El Departamento de Servicios Financieros del Estado de Nueva York (DFS) publicó el reglamento Título 23 NYCRR Parte 500 (a menudo conocido como NYDFS NYCRR 500), que establece requisitos de ciberseguridad para las empresas de servicios financieros con el fin de contrarrestar las amenazas de diversas entidades maliciosas. El reglamento, que se puso en marcha por fases, exige que cada entidad financiera evalúe su perfil de riesgo específico y diseñe un sólido programa de ciberseguridad adaptado a sus riesgos, siendo la alta dirección responsable de la supervisión del programa y de la certificación anual de cumplimiento. La normativa pretende proteger la información de los clientes y los sistemas de información de las entidades reguladas, garantizando la seguridad y solidez de las instituciones y la protección de los clientes.

¿Qué organizaciones están sujetas al mandato de cumplimiento NYDFS NYCRR 500?

El Reglamento de Ciberseguridad NYDFS NYCRR 500 es obligatorio para una amplia gama de instituciones financieras reguladas por el Departamento de Servicios Financieros del Estado de Nueva York (DFS). Esto incluye entidades como:

  • Bancos estatales y cooperativas de crédito
  • Prestamistas autorizados
  • Prestamistas hipotecarios
  • Aseguradoras sanitarias
  • Empresas de seguros
  • Sociedades de cartera
  • Organizaciones de inversión y fideicomiso
  • Planificadores presupuestarios y financieros
  • Cambio de cheques y transmisores de dinero
  • Agencias de financiación de primas
  • Bancos extranjeros autorizados en Nueva York

Disposiciones clave de NYDFS NYCRR 500

El Reglamento de Ciberseguridad NYDFS NYCRR 500 exige a las instituciones financieras identificar y defenderse contra las amenazas de ciberseguridad, establecer sistemas de detección de eventos de ciberseguridad y responder con eficacia. Las instituciones también deben tener planes de recuperación para tales eventos y cumplir con estrictos requisitos reglamentarios de presentación de informes para garantizar la transparencia y la rendición de cuentas en la gestión de los riesgos cibernéticos.

Dos secciones del NYDFS NYCRR 500 tienen que ver con la obtención de solicitudes que merece la pena destacar:

1. Requisito de evaluación de riesgos

  • Cada entidad debe llevar a cabo una evaluación de riesgos para informar el diseño de su programa de ciberseguridad, identificando y abordando las vulnerabilidades. En concreto, las empresas deben instituir procedimientos para evaluar y probar la seguridad de las aplicaciones desarrolladas externamente. Las empresas deben tener procedimientos y directrices por escrito para garantizar la seguridad de todas las aplicaciones desarrolladas internamente, así como procesos formales para evaluar y probar la seguridad de las aplicaciones desarrolladas externamente.

2. Aplicación del programa de ciberseguridad

  • Las entidades están obligadas a implantar un programa integral de ciberseguridad que incluya medidas de identificación, protección, detección, respuesta y recuperación ante incidentes de ciberseguridad, incluidas las aplicaciones móviles más populares desplegadas por las organizaciones financieras.

Verimatrix y NYDFS NYCRR 500

Verimatrix puede ayudar a las organizaciones financieras con sede en Nueva York a adherirse y cumplir con NYDFS NYCRR 500 por:

1. Requisito de evaluación de riesgos

  • Acción: Utilizar el servicio de evaluación de riesgos de seguridad de aplicaciones móviles de Verimatrix para realizar evaluaciones exhaustivas de las aplicaciones móviles con un informe detallado por escrito de las conclusiones, incluido el grado de seguridad de la aplicación y cómo se puede mejorar su seguridad. Endurecen las aplicaciones con Verimatrix XTD. Por último, detectan y responden a las amenazas una vez que sus aplicaciones se publican en las tiendas de aplicaciones.
  • Beneficio: El servicio de Verimatrix ayuda a identificar y abordar posibles vulnerabilidades en aplicaciones móviles, ayudando a los clientes a cumplir el requisito de evaluación de riesgos de NYDFS NYCRR 500, que obliga a las entidades a realizar evaluaciones de riesgos para informar sus programas de ciberseguridad.

2. Aplicación del programa de ciberseguridad

  • Acción: Implemente el conjunto de soluciones de ciberseguridad de Verimatrix XTD a través de nuestra plataforma en línea para gestionar y supervisar las ciberamenazas a su ecosistema de aplicaciones, proteger sus aplicaciones móviles, API, aplicaciones web y de escritorio/integradas, etc.
  • Beneficio: La plataforma Verimatrix XTD permite a los clientes implementar un programa de ciberseguridad que incluye medidas de identificación, protección, detección, respuesta y recuperación para eventos de ciberseguridad relacionados con aplicaciones, garantizando el cumplimiento de NYDFS NYCRR 500.
A medida que los ejecutivos financieros de Nueva York adoptan las normas de ciberseguridad NYDFS NYCRR 500, es crucial no olvidar las aplicaciones móviles, que para muchas organizaciones financieras, se han convertido en el principal método para que los consumidores se comuniquen con las marcas con las que hacen negocios. La aplicación efectiva de las medidas de seguridad obligatorias no sólo tiene que ver con el cumplimiento para ayudar a fortalecer las ciberdefensas de una empresa, sino también con la protección de la información de los consumidores y sus finanzas personales. El incumplimiento puede dar lugar a sanciones graves, incluidas las acciones de aplicación por el superintendente, multas, demandas y más, lo que subraya cómo NYDFS NYCRR 500 debe ser tomado en serio.

Fuentes: