Regulación de ciberseguridad del Departamento de Servicios Financieros de Nueva York (DFS) Establece nuevos estándares para que las empresas de servicios financieros que operan en el estado de Nueva York identifiquen y mitiguen los riesgos para sus datos comerciales y de consumidores. Sin embargo, a pesar de todos los requisitos organizativos y técnicos, como un programa de ciberseguridad aprobado por la junta directiva, el verdadero impacto del Reglamento será obligar a las organizaciones a aceptar un principio básico: primero deben comprender qué datos poseen, de quién son, dónde se encuentran correctamente y quién tiene acceso a ellos para protegerlos mejor. Y, dado que el Reglamento amplía el alcance de la definición de datos comerciales y de consumidores, se necesita un nuevo enfoque que permita identificar qué datos son potencialmente importantes y comprender los flujos de datos.
Cumplimiento de la seguridad de la información en cifras
Según sus propias palabras, el conjunto completo de requisitos de seguridad de la información, finalizado por el Departamento de Servicios Financieros de Nueva York (DFS) el 1 de marzo para 3000 entidades cubiertas, es el primero de su tipo en EE. UU. Sin duda, el Reglamento rompe con el modelo subyacente a muchos mandatos de cumplimiento existentes, que consiste en garantizar la implementación de políticas y procedimientos básicos de seguridad de la información universales. En cambio, en consonancia con mandatos más recientes de privacidad y protección de datos, como la Directiva General de Protección de Datos de la UE, el Reglamento del DFS de Nueva York prioriza un enfoque basado en el riesgo para proteger la información de empresas y consumidores.
Si bien el Reglamento afectará la forma en que las organizaciones invierten y gestionan sus prácticas de seguridad de la información, así como modificarán su estructura organizacional para poner la gestión y mitigación de riesgos en el centro de los programas de ciberseguridad, quizás el cambio de enfoque más fundamental sea qué El Reglamento se propone proteger.
En la categoría de Reglamento de Información no públicaLas entidades cubiertas no solo tendrán que proteger la información financiera de identificación personal como ya lo exige la GLBA y la PII de atención médica según la HIPAA, sino también cualquier dato comercial o del consumidor que pueda tener un “impacto material” si es expuesto o robado por atacantes y ciberdelincuentes.
Resolviendo el problema de la gallina del huevo de los datos
El punto de partida, necesariamente, para cualquier entidad sujeta a la normativa será evaluar el riesgo de acceso no autorizado o exposición de datos incluidos en la nueva categoría de Información No Pública (INP). Antes de poder optimizar los controles para controlar quién accede a los datos, implementar programas de monitorización y medidas de seguridad de las aplicaciones, según lo especificado por el Reglamento, las entidades sujetas deberán realizar un inventario exhaustivo de sus datos y mantener un enfoque iterativo para determinar qué datos podrían considerarse INP en función de su valor comercial y el impacto significativo en caso de exposición.
Estos dos componentes novedosos del Reglamento —un enfoque basado en el riesgo y un alcance que va más allá de las preocupaciones sobre la privacidad— cobran sentido cuando consideramos cuál es la intención general del Reglamento: reducir la amenaza sistémica a la integridad de la industria de servicios financieros que plantean los atacantes centrados en el robo de datos y frenar las violaciones de datos que socavan la confianza del consumidor en el sistema.
Al exigir una evaluación de riesgos como punto de partida del programa de ciberseguridad, el Reglamento obliga a las entidades sujetas a considerar la protección en el contexto de su entorno específico, incluyendo factores como el acceso de terceros, en lugar de seguir una lista de verificación para garantizar la implementación de procesos y controles estándar. Si el objetivo es reducir el riesgo de una filtración de datos, es más probable que la asignación de recursos en función de la mitigación de riesgos tenga el resultado deseado que la seguridad de la información en cifras, aunque probablemente con niveles de inversión mayores que los actuales.
En segundo lugar, incluso en comparación con el RGPD de la UE, que también prioriza la mitigación de riesgos, el Reglamento DFS de Nueva York va un paso más allá en cuanto al alcance de la cobertura de datos. Si el objetivo es limitar las infracciones, no solo las violaciones de la privacidad, la definición de NPI es, por consiguiente, muy amplia.
Comprenda su riesgo para afrontarlo
La definición más amplia de Información No Pública incorporada en el Reglamento abarca no solo categorías específicas de identificadores personales, información biométrica, información de cuentas, códigos de acceso y contraseñas personales, e información sanitaria, sino también cualquier información cuya divulgación pudiera tener un impacto negativo significativo en el negocio, las operaciones o la seguridad de la Entidad Cubierta. La definición también abarca los datos recopilados durante el proceso de solicitud de productos financieros, lo que, implícitamente, amplía el alcance más allá de los datos de los clientes existentes.
¿Dónde deja esto a las entidades cubiertas que ya tienen dificultades para mantener inventarios de datos actuales y completos y mapear flujos de datos para las categorías de datos definidas explícitamente en HIPAA, GLBA y PCI, por ejemplo?
Al escanear no solo fuentes de datos estructurados, sino también repositorios de Big Data, fuentes de datos no estructurados como recursos compartidos de archivos y datos en la nube Al inferir, a partir de una puntuación de identificabilidad, qué constituye información no pública, las entidades cubiertas pueden obtener una visión más amplia de su posible exposición. Sin este nivel de conocimiento basado en datos de toda su infraestructura y la capacidad de identificar y caracterizar atributos únicos mediante aprendizaje automático, las entidades cubiertas inevitablemente definirán sus programas de ciberseguridad basándose en una visión incompleta de su riesgo de exposición.
Este es precisamente el desafío que BigID se propuso abordar: permitir a los clientes crear una imagen completa de su inventario de datos, comprender dónde se encuentran, descubrir iterativamente nuevos atributos y brindar información granular sobre cómo se accede a los datos hasta el nivel de campo.
A medida que las entidades cubiertas buscan cumplir con los requisitos del Reglamento, deberán adoptar nuevos enfoques para descubrir e inventariar información no pública basándose en técnicas de ciencia de datos y aprendizaje automático, y estructurar la aplicación, como controles de acceso y protección de datos específica, en función de dónde se encuentren sus mayores riesgos.
por Dimitri Sirota y @stavvmc
Autor
