icon

Regulación de ciberseguridad del NYDFS y cumplimiento del NYDFS

¿Qué es el Reglamento de ciberseguridad del NYDFS?

NYDFS Cybersecurity Regulation

La Regulación de Ciberseguridad del NYDFS es un conjunto de regulaciones del Departamento de Servicios Financieros de Nueva York.Esta legislación impone requisitos de ciberseguridad a todas las instituciones financieras que operan en Nueva YorkEstipula que todas las empresas reguladas por el DFS deben tener planes y políticas de seguridad cibernética y mantener sistemas de informes detallados para eventos de seguridad cibernética.

El objetivo principal de esta regulación es proteger la información privada confidencial que se puede usar para identificar a las personas.Continúe leyendo esta página y conozca los aspectos más importantes de la Regulación de Seguridad Cibernética del NYDFS, las instituciones financieras cubiertas y las sanciones por incumplimiento

¿Quiénes son las Entidades Cubiertas bajo el Reglamento de Seguridad Cibernética del NYDFS?

Cuando se trata de entidades bajo NYDFS, esta legislación define con precisión todos los sujetos que caen bajo esta regulaciónLa lista del NYDFS incluye los siguientes tipos de negocios:

  • Bancos autorizados por el estado
  • Banqueros privados
  • Prestamistas autorizados
  • Compañías de seguros
  • Proveedores de servicios
  • Compañías hipotecarias
  • Bancos extranjeros con licencia para operar en NY

Si hacemos un resumen rápido de esta lista de entidades bajo NYFDS, podemos ver que las instituciones financieras cubiertas incluyen a todos los individuos, grupos o corporaciones que operan legalmente bajo las leyes de servicios financieros de Nueva York.Esta lista cubre solo las categorías amplias de empresas, pero puede encontrar una lista completa y detallada en el sitio web oficial del DFSDicho esto, existen exenciones a la Regulación de Ciberseguridad del NYDFS, que incluyen:

  • Empresas con menos de diez empleados;
  • Empresas con ingresos brutos anuales de $5 millones o menos de sus operaciones en Nueva York en cada uno de los tres años anteriores;
  • Empresas con menos de $10 millones en activos al final del año;
  • Grupos benéficos y de riesgos extranjeros que operan en Nueva York

¿Cuáles son los componentes clave de la regulación de seguridad cibernética del NYDFS?

Al igual que el ampliamente conocido RGPD, el Reglamento de Ciberseguridad del NYDFS se implementó en varias fases para permitir que cada empresa desarrolle un plan de respuesta a incidentes efectivo para todos los posibles eventos de ciberseguridad.Hubo un total de cuatro etapas en la implementación de la regulación del Reglamento de Seguridad Cibernética del NYDFS:

  • La primera fase - La primera fase entró en vigor el 18 de febrero de 2018Abarcó prácticas como la planificación de la capacidad y el desempeño, la seguridad de los sistemas de información, la seguridad sistémica y de la red, y la evaluación periódica de riesgos, entre otras disposiciones.Las entidades cubiertas deben informar cualquier violación de datos que tenga una probabilidad razonable de causar daños materiales.
  • La segunda fase - La siguiente fase entró en vigor el 1 de marzo del mismo añoSe enfoca principalmente en los Directores de Seguridad de la Información, a quienes se les exige que preparen informes anuales que incluyan las políticas y procedimientos de ciberseguridad de la empresa, la efectividad de las medidas actuales y los posibles riesgos de ciberseguridad.
  • La Tercera Fase - Implementada el 3 de septiembre de 2018, la tercera fase se centró en la funcionalidad de los programas de ciberseguridad de las entidades cubiertasAl final de la tercera fase, cada empresa debe mantener una base de datos detallada de sus registros y registros de auditoría.La tercera fase también requiere que todas las entidades cubiertas continúen evaluando las vulnerabilidades, inviertan en la seguridad de los datos y creen una infraestructura defensiva bajo las pruebas de evaluación de riesgos previamente completadas.
  • La Cuarta Fase - La cuarta y última fase entró en vigor el 1 de marzo de 2019Para esta fecha, las entidades cubiertas deben cumplir con todos los requisitos de seguridad cibernética mencionados anteriormente y tener prácticas de privacidad adecuadas establecidas.También deben desarrollar una política de gestión de riesgos por escrito e incluir un marco de evaluación de riesgos de terceros.

Además de las medidas cubiertas en las cuatro fases anteriores, también hay algunos requisitos adicionalesEstos incluyen autenticación de múltiples factores para todas las entidades cubiertas, pruebas de penetración para la evaluación de riesgos, uso del principio de privilegio mínimo y uso de personal de seguridad cibernética calificado y capacitado continuamente.

¿Cómo funciona la regulación de ciberseguridad del NYDFS?

Las cuatro fases que enumeramos anteriormente cubren todo el proceso que toda empresa debe emprenderEn pocas palabras, el Reglamento de seguridad cibernética del NYDFS requiere que cada organización realice una evaluación de riesgos y desarrolle un plan de respuesta a incidentes para varios eventos de seguridad cibernética.Esto incluye, como mínimo, los siguientes aspectos específicos:

  • Evaluaciones de riesgo : realizadas periódicamente para evaluar la integridad, seguridad, confidencialidad y disponibilidad de la infraestructura de TI de la empresa y la información de identificación personal
  • Pistas de auditoría : los registros deberán mantenerse durante cinco añosSu propósito principal es registrar y responder a eventos de ciberseguridad.
  • Limitaciones en la retención de datos : las empresas deben desarrollar procedimientos para la eliminación segura de la información de identificación personal que ya no es necesaria para fines comerciales.
  • Plan de respuesta a incidentes : cree planes escritos y documente los procesos internos para responder a diferentes eventos de ciberseguridadIncluye roles y responsabilidades, planes de comunicación y cualquier otra remediación según sea necesario.
  • Privilegios de acceso : limite estrictamente los privilegios de acceso a la información de identificación personal del usuario y verifique periódicamente estos privilegios.
  • Avisos al Superintendente - Notificaciones al Departamento de Servicios Financieros dentro de las 7 horas posteriores a la detección de un evento de ciberseguridad

Sanciones por incumplimiento de las normas de ciberseguridad de Nueva York

Aunque el incumplimiento del Reglamento de seguridad cibernética del NYDFS puede conducir inevitablemente a multas, sanciones y costos legales significativos, los montos exactos de las sanciones no se indican en el reglamento.Esto es un poco frustrante, ya que hace que las empresas sientan que el Departamento de Servicios Financieros no está interesado en establecer una comunicación clara.

Si tuviera que buscar sanciones precisas del Reglamento de seguridad cibernética del NYDFS por incumplimiento, simplemente encontraría una declaración de que se calcularán las multas por incumplimiento.Con eso en mente, la falta de información precisa cuando se trata de sanciones no significa que deba ignorar las regulaciones impuestas por esta legislación, ya que la Regulación de Ciberseguridad del NYDFS ahora está en pleno vigor.

Lista de verificación de cumplimiento de la normativa de seguridad cibernética del NYDFS

Dado que el Reglamento de seguridad cibernética del NYDFS está en plena vigencia, cada organización que se ajuste a los criterios definidos debe cumplir con los requisitos enumerados en la lista de verificación de cumplimiento.Para cumplir con la regulación NYDFS, las organizaciones deben:

  • Evaluar si su negocio está clasificado como cubierto por esta regulación de ciberseguridad
  • Reúna un equipo bajo el CISO responsable de la gestión diaria del cumplimiento de la normativa
  • Realizar una evaluación de riesgos para identificar eventos de ciberseguridad, amenazas y comprender su perfil de riesgo
  • Invierta en la gestión continua de riesgos

A pesar de las preocupaciones de que esta regulación podría ser demasiado sólida y complicada de cumplir, proporciona un mecanismo confiable que puede mantener el control de las empresas y salvaguardar la información confidencial del usuario.Es una regulación bienvenida que sin duda ayudará a mejorar la resiliencia cibernética global en el futuro.

Dicho esto, trabajar en la evaluación de riesgos y todos los demás eventos de ciberseguridad con una empresa experta en ciberseguridad puede contribuir en gran medida a garantizar el cumplimiento de la Regulación de ciberseguridad del NYDFS.Los expertos en ciberseguridad pueden ayudarlo a proteger sus datos de manera más eficiente y prevenir y monitorear cualquier vulnerabilidad de seguridad.

Si está buscando una solución de ciberseguridad lista para fortalecer el cumplimiento, consulte Hideez Enterprise Solution o programe una demostración gratuita: