Ciberseguridad de los servicios financieros: el DFS de Nueva York y el NIST se alinean en la autenticación de múltiples factores
El Departamento de Servicios Financieros del Estado de Nueva York (DFS) regula más de 1.400 compañías de seguros y aproximadamente 1.500 bancos e instituciones financieras1. No es de extrañar que, siendo Nueva York la "capital financiera del mundo", la inmensa mayoría de las instituciones financieras estadounidenses y muchas instituciones internacionales que operan en Nueva York estén sujetas a la regulación del DFS.
Dada la generalización de los ciberataques a las instituciones financieras estadounidenses, el DFS publicó sus Requisitos de Ciberseguridad para Empresas de Servicios Financieros. Algunos de los requisitos entraron en vigor a finales de 2017, mientras que otros se aplazaron bajo un periodo de transición. Como uno de los 16 sectores de infraestructuras críticas definidos por el Departamento de Seguridad Nacional de Estados Unidos², la industria de los servicios financieros ha recurrido desde entonces a los sectores de la gestión de la identidad y el acceso, y de la ciberseguridad, en busca de orientación.
Muchas de las disposiciones del reglamento del DFS entran en vigor más o menos al mismo tiempo que el Instituto Nacional de Normas y Tecnología (NIST) finalizará el Marco para la Mejora de la Ciberseguridad de las Infraestructuras Críticas, versión 1.1.
Según el NIST, la versión 1.1 del Marco de Ciberseguridad "ha añadido una subcategoría para abordar la autenticación y se han introducido algunas mejoras en el lenguaje dentro de la categoría de gestión de la identidad y control del acceso".
El reglamento del DFS incluye 22 disposiciones separadas que abarcan políticas, procedimientos y aplicación que requieren que las organizaciones de servicios financieros protejan mejor los datos. En esta entrada, hablo de dos de sus disposiciones: la autenticación multifactor y la seguridad de las aplicaciones.
Marco de ciberseguridad, sección 500.12: Autenticación de múltiples factores (Fecha de entrada en vigor: 1 de marzo de 2018)
Sobre la base de una evaluación de riesgos, se deben implementar controles eficaces para proteger contra el acceso no autorizado a la información no pública o a los sistemas de información. Los controles pueden incluir la autenticación multifactor (MFA) o la autenticación basada en el riesgo. En resumen, la AMF debe utilizarse cuando se accede a las redes internas desde una red externa, a menos que el CISO haya dado su aprobación por escrito para utilizar controles de acceso razonablemente equivalentes o más seguros.
Como se menciona en CSOonline, aunque el reglamento sigue exigiendo la AMF, no es tan restrictivo como para imponer un nivel específico de garantía del autenticador del NIST, como se define en las Directrices de Identidad Digital del NIST . Las organizaciones de servicios financieros pueden elegir entre una variedad de soluciones de autenticación.
La tecnología MFA ha avanzado mucho desde los tiempos de las tarjetas inteligentes PKI. Las organizaciones de servicios financieros pueden cumplir con el DFS a la vez que despliegan soluciones seguras y fáciles de usar.
Se podría decir que los proveedores de seguridad han logrado, o están muy cerca de lograr, un equilibrio entre seguridad y usabilidad. Los dispositivos móviles biométricos han abierto las puertas a la innovación. Los dispositivos móviles están equipados con una cámara de alta calidad capaz de captar imágenes y vídeos de la cara del usuario, y con micrófonos para aprovechar la tecnología de reconocimiento de voz. Las huellas dactilares, la voz y el reconocimiento facial se están utilizando en muchos sectores, como la banca y los seguros. Además, se ha producido una migración desde los tokens de hardware de contraseña de un solo uso (OTP ) hacia aplicaciones seguras de OTP y notificaciones push. Como resultado, el cumplimiento puede ser sólo una cuestión de desplegar la tecnología ya en uso por los clientes, para los controles internos.
Aunque el plazo de cumplimiento ha pasado, seguimos recibiendo consultas al respecto. Para obtener más información u orientación, rellene el formulario de contacto de nuestra página de autenticación multifactorial.
Marco de ciberseguridad, sección 500.08: seguridad de las aplicaciones(Fecha de entrada en vigor: 1 de septiembre de 2018)
Como se menciona en CSOonline, la norma del DFS hace hincapié en los procedimientos escritos, las directrices y las normas diseñadas para garantizar el uso de prácticas de desarrollo seguras para las aplicaciones desarrolladas internamente y los procedimientos para evaluar, valorar o probar la seguridad de las aplicaciones desarrolladas externamente. Además, los procedimientos, directrices y normas "serán revisados, evaluados y actualizados periódicamente según sea necesario por el CISO".
Supongo que la mayoría de las organizaciones ya pueden marcar la casilla de que cumplen la norma 500.08. Sin embargo, una cosa es el cumplimiento de la normativa y otra la seguridad real de las aplicaciones. Con la continua migración de los usuarios finales a los dispositivos móviles, las organizaciones de servicios financieros deben blindar y endurecer las aplicaciones móviles e incorporar este importante paso en sus ciclos de desarrollo y lanzamiento de productos para proteger la integridad de los datos y las transacciones.
Las aplicaciones móviles ofrecen facilidad de uso y acceso instantáneo desde un smartphone, pero pueden aumentar la exposición al malware y a los ataques en tiempo real durante su ejecución. Al añadir el blindaje de la aplicación móvil, la institución financiera puede optar por:
- Hacer que la aplicación termine cuando detecte un problema de seguridad; o
- Proporcionar una notificación a la aplicación, que especifique los resultados de la comprobación de seguridad para que la aplicación pueda decidir cómo proceder (por ejemplo, notificar al usuario sobre posibles riesgos de seguridad).
Para obtener más información sobre el cumplimiento de la normativa en el canal móvil, rellene el formulario de contacto de nuestra página de blindaje de aplicaciones.
Ley Modelo de Seguridad de Datos de Seguros de la NAIC
En diciembre de 2017, la Asociación Nacional de Comisionados de Seguros (NAIC) adoptó la Ley Modelo de Seguridad de Datos de Seguros, aprovechando muchas de las disposiciones de los Requisitos de Ciberseguridad del DFS.
Teniendo en cuenta las infracciones a gran escala que han afectado al sector de los seguros en los últimos años, es sorprendente que el requisito de autenticación multifactorial no se incluya en la ley modelo. Sin embargo, la ley modelo sugiere el uso de controles eficaces, que pueden incluir la AMF. Me sorprendería mucho que los estados omitieran el AMF cuando la ley modelo se adopte y aplique en todo el país.
La gestión de la identidad y la autenticación multifactorial desempeñan un papel fundamental en la ciberseguridad. Últimamente se podrían haber evitado demasiadas infracciones si las organizaciones hubieran desplegado soluciones MFA en lugar de confiar en las contraseñas estáticas. Las medidas adoptadas por el DFS de Nueva York, el NIST y la NAIC refuerzan la necesidad de que los servicios financieros -y todas las empresas- aprovechen las tecnologías modernas para proteger la información sensible.
1. http://www.dfs.ny.gov/reportpub/annual/dfs_annualrpt_2016.pdf 2.
https://www.dhs.gov/financial-services-sector
3. https://www.nist.gov/sites/default/files/documents/2017/12/05/draft-2_framework-v1-1_with-markup.pdf
El siguiente artículo, escrito por Michael Magrath, Director de Reglamentos y Normas Globales, apareció por primera vez el 28/2/18 en CSO Online.
