OneSpan Blog

Requisitos de ciberseguridad del NYDFS para las empresas de servicios financieros: la fase 4 comienza ahora

Ciberseguridad y autenticación fuerte
Michael Magrath, 1 de Marzo de 2019

El Departamento de Servicios Financieros del Estado de Nueva York (NYDFS) regula aproximadamente 1.500 instituciones financieras y bancos, así como más de 1.400 compañías de seguros. Siendo Nueva York la "capital financiera del mundo", la gran mayoría de las instituciones financieras de Estados Unidos están bajo la regulación del NYDFS. Además, muchas organizaciones internacionales operan en Nueva York y, por tanto, también están sujetas a la normativa del NYDFS. Todos estos bancos y empresas de servicios financieros deben asegurar sus activos y cuentas de clientes contra los ciberataques en cumplimiento de los requisitos de ciberseguridad del NYDFS para las empresas de servicios financieros (23 NYCRR 500). Según el reglamento, los bancos y proveedores de servicios financieros deben asegurar sus propios sistemas, así como implementar programas de gestión de riesgos de terceros.

En respuesta a los ciberataques generalizados en las instituciones financieras de Estados Unidos, el NYDFS promulgó la normativa de ciberseguridad el 1 de marzo de 2017. El reglamento exige a las instituciones financieras que apliquen políticas y procedimientos específicos para proteger mejor los datos de los usuarios. Dada la exhaustiva lista de disposiciones del reglamento, el NYDFS estableció un periodo transitorio de dos años para su cumplimiento en cuatro fases.

Las instituciones financieras también están obligadas a presentar un certificado de cumplimiento de la normativa cada año. La segunda certificación anual de cumplimiento corresponde al año natural 2018. El plazo era el 15 de febrero de 2019, que cubre el cumplimiento de las fases 1 a 3 siguientes.

Cuatro fases de los requisitos de ciberseguridad del NYDFS para las empresas de servicios financieros

Fase 1 (En vigor desde el 1 de septiembre de 2017)

  • Sección 500.02 - Desarrollar y mantener un programa de ciberseguridad
  • Sección 500.03 - Aplicar y mantener políticas escritas de ciberseguridad
  • Sección 500.04 - Designar un Jefe de Seguridad de la Información (CISO) para hacer cumplir las políticas de ciberseguridad de la organización y supervisar la implementación del programa de ciberseguridad
  • Sección 500.07 - Limitar los privilegios de acceso de los usuarios
  • Sección 500.10 - Personal de ciberseguridad e inteligencia: Garantizar la formación y el conocimiento de las ciberamenazas y contramedidas actuales
  • Sección 500.16 - Elaborar un plan de respuesta a incidentes por escrito
  • Sección 500.17 - Dentro de las 72 horas siguientes a un evento de ciberseguridad, se deben enviar avisos al Superintendente

Fase 2 (en vigor el 1 de marzo de 2018)

  • Sección 500.04 (b) - El CISO debe informar sobre los riesgos materiales de ciberseguridad y el programa de ciberseguridad en su conjunto a la dirección ejecutiva o al consejo de administración de la organización
  • Sección 500.05 - Implementar pruebas de penetración anuales y evaluaciones de vulnerabilidad bianuales
  • Sección 500.09 - Realizar una evaluación periódica de los riesgos
  • Sección 500.12 - Autenticación de múltiples factores (MFA)
    • Sobre la base de la evaluación de riesgos, cada organización debe utilizar controles eficaces, que pueden incluir la autenticación basada en el riesgo o la autenticación de múltiples factores, en un esfuerzo por proteger la información no pública o los sistemas de información del acceso no autorizado
    • La AMF debe utilizarse para cualquier persona que acceda a las redes internas de la organización desde una red externa (la única excepción es si el CISO de la organización ha dado su aprobación por escrito para el uso de controles de acceso equivalentes o más seguros)
  • Sección 500.14 (b) - Impartir formación en materia de ciberseguridad a todo el personal
Missing elemento multimedia.

Fase 3 (En vigor desde el 1 de septiembre de 2018)

  • Sección 500.06 - Deben implementarse pistas de auditoría para detectar y responder a los eventos de ciberseguridad, y la organización debe mantener los registros de las transacciones durante no menos de cinco años y los registros de los eventos de ciberseguridad durante no menos de tres años
  • Sección 500.08 - Seguridad de las aplicaciones: El programa de ciberseguridad de la organización debe contener normas, procedimientos y directrices documentadas destinadas a garantizar el uso de prácticas de desarrollo seguras para las aplicaciones internas y procedimientos para evaluar la seguridad de las aplicaciones desarrolladas por terceros
  • Sección 500.13 - Aplicar limitaciones a la conservación de datos
  • Sección 500.14 (a) - La organización debe desarrollar procedimientos, políticas y controles basados en el riesgo en un esfuerzo por supervisar la actividad de los usuarios autorizados e identificar el acceso no autorizado a la información no pública
  • Sección 500.15 - Garantizar el cifrado de la información no pública

Fase 4 (a partir del 1 de marzo de 2019): Fin del período transitorio de dos años

Según el reglamento, sección 500.11, sobre la política de seguridad para los proveedores de servicios de terceros, "La organización debe documentar los procedimientos y políticas escritas para garantizar que los programas de gestión de riesgos de terceros protejan los sistemas de información y la información no pública"

Las disposiciones clave de estas políticas son aplicables a los sistemas propios de la institución financiera, incluyendo:

  • Políticas y procedimientos escritos diseñados para proteger a los usuarios de los riesgos que plantean los proveedores de servicios de terceros
  • La identificación y evaluación de riesgos de los proveedores de servicios de terceros
  • Prácticas mínimas de ciberseguridad exigidas a terceros
  • La evaluación de las prácticas de ciberseguridad de terceros mediante la diligencia debida
  • Evaluaciones periódicas basadas en el riesgo

Además, las políticas y procedimientos relativos a los proveedores de servicios de terceros deben incluir directrices pertinentes para la diligencia debida, así como protecciones contractuales, que aborden:

  • Controles de acceso, incluida la autenticación multifactorial
  • Codificación
  • Notificaciones que deben proporcionarse a la organización principal en respuesta a un evento de ciberseguridad
  • Declaraciones y garantías de las políticas y procedimientos de ciberseguridad de un tercero

Aplicación de la fase 4 de los requisitos de ciberseguridad del NYDFS para las empresas de servicios financieros

Aunque la fase 4 debe aplicarse este año, es importante señalar que los bancos y las instituciones financieras no están obligados a certificar su cumplimiento de las disposiciones de gestión del riesgo de los proveedores de servicios de terceros de la normativa hasta el 15 de febrero de 2020.

Como cliente de varias instituciones financieras con sede en Nueva York, me siento mucho mejor sabiendo que la información de mi cuenta está protegida con esta sólida normativa. Los requisitos de ciberseguridad del NYDFS para las empresas de servicios financieros contribuirán en gran medida a proteger los datos de los usuarios de ataques malintencionados.

MFA nydfs
Michael Magrath
Michael Magrath

Michael Magrath es responsable de alinear la hoja de ruta de las soluciones de OneSpan con las normas y los requisitos reglamentarios a nivel mundial. Es copresidente del Grupo de Trabajo de Despliegue Gubernamental de la Alianza FIDO y forma parte de la Junta Directiva de la Asociación de Firma y Registros Electrónicos (ESRA)

Volver arriba