Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial EXPLORAR KITEWORKS

23 NYCRR 500: Navegando la Regulación de Ciberseguridad del Estado de Nueva York

Inicio Glosario 23 NYCRR 500: Navegando la Regulación de Ciberseguridad del Estado de Nueva York

En marzo de 2017, el Departamento de Servicios Financieros del Estado de Nueva York (DFS) introdujo el 23 NYCRR 500, un conjunto de regulaciones diseñadas para proteger la enorme industria de servicios financieros de las amenazas cibernéticas. Esta regulación integral de ciberseguridad exige que las empresas de servicios financieros establezcan y mantengan programas de ciberseguridad que protejan la confidencialidad, integridad y disponibilidad de sus sistemas de información.

23 NYCRR 500

El 23 NYCRR 500 se aplica a todas las empresas de servicios financieros que operan en el estado de Nueva York, incluidas los bancos, las cooperativas de crédito, las compañías de seguros y otras instituciones de servicios financieros. La regulación tiene como objetivo asegurar que las empresas de servicios financieros implementen medidas de ciberseguridad adecuadas para proteger la información sensible de los clientes de las amenazas cibernéticas. Para lograr el cumplimiento, las firmas financieras deben instituir estrategias integrales de administración de riesgos de ciberseguridad.

Las únicas empresas exentas de esta regulación son aquellas que cumplen con los siguientes criterios:

  • Menos de 10 empleados
  • Menos de $10 millones en activos totales al final del año
  • Menos de $5 millones en ingresos brutos en los últimos tres años

El Alcance del 23 NYCRR 500

El 23 NYCRR 500 se aplica a todas las empresas de servicios financieros reguladas por el Departamento de Servicios Financieros del Estado de Nueva York (DFS). La regulación requiere que las empresas establezcan y mantengan un programa de ciberseguridad que proteja adecuadamente sus sistemas de información contra el acceso no autorizado, la divulgación o el uso indebido.

La regulación también exige que las empresas desarrollen políticas y procedimientos escritos que aborden las siguientes áreas:

  • Seguridad de la Información
  • Gobernanza y Clasificación de Datos
  • Controles de Acceso y Gestión de Identidades
  • Personal e Inteligencia de Ciberseguridad
  • Planificación e Implementación de Respuesta a Incidentes
  • Gestión de Proveedores y Servicios de Terceros
  • Pruebas de Penetración Anuales y Evaluaciones de Vulnerabilidad
  • Evaluación de Riesgos

¿Cómo se Compara el 23 NYCRR 500 con Otras Regulaciones?

La regulación 23 NYCRR 500 es un requisito de ciberseguridad a nivel estatal para las instituciones financieras en el estado de Nueva York, con muchas de sus estipulaciones superponiéndose con las establecidas por el Marco de Ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST CSF), el Reglamento General de Protección de Datos (RGPD) de la Unión Europea (UE), e ISO 27001. Al conformarse a los estándares impuestos por esta regulación, las instituciones financieras en Nueva York pueden reducir los riesgos de privacidad y seguridad asociados con el manejo de datos sensibles y defenderse contra las amenazas cibernéticas a su infraestructura digital.

Disposiciones del 23 NYCRR 500

Las regulaciones del 23 NYCRR 500 requieren que las entidades tengan un programa de ciberseguridad en marcha, una política de seguridad para proveedores de servicios de terceros, autenticación multifactor, cifrado de información no pública, y un plan de respuesta a incidentes.

Programa de Ciberseguridad

El 23 NYCRR 500 estipula un programa de ciberseguridad que contenga salvaguardas administrativas y técnicas para proteger la confidencialidad, integridad y disponibilidad de los sistemas de información y la información no pública. También debe incluir evaluaciones de riesgos, políticas y procedimientos para la protección de los sistemas de información, monitoreo y auditoría del sistema, y planes de respuesta a incidentes.

Política de Seguridad para Proveedores de Servicios de Terceros

La política de seguridad para proveedores de servicios de terceros describe los pasos que deben tomarse para asegurar que los proveedores de servicios tengan medidas y procesos de seguridad apropiados para proteger la información no pública. También debe incluir requisitos para que los proveedores de servicios de terceros protejan adecuadamente la información, identifiquen y respondan a incidentes de seguridad, y notifiquen a la empresa de cualquier incidente de manera oportuna.

Autenticación Multifactor

La autenticación multifactor es una forma de verificar la identidad de un individuo utilizando dos o más elementos de verificación independientes. Esto podría incluir contraseñas, PINs, biometría u otros métodos de autenticación.

Cifrado de Información No Pública

La información no pública debe ser cifrada a lo largo de su ciclo de vida, incluyendo cuando se almacena, transmite o accede.

Plan de Respuesta a Incidentes

El plan de respuesta a incidentes describe los pasos a seguir si hay una violación del sistema o acceso no autorizado a la información no pública. Debe incluir procedimientos para responder y contener el incidente, notificar a las autoridades pertinentes, y tomar medidas correctivas para prevenir incidentes similares en el futuro.

Requisitos Clave del 23 NYCRR 500

Tal como sugiere el nombre, el 23 NYCRR 500 consta de 23 requisitos, que tomados en su conjunto, ayudan a las organizaciones a reconocer amenazas potenciales y defenderse de ellas antes de que ocurra un ataque. De los 23 requisitos, los siguientes son los más destacados:

  1. Establecer y mantener un programa de ciberseguridad diseñado para proteger la confidencialidad, integridad y disponibilidad de sus sistemas de información.
  2. Desarrollar políticas y procedimientos escritos que aborden las áreas mencionadas en la sección anterior.
  3. Nombrar a un Director de Seguridad de la Información (CISO) responsable de implementar y supervisar el programa de ciberseguridad.
  4. Realizar evaluaciones de riesgos regulares para identificar y evaluar los riesgos potenciales para los sistemas de información de la empresa.
  5. Desarrollar e implementar un plan de respuesta a incidentes para responder y minimizar rápidamente los eventos de ciberseguridad.
  6. Proporcionar capacitación regular sobre ciberseguridad a todos los empleados.
  7. Utilizar cifrado para proteger los datos sensibles en tránsito y en reposo.

Penalidades por Incumplimiento

El Departamento de Servicios Financieros del Estado de Nueva York (DFS) puede imponer sanciones monetarias civiles de hasta un máximo de $5,000 por cada violación y hasta un máximo de $5,000 por cada día que el infractor continúe en incumplimiento. Además, el DFS puede emitir órdenes de cese y desistimiento, revocar o suspender licencias y certificados, ordenar al acusado que tome medidas correctivas, y/o llevar a cabo otras investigaciones o procedimientos según lo definido por la ley. Finalmente, cualquier persona que violente de manera consciente y deliberada cualquier disposición del 23 NYCRR 500 puede estar sujeta a cargos criminales y posible encarcelamiento.

Mejores Prácticas para el Cumplimiento del 23 NYCRR 500

Es esencial que las organizaciones comprendan las regulaciones del 23 NYCRR 500 e implementen mejores prácticas para mantenerse en cumplimiento. Las siguientes mejores prácticas deben tenerse en cuenta:

Comprende las Obligaciones Legales de tu Empresa

Como negocio, es esencial comprender todos los requisitos regulatorios que se aplican a tu empresa. Estar al tanto de los requisitos legales ayuda a asegurar el cumplimiento con el 23 NYCRR 500.

Implementa un Programa Integral de Ciberseguridad

Un programa integral de ciberseguridad es esencial para proteger los datos, sistemas y redes de las amenazas cibernéticas. Este programa debe incluir políticas, procedimientos y tecnologías diseñadas para proteger y monitorear contra amenazas.

Capacita a los Empleados

Como parte del programa de ciberseguridad, es importante proporcionar capacitación a los empleados sobre las políticas y procedimientos. Esta capacitación debe cubrir temas como la identificación de correos electrónicos de phishing y las mejores prácticas para asegurar los datos.

Establece un Proceso de Gestión de Riesgos

Establecer un proceso de administración de riesgos de ciberseguridad que evalúe los riesgos potenciales para la organización, documente los riesgos e identifique formas de minimizar esos riesgos es esencial para cumplir con el 23 NYCRR 500.

Monitorea y Mantén los Sistemas de Seguridad

Los sistemas de seguridad como los cortafuegos y el software antivirus deben ser monitoreados y mantenidos para asegurar que funcionen correctamente y estén actualizados. Se deben realizar escaneos de seguridad regulares para identificar cualquier vulnerabilidad.

Desarrolla un Plan de Respuesta a Incidentes

Tener un plan de respuesta a incidentes en marcha es esencial para responder a los incidentes de seguridad. Este plan debe describir los procesos para responder y mitigar los incidentes.

Establece la Gestión de Proveedores de Terceros

Establecer y gestionar las relaciones con proveedores de terceros es importante para asegurar que todos los proveedores cumplan con el 23 NYCRR 500. Es esencial evaluar a los proveedores para asegurar que sus medidas de seguridad cumplan con los requisitos de la organización.

Asegura la Privacidad de los Datos con la Red de Contenido Privado de Kiteworks

Uno de los mejores enfoques para ayudar con el cumplimiento del 23 NYCRR 500 es utilizar tecnología que apoye la privacidad de los datos. El cifrado, la gestión y visibilidad de datos, los controles automatizados y las implementaciones técnicas de políticas de gobernanza, riesgo y cumplimiento pueden ser de gran ayuda en estos esfuerzos. Las empresas deben comprender tanto sus obligaciones legales como su postura ética cuando se trata de proteger la privacidad de los datos de los usuarios.

La Red de Contenido Privado de Kiteworks unifica, rastrea, controla y asegura la comunicación de contenido sensible en una sola plataforma. La gobernanza centralizada permite a las organizaciones de servicios financieros demostrar cumplimiento con las regulaciones de privacidad de datos y ciberseguridad como el 23 NYCRR 500, la Ley de Administración de Seguridad de la Información Federal (FISMA), la Autoridad Reguladora de la Industria Financiera (FINRA), la Regla de Salvaguardas de la FTC, la Ley Gramm-Leach-Bliley (GLBA), entre otras.

Las comunicaciones de datos de archivos y correos electrónicos enviadas y compartidas a través de la Red de Contenido Privado de Kiteworks están envueltas por el dispositivo virtual reforzado de Kiteworks, que emplea un cortafuegos de red integrado y WAF y acceso de privilegio mínimo de confianza cero, minimizando la superficie de ataque. Aprende cómo la Red de Contenido Privado de Kiteworks permite a las organizaciones financieras demostrar cumplimiento con el 23 NYCRR 500 y varios otros estándares de privacidad de datos y ciberseguridad programa una demostración personalizada hoy.


Volver al Glosario de Riesgo y Cumplimiento

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

始めましょう。

Kiteworksを使用すれば、規制コンプライアンスを確保し、リスクを効果的に管理することが簡単に始められます。今日、コンテンツ通信プラットフォームに自信を持つ数千の組織に参加しましょう。以下のオプションから選択してください。

デモを予約
担当者に相談
Compartir
Twittear
Compartir
Explore Kiteworks