entidad Cubierta, cada Entidad Cubierta limitará los privilegios de acceso del usuario a los Sistemas de Información que brindan acceso a la Información No Pública y revisará periódicamente dichos privilegios de acceso.
El programa de ciberseguridad de cada Entidad Cubierta incluirá procedimientos escritos, pautas y estándares diseñados para garantizar el uso de prácticas de desarrollo seguras para aplicaciones desarrolladas internamente utilizadas por la Entidad Cubierta, así como procedimientos para evaluar, valorar o poner a prueba la seguridad de aplicaciones desarrolladas externamente utilizadas por la Entidad Cubierta en el contexto del entorno tecnológico de la Entidad Cubierta.
Cada Entidad Cubierta deberá implementar políticas y procedimientos escritos diseñados para garantizar la seguridad de los Sistemas de Información y la Información Privilegiada que son accesibles a, o mantenidos por, Proveedores de Servicios de Terceros.
Como parte de su programa de ciberseguridad, cada Entidad Cubierta deberá ... implementar políticas, procedimientos y controles basados en riesgos diseñados para monitorear la actividad de los Usuarios Autorizados y detectar el acceso no autorizado o el uso o la manipulación de la Información No Pública por parte de dichos Usuarios Autorizados ...
Como parte de su programa de ciberseguridad, con base en su Evaluación de Riesgos, cada Entidad Cubierta deberá implementar controles que incluyan el cifrado, para proteger la Información No Pública que la Entidad Cubierta tenga o transmita tanto en tránsito a través de redes externas como en reposo.
1https://www.governor.ny.gov/sites/governor.ny.gov/files/atoms/files/Cybersecurity_Requirements_Financial_Services
_23NYCRR500.pdf
Thales puede ayudarlo a cumplir con muchos de los requisitos para el 23 NYCRR Parte 500 por medio de las siguientes opciones:
CipherTrust Manager de Thales cuenta con auditorías e informes sólidos que se integran con los sistemas SIEM para detectar y responder a eventos de ciberseguridad que tienen una probabilidad razonable de dañar cualquier parte material de las operaciones normales de la empresa.
El administrador CipherTrust le permite a la organización limitar los privilegios de acceso de los usuarios a los sistemas de información que brindan acceso a información no pública.
CipherTrust Application Data Protection le permite a su organización cifrar archivos o columnas específicos en bases de datos, nodos de Big Data y entornos de plataforma como servicio (PaaS). El producto presenta un conjunto de APIs documentadas y basadas en estándares que se pueden utilizar para realizar operaciones criptográficas y de administración de claves en su ecosistema tecnológico.
Thales cuenta con productos y servicios de ciberseguridad especializados para empresas que utilizan servicios de nube pública y otros servicios de terceros. Estos incluyen la administración de claves de cifrado de múltiples nubes y la capacidad de llevar su propio cifrado a la nube.
La solución Vormetric Transparent Encryption de Thales protege los datos con cifrado de archivo y datos en reposo a nivel de volumen, controles de acceso y registro de auditorías de acceso sin volver a diseñar aplicaciones, bases de datos ni infraestructura. El empleo del software de cifrado de datos transparente es simple, rápido y escalable, con agentes instalados sobre el sistema de archivos en servidores o máquinas virtuales para aplicar las políticas de cumplimiento y seguridad de datos. La administración de las políticas y cifrado de claves se da por medio del CipherTrust Manager y enlaces.
Los cifradores de alta velocidad de Thales ofrecen cifrado de datos en movimiento independientes de la red (Capas 2, 3 y 4) asegurándose de que los datos estén protegidos conforme se trasladan de un centro a otro, o desde las instalaciones a la nube o viceversa. Nuestras soluciones de HSE les permiten a los clientes proteger mejor los datos, el video, la voz y los metadatos de la interceptación, la vigilancia y la intercepción abierta y encubierta, todo a un costo asequible y sin comprometer el rendimiento.
El RGPD es tal vez la norma de privacidad de datos más completa hasta la fecha. Afecta a cualquier organización que procese los datos personales de los ciudadanos de la UE, independientemente de la ubicación de la sede de la organización.
Cualquier organización que desempeñe un papel en el procesamiento de pagos con tarjetas de crédito y débito debe cumplir con los estrictos requisitos de cumplimiento de PCI DSS para el procesamiento, el almacenamiento y la transmisión de datos de cuentas.
Los países de todo el mundo han promulgado requisitos de notificación de brechas de datos tras la pérdida de información personal. Varían según la jurisdicción, pero casi siempre incluyen una cláusula de "safe harbour".