Regulamentação de Segurança Cibernética do Departamento de Serviços Financeiros de Nova York (DFS) estabelece novos padrões para empresas de serviços financeiros que operam no Estado de Nova York para identificar e mitigar riscos aos seus dados comerciais e de consumidores. Mas, apesar de todos os requisitos organizacionais e técnicos — como um programa de segurança cibernética aprovado pelo conselho — o impacto real do Regulamento será forçar as organizações a aceitarem um princípio básico: elas precisam primeiro entender quais dados possuem, de quem são os dados, onde estão em ordem e como têm acesso a eles para melhor protegê-los. E, como o Regulamento expande o escopo da definição de dados comerciais e de consumidores, é necessária uma nova abordagem que possa aprender quais dados são potencialmente importantes e compreender os fluxos de dados.
Conformidade de segurança da informação em números
Por sua própria conta, o conjunto abrangente de requisitos de segurança da informação finalizado pelo NY DFS em 1º de março para 3.000 entidades cobertas é o primeiro do gênero nos EUA. Certamente, o Regulamento rompe com o modelo subjacente a muitos mandatos de conformidade existentes, que visam garantir a implementação de políticas e procedimentos básicos e universais de segurança da informação. Em vez disso, em linha com mandatos mais recentes de privacidade e proteção de dados, como a Diretiva Geral de Proteção de Dados da UE, o Regulamento do NY DFS enfatiza uma abordagem orientada a riscos para a proteção de informações empresariais e de consumidores.
Embora o Regulamento tenha impacto na forma como as organizações investem e gerem as suas práticas de segurança da informação, bem como na modificação da sua estrutura organizacional para colocar a gestão e a mitigação de riscos no centro dos programas de segurança cibernética, talvez a mudança de foco mais fundamental seja o que o Regulamento pretende proteger.
Na categoria de Regulamento de Informações não públicas, as entidades cobertas não só terão que proteger informações financeiras pessoalmente identificáveis, conforme já exigido pela GLBA e PII de assistência médica pela HIPAA, mas também quaisquer dados comerciais ou de consumidores que possam ter um "impacto material" se expostos ou roubados por invasores e criminosos cibernéticos.
Resolvendo o Risco da Galinha a Partir do Ovo de Dados
O ponto de partida, necessariamente, para qualquer uma das entidades abrangidas será avaliar o risco de acesso não autorizado ou exposição de dados que se enquadram na nova categoria de Informações Não Públicas (NPI). Antes de poderem otimizar os controles para determinar quem tem acesso aos dados, implementar programas de monitoramento e medidas de segurança de aplicações, conforme especificado pelo Regulamento, as entidades abrangidas terão de realizar um inventário abrangente dos seus dados e manter uma abordagem iterativa para determinar quais dados podem ser considerados NPI com base no seu valor comercial e impacto material, caso sejam expostos.
Esses dois novos componentes do Regulamento — uma abordagem baseada em risco e um escopo que vai além das preocupações com a privacidade — fazem sentido quando consideramos a intenção geral do Regulamento: reduzir a ameaça sistêmica à integridade do setor de serviços financeiros representada por invasores focados em roubo de dados e conter violações de dados que minam a confiança do consumidor no sistema.
Ao exigir uma avaliação de risco como ponto de partida para o programa de segurança cibernética, o Regulamento obriga as entidades abrangidas a considerar a proteção no contexto do seu ambiente específico, incluindo fatores como acesso de terceiros, em vez de seguir uma lista de verificação para garantir a implementação de processos e controles padrão. Se o objetivo for reduzir o risco de violação de dados, a alocação de recursos com base na mitigação de riscos tem mais probabilidade de ter o resultado desejado do que a segurança da informação em números — embora com níveis de investimento provavelmente mais elevados do que os atuais.
Em segundo lugar, mesmo quando comparado ao GDPR da UE, que também prioriza a mitigação de riscos, o Regulamento DFS de Nova York vai um passo além em termos de escopo de cobertura de dados. Se a intenção é limitar violações, não apenas violações de privacidade, conclui-se que a definição de NPI é tão ampla quanto possível.
Entenda seus riscos para enfrentá-los
A definição mais ampla de Informações Não Públicas incorporada no Regulamento abrange não apenas categorias específicas de identificadores pessoais, informações biométricas, informações de contas, códigos de acesso e senhas pessoais, informações de saúde, mas também qualquer informação que, se exposta, possa "causar um impacto adverso material aos negócios, operações ou segurança da Entidade Coberta". A definição também abrange dados coletados durante o processo de solicitação de produtos financeiros, o que, por implicação, estende o escopo para além dos dados de clientes existentes.
Onde isso deixa as entidades cobertas que já têm dificuldades para manter inventários de dados atuais e abrangentes e mapear fluxos de dados para as categorias de dados explicitamente definidas em HIPAA, GLBA e PCI, por exemplo?
Ao escanear não apenas fontes de dados estruturados, mas também repositórios de Big Data, fontes de dados não estruturados, como compartilhamentos de arquivos e dados em nuvem Ao analisar os serviços e inferir, com base em uma pontuação de identificabilidade, o que constitui Informação Não Pública, as entidades cobertas podem construir uma visão mais abrangente de sua exposição potencial. Sem esse nível de conhecimento baseado em dados em toda a sua infraestrutura e a capacidade de identificar e caracterizar atributos únicos por meio de aprendizado de máquina, as entidades cobertas inevitavelmente definirão os programas de segurança cibernética com base em uma visão incompleta de seu risco de exposição.
Este é precisamente o desafio que a BigID se propôs a enfrentar: permitir que os clientes criem uma imagem completa de seu inventário de dados, entendam onde ele está, descubram iterativamente novos atributos e forneçam insights granulares sobre como os dados até o nível de campo são acessados.
À medida que as entidades cobertas buscam cumprir os requisitos do Regulamento, elas precisarão adotar novas abordagens para descobrir e inventariar Informações Não Públicas com base em ciência de dados e técnicas de aprendizado de máquina, além de estruturar a aplicação de controles de acesso e proteção de dados direcionada com base em onde estão seus maiores riscos.
por Dimitri Sirota & @stavvmc