En el panorama digital en constante evolución, la ciberseguridad, especialmente en el sector financiero, es fundamental. Uno de los pasos más importantes para asegurar su futuro financiero consiste en comprender e implementar el Reglamento de Ciberseguridad del Departamento de Servicios Financieros del Estado de Nueva York (NYDFS), o "cumplimiento del NYDFS". Este Reglamento se creó para proteger a los consumidores y garantizar la seguridad y solidez del sector de servicios financieros del Estado de Nueva York. A continuación, encontrará una guía completa para ayudarle a comprender cómo lograr y mantener el cumplimiento del NYDFS.
Entendiendo el Cumplimiento del NYDFS
Los requisitos de ciberseguridad del NYDFS se establecieron en 2017 bajo la regulación 23 NYCRR 500. Estas normas exigen que las organizaciones que operan bajo la Ley Bancaria, la Ley de Seguros o la Ley de Servicios Financieros establezcan y mantengan un programa sólido de ciberseguridad. El programa debe estar diseñado para proteger los sistemas de información y la información no pública de la organización.
Requisitos básicos de cumplimiento del NYDFS
En esencia, existen varios requisitos específicos que cada institución financiera debe cumplir como parte del cumplimiento normativo del NYDFS. Estos incluyen:
- Programa de Ciberseguridad: Las instituciones financieras deben implementar un programa de ciberseguridad que permita identificar, evaluar, mitigar y gestionar eficazmente los riesgos de ciberseguridad. También debe habilitar una infraestructura defensiva e incluir políticas y procedimientos de ciberseguridad.
- Política de ciberseguridad: Debe existir una política de ciberseguridad detallada que aborde áreas como la seguridad de la información, la gobernanza de datos, la continuidad del negocio y la respuesta a incidentes, entre otras.
- Evaluación periódica de riesgos: Las organizaciones deben llevar a cabo un proceso de evaluación periódica de riesgos realizado al menos anualmente, el cual debe documentarse y revisarse periódicamente.
- CISO designado: se debe designar una persona calificada como Director de Seguridad de la Información (CISO) para supervisar e implementar el programa y la política de ciberseguridad de la organización.
Los requisitos mencionados son los elementos fundamentales para el cumplimiento del NYDFS. Sin embargo, las instituciones deben estar preparadas para adaptar y modificar sus programas de ciberseguridad con el tiempo para reflejar los cambios tecnológicos y las amenazas emergentes.
Mantener el cumplimiento
Cumplir con las normas del NYDFS requiere más que simplemente implementar los controles estipulados. A continuación, se presentan algunas maneras en que las instituciones pueden mantener el cumplimiento:
- Registros de auditoría: Para detectar y responder a eventos de ciberseguridad, las instituciones deben diseñar y mantener registros de auditoría eficaces. Estos registros deben mantenerse seguros durante al menos cinco años.
- Privilegios de acceso: Limitar los privilegios de acceso de los usuarios a la información no pública puede reducir significativamente el riesgo de un ciberataque exitoso.
- Personal e inteligencia de ciberseguridad: se debe utilizar personal de ciberseguridad adecuado, al que también se le debe brindar actualizaciones y capacitación periódicas para abordar las amenazas cambiantes de ciberseguridad.
- Autenticación multifactor: es necesario implementar controles de acceso seguros, incluida la autenticación multifactor (MFA), especialmente para personas que acceden a redes internas de forma remota.
- Cifrado: La información no pública debe cifrarse tanto "en reposo" como "en tránsito" como parte del programa de ciberseguridad de una entidad.
El papel de los proveedores de servicios externos en el cumplimiento del NYDFS
Las instituciones financieras deben implementar políticas y procedimientos diseñados para garantizar la seguridad de sus sistemas de información y de la información no pública accesible o en poder de proveedores de servicios externos. Estas políticas deben abordar evaluaciones de riesgos, prácticas mínimas de ciberseguridad, procesos de diligencia debida y evaluaciones periódicas de los proveedores de servicios externos. Esto garantiza un entorno de seguridad integral y a prueba de manipulaciones, protegiendo su futuro financiero.
En conclusión, el proceso de cumplimiento del NYDFS, aunque complejo, es esencial para proteger sus sistemas de información e información no pública, garantizando así un futuro financiero más seguro. Es importante establecer y mantener un programa integral de ciberseguridad, realizar evaluaciones de riesgos periódicas, limitar los privilegios de acceso y garantizar registros de auditoría sólidos. Al mantenerse informado sobre los requisitos de la normativa del NYDFS y adaptarse en consecuencia, puede guiar a su organización hacia mejores medidas de ciberseguridad, garantizando un sector financiero seguro y, en última instancia, un futuro financiero seguro.