Regulamentação de Segurança Cibernética do Departamento de Serviços Financeiros (DFS) de Nova York A regulamentação estabelece novos padrões para empresas de serviços financeiros que operam no estado de Nova York, visando identificar e mitigar riscos aos seus dados comerciais e de consumidores. Apesar de todos os requisitos organizacionais e técnicos — como um programa de cibersegurança aprovado pelo conselho —, o verdadeiro impacto da regulamentação será forçar as organizações a compreenderem um princípio básico: elas precisam, antes de tudo, entender quais dados possuem, a quem pertencem, onde estão armazenados e quem tem acesso a eles para melhor protegê-los. E, como a regulamentação amplia a definição de dados comerciais e de consumidores, uma nova abordagem se faz necessária para identificar quais dados são potencialmente importantes e compreender os fluxos de dados.
Conformidade com a segurança da informação em números
Segundo a própria NY DFS, o conjunto abrangente de requisitos de segurança da informação finalizado em 1º de março para 3.000 entidades abrangidas é o primeiro do gênero nos EUA. Certamente, o Regulamento rompe com o modelo subjacente a muitos mandatos de conformidade existentes, que visam garantir a implementação de políticas e procedimentos básicos de segurança da informação, do tipo "tamanho único". Em vez disso, em consonância com mandatos mais recentes de privacidade e proteção de dados, como o Regulamento Geral de Proteção de Dados (RGPD) da UE, o Regulamento da NY DFS enfatiza uma abordagem orientada ao risco para a proteção de informações comerciais e de consumidores.
Embora o Regulamento impacte a forma como as organizações investem e gerenciam suas práticas de segurança da informação, bem como modifiquem sua estrutura organizacional para colocar o gerenciamento e a mitigação de riscos no centro dos programas de cibersegurança, talvez a mudança de foco mais fundamental seja o que O Regulamento visa proteger.
De acordo com a categoria do Regulamento Informações não públicasAs entidades abrangidas não só terão de proteger as informações financeiras de identificação pessoal, conforme já exigido pela GLBA, e as informações de identificação pessoal de saúde, conforme a HIPAA, mas também quaisquer dados comerciais ou de consumidores que possam ter um "impacto material" se forem expostos ou roubados por atacantes e cibercriminosos.
Resolvendo o dilema do risco a partir dos dados.
O ponto de partida, necessariamente, para qualquer uma das entidades abrangidas será avaliar o risco de acesso ou exposição não autorizados de dados que se enquadrem na nova categoria de Informação Não Pública (INP). Antes de otimizarem os controles para governar quem tem acesso aos dados, implementarem programas de monitoramento e medidas de segurança de aplicativos conforme especificado no Regulamento, as entidades abrangidas terão que fazer um inventário abrangente de seus dados e manter uma abordagem iterativa para aprender quais dados podem ser considerados INP com base em seu valor comercial e impacto material caso sejam expostos.
Esses dois componentes inovadores do Regulamento — uma abordagem baseada em risco e um escopo que vai além das preocupações com a privacidade — fazem sentido quando consideramos a intenção geral do Regulamento: reduzir a ameaça sistêmica à integridade do setor de serviços financeiros representada por atacantes focados em roubo de dados e impedir violações de dados que minam a confiança do consumidor no sistema.
Ao exigir uma avaliação de riscos como ponto de partida para o programa de cibersegurança, o Regulamento obriga as entidades abrangidas a considerarem a proteção no contexto do seu ambiente específico, incluindo fatores como o acesso de terceiros, em vez de simplesmente consultarem uma lista de verificação para garantir que os processos e controlos padrão estejam implementados. Se o objetivo é reduzir o risco de uma violação de dados, a alocação de recursos com base na mitigação de riscos tem maior probabilidade de produzir o resultado desejado do que a segurança da informação baseada em números absolutos — embora provavelmente com níveis de investimento mais elevados do que os atuais.
Em segundo lugar, mesmo quando comparado ao GDPR da UE, que também coloca a mitigação de riscos em primeiro plano, o Regulamento DFS de Nova York vai um passo além em termos de abrangência da cobertura de dados. Se a intenção é limitar as violações, e não apenas as de privacidade, então a definição de NPI (Informações Não Públicas) é tão ampla quanto é.
Entenda o seu risco para enfrentá-lo.
A definição mais abrangente de Informação Não Pública incorporada no Regulamento abrange não apenas categorias específicas de identificadores pessoais, informações biométricas, informações de contas, códigos de acesso pessoal e senhas, informações de saúde, mas também qualquer informação que, se divulgada, possa “causar um impacto adverso relevante nos negócios, operações ou segurança da Entidade Abrangida”. A definição também abrange dados coletados durante o processo de solicitação de produtos financeiros, o que, por implicação, amplia o escopo para além dos dados de clientes existentes.
Em que situação ficam as entidades abrangidas que já têm dificuldades para manter inventários de dados atualizados e completos e para mapear os fluxos de dados para as categorias de dados explicitamente definidas em HIPAA, GLBA e PCI, por exemplo?
Ao analisar não apenas fontes de dados estruturados, mas também repositórios de Big Data, fontes de dados não estruturados, como compartilhamentos de arquivos e dados em nuvem Ao analisar os serviços e inferir, com base em uma pontuação de identificabilidade, o que constitui Informação Não Pública, as entidades abrangidas podem construir uma visão mais abrangente de sua exposição potencial. Sem esse nível de conhecimento baseado em dados em toda a sua infraestrutura e a capacidade de identificar e caracterizar atributos exclusivos por meio de aprendizado de máquina, as entidades abrangidas inevitavelmente definirão os programas de segurança cibernética com base em uma visão incompleta de seu risco de exposição.
Este é precisamente o desafio que a BigID se propôs a enfrentar: permitir que os clientes construam uma visão completa do seu inventário de dados, compreendam onde ele reside, descubram iterativamente novos atributos e forneçam informações detalhadas sobre como os dados são acessados, até o nível de campo.
À medida que as entidades abrangidas procuram cumprir os requisitos do Regulamento, terão de adotar novas abordagens para descobrir e inventariar Informações Não Públicas com base em técnicas de ciência de dados e aprendizagem automática, e estruturar a aplicação de medidas como controlos de acesso e proteção de dados direcionada, com base em onde se encontram os seus maiores riscos.
por Dimitri Sirota & @stavvmc
Autor
