Réglementation de la cybersécurité de New York 23 NYCRR Partie 500

Les conseils d'administration et la haute direction doivent assumer la responsabilité directe de la supervision de la cybersécurité : ils doivent approuver les politiques écrites, garantir l'adéquation des ressources et certifier annuellement la conformité. Le NYDFS exige des preuves de l'engagement des dirigeants et de la structure de gouvernance.

BigID aide traduire les contrôles techniques en visibilité exécutive, en fournissant des tableaux de bord, des mesures et des rapports prêts à l'emploi pour les certifications et les examens du conseil d'administration.

Les entités doivent réaliser des évaluations formelles des risques au moins une fois par an, et dès qu'un changement important survient dans leur activité, leur technologie ou le paysage des menaces. Ces évaluations doivent inclure les risques liés aux tiers et à l'IA.

BigID aide évaluer en continu le risque lié aux données grâce à une découverte, une classification et une notation automatisées dans les environnements structurés, non structurés, cloud, SaaS et IA, offrant ainsi une vue actuelle et basée sur les données de l'exposition.

Les entités concernées doivent tenir un inventaire complet et précis de tous leurs systèmes d'information et de leurs données. Chaque entrée doit inclure la propriété, la localisation, la classification, le RTO, l'état de support, les procédures d'élimination et les désignations NPI ou AI, avec une validation régulière.

BigID aide automatisez la découverte, l'étiquetage et la réconciliation pour maintenir un inventaire vivant qui répond aux normes NYDFS et reste à jour à mesure que les environnements évoluent.

Les droits d'accès doivent être régis par des contrôles stricts, appliqués par l'authentification multifacteur (AMF) et les politiques de moindre privilège. Le NYDFS exige des contrôles d'accès périodiques pour détecter les comptes surprivilégiés ou orphelins.

BigID aide mappez les autorisations à la sensibilité des données, surveillez l'activité des utilisateurs, détectez les privilèges excessifs et faites apparaître automatiquement les modèles d'accès à risque dans les environnements hybrides.

Les organisations doivent détecter, enquêter et signaler les incidents de cybersécurité, y compris les incidents de rançongiciel, dans les meilleurs délais. Les procédures de documentation, de confinement et de reprise d'activité doivent être conformes aux exigences réglementaires.

BigID aide Identifiez les données impactées, qui y a accédé et leur degré de sensibilité, accélérant ainsi l'analyse d'impact et permettant une réponse plus rapide et fondée sur des preuves en cas de violation.

Le NYDFS impose désormais une surveillance des systèmes qui utilisent ou s'appuient sur l'IA, nécessitant une visibilité sur les entrées, les sorties et les dépendances des données du modèle pour atténuer les biais et les abus.

BigID aide identifier les systèmes d'IA, tracer les flux de données et étiqueter les données de formation sensibles, permettant ainsi une gouvernance responsable de l'IA et une documentation conforme aux exigences des régulateurs.