Che cos'è il regolamento sulla sicurezza informatica del NYDFS?
Il regolamento sulla sicurezza informatica del NYDFS è un insieme di regolamenti del Dipartimento dei servizi finanziari di New YorkQuesta legislazione impone requisiti di sicurezza informatica a tutti gli istituti finanziari che operano a New YorkStabilisce che tutte le società regolamentate da DFS dovrebbero disporre di piani e politiche di sicurezza informatica e mantenere sistemi di segnalazione dettagliati per gli eventi di sicurezza informatica
Lo scopo principale di questo regolamento è proteggere le informazioni private sensibili che possono essere utilizzate per identificare le personeContinua a leggere questa pagina e scopri gli aspetti più importanti del regolamento sulla sicurezza informatica del NYDFS, gli istituti finanziari interessati e le sanzioni in caso di non conformità
Chi sono le entità interessate dal regolamento sulla sicurezza informatica del NYDFS?
Quando si tratta di entità sotto NYDFS, questa legislazione definisce con precisione tutti i soggetti che rientrano in questo regolamentoL'elenco NYDFS include i seguenti tipi di attività:
- Banche statali
- Banchieri privati
- Prestatori autorizzati
- Compagnie assicurative
- Fornitori di servizi
- Società di mutui
- Banche estere con licenza per operare a New York
Se eseguiamo un rapido riepilogo di questo elenco di entità ai sensi del NYFDS, possiamo vedere che gli istituti finanziari coperti includono tutti gli individui, i gruppi o le società che operano legalmente ai sensi delle leggi sui servizi finanziari di New YorkQuesto elenco copre solo le grandi categorie di attività commerciali, ma è possibile trovare un elenco completo e dettagliato sul sito Web ufficiale di DFSDetto questo, ci sono esenzioni al regolamento sulla sicurezza informatica del NYDFS, che includono:
- Aziende con meno di dieci dipendenti;
- Aziende con entrate annue lorde pari o inferiori a 5 milioni di dollari dalle loro operazioni a New York in ciascuno dei tre anni precedenti;
- Aziende con un patrimonio di fine anno inferiore a 10 milioni di dollari;
- Gruppi di rischio caritatevoli e stranieri che operano a New York
Quali sono i componenti chiave del regolamento sulla sicurezza informatica del NYDFS?
Proprio come il ben noto GDPR, il regolamento sulla sicurezza informatica del NYDFS è stato implementato in più fasi per consentire a ogni azienda di sviluppare un piano di risposta agli incidenti efficace per tutti i possibili eventi di sicurezza informaticaCi sono state un totale di quattro fasi nell'implementazione del regolamento sulla sicurezza informatica del NYDFS:
- La prima fase - La prima fase è entrata in vigore il 18 febbraio 2018Comprendeva pratiche come la pianificazione della capacità e delle prestazioni, la sicurezza dei sistemi informativi, la sicurezza sistemica e della rete e la valutazione periodica del rischio, tra le altre disposizioniLe entità coperte devono segnalare eventuali violazioni dei dati che hanno una ragionevole probabilità di causare danni materiali
- La seconda fase - La fase successiva è entrata in vigore il 1° marzo dello stesso annoSi concentra principalmente sui Chief Information Security Officer, ai quali richiede di preparare relazioni annuali che includano le politiche e le procedure di sicurezza informatica dell'azienda, l'efficacia delle misure attuali e i possibili rischi di sicurezza informatica
- La terza fase - Attuata il 3 settembre 2018, la terza fase era incentrata sulla funzionalità dei programmi di sicurezza informatica delle entità coperteEntro la fine della terza fase, ogni azienda dovrebbe mantenere un database dettagliato dei propri audit trail e recordLa terza fase richiede inoltre a tutte le entità interessate di continuare a valutare le vulnerabilità, investire nella sicurezza dei dati e creare un'infrastruttura difensiva nell'ambito dei test di valutazione del rischio precedentemente completati
- La quarta fase - La quarta e ultima fase è entrata in vigore il 1° marzo 2019Entro tale data, le entità interessate dovrebbero soddisfare tutti i suddetti requisiti di sicurezza informatica e disporre di adeguate prassi in materia di privacyDovrebbero inoltre sviluppare una politica di gestione del rischio scritta e includere un quadro di valutazione del rischio di terze parti
Oltre alle misure contemplate nelle quattro fasi di cui sopra, ci sono anche alcuni requisiti aggiuntiviQuesti includono l'autenticazione a più fattori per tutte le entità coperte, i test di penetrazione per la valutazione del rischio, l'uso del principio del privilegio minimo e l'uso di personale di sicurezza informatica qualificato e continuamente formato
Come funziona il regolamento sulla sicurezza informatica del NYDFS?
