CIBERSEGURIDAD, DE NUEVA YORK PARA EL MUNDO… ¿QUÉ ES LA 23 NYCRR 500?
Por Gonzalo Vila, CFCS
Director de América Latina
Asociación de Especialistas Certificados en Delitos Financieros
ACFCS
Hace muy poco, y por obligación del Departamento de Servicios Financieros de Nueva York (DFS por sus siglas en inglés), entraron en vigencia un conjunto de obligaciones en materia de ciberseguridad conocido como Sección 500 del Título 23 de los códigos, reglas y regulaciones de Nueva York (23 NYCRR 500) que todas las entidades supervisadas por la agencia neoyorquina deben cumplir.
Estas obligaciones sirven de alguna manera de guía para toda y cualquier organización como mejores prácticas para reforzar los controles y defensas en materia de protección cibernéticas. A continuación, un resumen de los puntos más relevantes de esta obligación legal para los sujetos obligados en NY, que como buena práctica pueden ser imitados por compañías en todo el mundo que, aunque todavía no estén reguladas en esta materia, busquen reforzar sus estructuras para protegerse mejor de ese inminente ataque.
El 23 NYCRR 500 estipula que todas las entidades que operan bajo licencia, registro o estatuto del DFS deben presentar una certificación de cumplimiento que indique que cumplen con los requisitos. Ya sea con sede en Nueva York o no, las organizaciones que llevan a cabo información comercial o de alojamiento (entidades cubiertas) relacionadas con las industrias bancarias, de seguros y de servicios financieros de Nueva York deben cumplir con estas regulaciones. La regulación indica que las empresas financieras tienen que informarle al DFS de cualquier incidente de ciberseguridad en un corto plazo de tiempo.
La normativa define distintas políticas que los sujetos obligados deben implementar en línea con un plan de ciberseguridad robusto liderado que se encargará de revisar los procesos de seguridad de la información y el mantenimiento los mismos. Las compañías deben contar con controles efectivos para prevenir accesos no autorizados a información.
Establecer un programa de ciberseguridad
El programa de seguridad cibernética se basará en la evaluación de riesgos del sujeto obligado y estará diseñado para realizar las siguientes funciones básicas de seguridad cibernética:
— identificar y evaluar los riesgos de ciberseguridad internos y externos que pueden amenazar la seguridad o la integridad de la información no pública almacenada en los sistemas de información del sujeto obligado;
— usar la infraestructura defensiva y la implementación de políticas y procedimientos para proteger los sistemas de información del sujeto obligado, y la Información No Pública almacenada en esos Sistemas de Información, de acceso no autorizado, uso u otros actos maliciosos;
— detectar incidentes de ciberseguridad;
— responder a los incidentes de seguridad cibernética identificados o detectados;
— recuperarse de incidentes de Ciberseguridad y restaurar operaciones y servicios normales; y
— cumplir con las obligaciones de informes regulatorios aplicables.
- Un sujeto obligado puede cumplir con estos requisitos de ciberseguridad adoptando las disposiciones pertinentes y aplicables de un programa de seguridad cibernética mantenido por una filial.
Adoptar política de ciberseguridad
Cada sujeto obligado deberá implementar y mantener una política escrita, aprobadas por un alto directivo o la junta directiva del sujeto obligado (o un comité apropiado de la misma) o un órgano de gobierno equivalente, estableciendo las políticas y procedimientos del sujeto obligado para la protección de sus sistemas de información y administración de Información no pública almacenados en esos sistemas de información. La política de ciberseguridad se basará en la evaluación de riesgos del sujeto obligado y abordará distintas áreas en la medida que sea aplicable a las operaciones del sujeto obligado:
- seguridad de la Información
- gobernanza y clasificación de datos
- inventario de activos y administración de dispositivos
- controles de acceso y gestión de identidad
- continuidad del negocio y planificación de recuperación de desastres y recursos
- operaciones de sistemas y problemas de disponibilidad
- sistemas y seguridad de la red
- sistemas y monitoreo de red
- sistemas y desarrollo de aplicaciones y garantía de calidad
- seguridad física y controles ambientales
- privacidad de los datos del cliente
- administración de proveedores y terceros
- evaluación de riesgos
- respuesta ante incidents
Designar a oficiales de cumplimiento (CISO)
Cada sujeto obligado designará a una persona calificada responsable de supervisar e implementar el programa de seguridad cibernética del sujeto obligado y hacer cumplir su política de seguridad cibernética. El CISO puede ser empleado por el Sujeto obligado, uno de sus Afiliados o un Proveedor de Servicios. En la medida en que este requisito se cumpla utilizando un tercero o un afiliado, el sujeto obligado deberá:
— retener la responsabilidad del cumplimiento;
— designar a un alto ejecutivo del sujeto obligado responsable de la dirección y supervisión del proveedor de servicios; y
— requerir al proveedor de servicios que mantenga un programa de seguridad cibernética que proteja al sujeto obligado de acuerdo con sus obligaciones.
- REPORTAR. El CISO de cada Sujeto obligado informará por escrito al menos anualmente a la junta Directiva del sujeto obligado o al cuerpo de gobierno equivalente. Si no existe dicha junta directiva u órgano de gobierno equivalente, dicho informe se presentará oportunamente a un funcionario superior del sujeto obligado responsable del programa de seguridad cibernética del sujeto obligado. El CISO informará sobre el programa de ciberseguridad del sujeto obligado y los riesgos materiales de ciberseguridad. El CISO considerará, en la medida aplicable:
— la confidencialidad de la información no pública y la integridad y seguridad de los sistemas de información del sujeto obligado;
— las políticas y procedimientos de seguridad cibernética del sujeto obligado;
— riesgos materiales de ciberseguridad para el sujeto obligado;
— efectividad general del programa de ciberseguridad del sujeto obligado; y
— Eventos de Ciberseguridad que involucren a la Sujeto obligado durante el período de tiempo abordado por el reporte.
Encriptar datos confidenciales tanto en tránsito como en reposo
Como parte de su programa de ciberseguridad, basado en su evaluación de riesgos, cada sujeto obligado implementará controles, incluido el cifrado, para proteger la información no pública mantenida o transmitida por el sujeto obligado tanto en tránsito a través de redes externas como en reposo.
- En la medida en que un sujeto obligado determine que el cifrado de información no pública en tránsito a través de redes externas o en reposo no sea factible, el sujeto obligado puede proteger dicha información no pública utilizando controles compensatorios alternativos efectivos revisados y aprobados por el CISO del sujeto obligado.
- En la medida en que un sujeto obligado esté utilizando otros controles, la viabilidad del cifrado y la efectividad de los controles de compensación serán revisados por el CISO al menos anualmente.
Gestionar proveedores de servicios / terceros
Cada sujeto obligado implementará políticas y procedimientos escritos diseñados para determinar los sistemas de información y la información no pública a la que puedan acceder, o pueda estar en poder de terceros proveedores de servicios.
Dichas políticas y procedimientos se basarán en la evaluación de riesgos del sujeto obligado y abordarán en la medida aplicable:
- la identificación y evaluación de riesgos de terceros proveedores de servicios;
- las prácticas mínimas de ciberseguridad que deben cumplir dichos proveedores de servicios para que puedan hacer negocios con el sujeto obligado;
- procesos de debida diligencia utilizados para evaluar la idoneidad de las prácticas de ciberseguridad de dichos proveedores de servicios de terceros; y
- evaluación periódica de dichos proveedores de servicios de terceros en función del riesgo que presentan y la adecuación continua de sus prácticas de ciberseguridad.