Regulación de ciberseguridad de Nueva York 23 NYCRR Parte 500

Las juntas directivas y la alta dirección deben asumir la responsabilidad directa de la supervisión de la ciberseguridad: aprobar políticas escritas, garantizar recursos adecuados y certificar anualmente el cumplimiento. El NYDFS espera evidencia del compromiso del liderazgo y la estructura de gobernanza.

BigID ayuda Traducir los controles técnicos en visibilidad ejecutiva, proporcionando paneles de control, métricas e informes listos para evidencia para certificaciones y revisiones de la junta.

Las entidades deben realizar evaluaciones formales de riesgos al menos una vez al año y siempre que se produzca un cambio sustancial en el negocio, la tecnología o el panorama de amenazas. Las evaluaciones deben incluir los riesgos de terceros y relacionados con la IA.

BigID ayuda evaluar continuamente el riesgo de los datos a través del descubrimiento, la clasificación y la puntuación automatizados en entornos estructurados, no estructurados, de nube, SaaS e IA, proporcionando una visión actual y basada en datos de la exposición.

Las entidades sujetas deben mantener un inventario completo y preciso de todos los sistemas de información y activos de datos. Cada entrada debe incluir la propiedad, la ubicación, la clasificación, el RTO, el estado del soporte, los procedimientos de eliminación y las designaciones de NPI o AI, con validación periódica.

BigID ayuda automatizar el descubrimiento, el etiquetado y la conciliación para mantener un inventario vivo que cumpla con los estándares del NYDFS y se mantenga actualizado a medida que evolucionan los entornos.

Los derechos de acceso deben regirse por controles estrictos, aplicados por la Administración de Facilidades Multipartitas (MFA) y políticas de privilegios mínimos. El Departamento de Servicios para Familias de Nueva York (NYDFS) exige revisiones periódicas de acceso para detectar cuentas con privilegios excesivos o huérfanas.

BigID ayuda Asigne permisos a la sensibilidad de los datos, monitoree la actividad del usuario, detecte privilegios excesivos y muestre automáticamente patrones de acceso riesgosos en entornos híbridos.

Las organizaciones deben detectar, investigar y reportar eventos de ciberseguridad, incluidos incidentes de ransomware, de manera oportuna. Los procedimientos de documentación, contención y recuperación deben cumplir con las expectativas regulatorias.

BigID ayuda Identificar qué datos se vieron afectados, quién accedió a ellos y qué tan confidenciales eran, acelerando el análisis del impacto y permitiendo una respuesta más rápida y respaldada por evidencia ante las violaciones.

NYDFS ahora exige la supervisión de los sistemas que usan o dependen de IA, lo que requiere visibilidad de las entradas, salidas y dependencias de datos del modelo para mitigar el sesgo y el mal uso.

BigID ayuda Identificar sistemas de IA, rastrear flujos de datos y etiquetar datos de entrenamiento confidenciales, lo que permite una gobernanza de IA responsable y una documentación lista para el cumplimiento para los reguladores.