Le quattro fasi sopra elencate coprono l'intero processo che ogni azienda deve intraprenderePer dirla semplicemente, il regolamento sulla sicurezza informatica del NYDFS richiede a ogni organizzazione di eseguire una valutazione del rischio e sviluppare un piano di risposta agli incidenti per vari eventi di sicurezza informaticaCiò include, come minimo, i seguenti aspetti specifici:
- Valutazioni del rischio - Condotte periodicamente per valutare l'integrità, la sicurezza, la riservatezza e la disponibilità dell'infrastruttura IT dell'azienda e delle informazioni di identificazione personale
- Audit trail - I registri dovranno essere conservati per cinque anniIl loro scopo principale è registrare e rispondere agli eventi di sicurezza informatica
- Limiti alla conservazione dei dati - Le aziende sono tenute a sviluppare procedure per l'eliminazione sicura delle informazioni di identificazione personale che non sono più necessarie per scopi aziendali
- Piano di risposta agli incidenti - Crea piani scritti e documenta i processi interni per rispondere a diversi eventi di sicurezza informaticaInclude ruoli e responsabilità, piani di comunicazione e qualsiasi altro rimedio necessario
- Privilegi di accesso - Limitare rigorosamente i privilegi di accesso alle informazioni di identificazione personale dell'utente ed eseguire periodicamente controlli su tali privilegi
- Notifiche al sovrintendente - Notifiche al Dipartimento dei servizi finanziari entro 7 ore dal rilevamento di un evento di sicurezza informatica
Regolamenti sulla sicurezza informatica di New York Sanzioni per non conformità
Sebbene il mancato rispetto del regolamento sulla sicurezza informatica del NYDFS possa inevitabilmente comportare multe, sanzioni e costi legali significativi, gli importi esatti delle sanzioni non sono indicati nel regolamentoQuesto è un po' frustrante, in quanto fa sentire le aziende che il Dipartimento dei servizi finanziari non è interessato a stabilire una comunicazione chiara
Se dovessi cercare sanzioni precise del regolamento sulla sicurezza informatica del NYDFS per la non conformità, troverai semplicemente una dichiarazione che le multe per la non conformità verranno calcolateCon questo in mente, la mancanza di informazioni precise quando si tratta di sanzioni non significa che si debbano ignorare le norme imposte da questa legislazione, poiché il regolamento sulla sicurezza informatica del NYDFS è ora in pieno vigore
Lista di controllo per la conformità al regolamento sulla sicurezza informatica del NYDFS
Poiché il regolamento sulla sicurezza informatica del NYDFS è in pieno vigore, ogni organizzazione che rientra nei criteri definiti deve soddisfare i requisiti elencati nell'elenco di controllo della conformitàPer conformarsi al regolamento NYDFS, le organizzazioni devono:
- Valutare se la loro attività è classificata come coperta da questo regolamento sulla sicurezza informatica
- Riunire un team sotto il CISO responsabile della gestione quotidiana della conformità al regolamento
- Eseguire una valutazione del rischio per identificare eventi e minacce di sicurezza informatica e comprenderne il profilo di rischio
- Investi nella gestione continua del rischio
Nonostante le preoccupazioni che questo regolamento possa essere troppo rigido e complicato da rispettare, fornisce un meccanismo affidabile che può mantenere il controllo delle aziende e salvaguardare le informazioni sensibili degli utentiÈ un regolamento positivo che contribuirà indubbiamente a migliorare la resilienza informatica globale in futuro
Detto questo, lavorare sulla valutazione del rischio e su tutti gli altri eventi di sicurezza informatica con un'azienda esperta di sicurezza informatica può fare molto per garantire la conformità al regolamento sulla sicurezza informatica del NYDFSGli esperti di sicurezza informatica possono aiutarti a proteggere i tuoi dati in modo più efficiente e prevenire e monitorare eventuali vulnerabilità della sicurezza
Se stai cercando una soluzione di sicurezza informatica pronta per rafforzare la conformità, dai un'occhiata a Hideez Enterprise Solution o programma una demo gratuita: