La regulación NYDFS NYCRR 500 es un pilar fundamental para la ciberseguridad en el sector financiero de Nueva York, estableciendo algunos de los estándares más altos para las regulaciones de seguridad de la información en EE.UU.

Si su organización financiera opera en Nueva York, NYDFS NYCRR 500 tiene implicaciones significativas para su negocio. Sin embargo, las organizaciones a menudo tienen dificultades para entender los requisitos específicos de ciberseguridad de la regulación, el proceso anual de certificación, el reporte de incidentes y las implicaciones del incumplimiento.

Este artículo ofrece una hoja de ruta para las organizaciones que navegan por las complejidades del NYDFS NYCRR 500. Explicaremos qué es el NYDFS NYCRR 500, quiénes necesitan cumplir y quiénes no, y los requisitos de seguridad clave. También compartiremos una lista de verificación paso a paso para ayudarle a lograr y mantener el cumplimiento con las enmiendas de 2023.

Explicación de NYDFS NYCRR 500

La Regulación de Ciberseguridad de NYDFS, también conocida como 23 NYCRR Parte 500, es un conjunto de regulaciones del Departamento de Servicios Financieros del Estado de Nueva York que establece requisitos de ciberseguridad para todas las instituciones financieras cubiertas.

Las regulaciones se emitieron por primera vez en marzo de 2017 y están diseñadas para proteger la industria de servicios financieros de Nueva York y sus consumidores contra ciberataques y violaciones de datos.

En noviembre de 2023, NYDFS anunció enmiendas significativas a NYDFS NYCRR 500, con implicaciones para los programas de ciberseguridad, gobernanza y prácticas de reporte de las entidades cubiertas. Estas enmiendas tienen una fecha de vigencia del 29 de abril de 2024.

¿Quién necesita cumplir con NYDFS NYCRR 500?

Las regulaciones de NYDFS NYCRR 500 se aplican a todas las entidades reguladas por DFS, incluyendo bancos, compañías hipotecarias, compañías de seguros y otras instituciones de servicios financieros con licencia para operar en Nueva York. El cumplimiento de estas regulaciones es obligatorio y representan uno de los marcos de ciberseguridad a nivel estatal más estrictos de los Estados Unidos.

NYDFS NYCRR 500 designa tres tipos diferentes de empresas, con requisitos y procesos de reporte específicos para cada una.

Entidades cubiertas

Las entidades cubiertas incluyen todas las organizaciones reguladas por DFS, incluyendo:

• Bancos con carta estatal
• Cooperativas de crédito
• Organizaciones bancarias extranjeras con licencia para operar en Nueva York
• Prestamistas licenciados
• Compañías hipotecarias
• Compañías de seguros
• Compañías holding
• Compañías de inversión
• Compañías fiduciarias
• Planificadores de presupuestos
• Cambiadores de cheques
• Aseguradoras de salud
• Transmisores de dinero
• Agencias de financiamiento de primas

Empresas Clase A

Las enmiendas de 2023 a NYDFS NYCRR 500 introdujeron una nueva categoría llamada empresas "Clase A", que se aplica a las entidades cubiertas con ingresos significativos o número de empleados. Estas empresas ahora tienen obligaciones adicionales, incluyendo auditorías independientes de sus programas de ciberseguridad y requisitos más estrictos de monitoreo y gestión de acceso​​.

Las Entidades Cubiertas de Clase A tienen al menos $20 millones en ingresos brutos anuales en cada uno de los últimos dos años fiscales de todas las operaciones comerciales y ya sea:

• Emplearon al menos 2000 empleados promediados durante los últimos dos años fiscales
• Generaron más de $1 mil millones en ingresos brutos anuales en cada uno de los últimos dos años fiscales de todas las operaciones comerciales

Pequeñas empresas

La Sección 500.19, también conocida como la Exención para Pequeñas Empresas, exime a ciertas pequeñas empresas de algunos requisitos específicos del NYDFS NYCRR 500. Hay tres formas en que una entidad cubierta puede calificar para la exención limitada:

• La entidad cubierta y todos sus afiliados combinados tienen menos de 20 empleados y contratistas independientes
• La entidad cubierta y todos sus afiliados combinados generaron menos de $7.5 millones en ingresos brutos anuales en cada uno de los últimos tres años de todas las operaciones comerciales en Nueva York
• La entidad cubierta y todos sus afiliados combinados poseen menos de $15 millones en activos totales al final del año

Las entidades cubiertas calificadas deben presentar una Notificación de Exención a través del Portal DFS.

Requisitos de ciberseguridad de NYDFS NYCRR 500 para empresas de servicios financieros

Si bien NYDFS NYCRR 500 es una regulación integral de ciberseguridad, se centra en algunos principios principales: comprender los riesgos específicos de su empresa, construir un programa de ciberseguridad efectivo que los proteja y establecer transparencia y responsabilidad en torno a sus esfuerzos.

Vamos a profundizar en los requisitos clave de NYDFS NYCRR 500, incluidas las enmiendas de 2023 que ampliaron sus disposiciones.

Realiza evaluaciones de riesgos periódicas

Cada organización enfrenta riesgos y amenazas únicas. Las entidades están obligadas a realizar evaluaciones periódicas de riesgos para comprender su panorama de riesgos específico e informar sus iniciativas de ciberseguridad. La evaluación debe actualizarse regularmente para abordar cualquier cambio en los sistemas de información, la información no pública o las operaciones comerciales.

Establecer y mantener un programa de ciberseguridad

Las entidades cubiertas deben usar la evaluación de riesgos para establecer y mantener un programa de ciberseguridad que pueda proteger la confidencialidad, integridad y disponibilidad de sus sistemas de información. Este programa debe ser capaz de detectar, proteger contra, responder a y recuperarse de eventos de ciberseguridad.

Como parte del programa de ciberseguridad, las entidades cubiertas deben implementar políticas y procesos específicos. Estos incluyen:

• Política de Seguridad de la Información: Establece directrices de gobernanza y clasificación de datos para proteger la información del acceso no autorizado, la divulgación, la alteración y la destrucción.
• Política de Control de Acceso: Define quién puede acceder a información y sistemas no públicos específicos, cómo se otorgan los privilegios de acceso de los usuarios y en qué condiciones.
• Plan de Continuidad del Negocio y Recuperación ante Desastres: Describe los procedimientos para mantener las operaciones comerciales y recuperarse de eventos de seguridad con un impacto mínimo.
• Plan de Respuesta a Incidentes: Detalla los pasos para detectar, responder y recuperarse de incidentes de ciberseguridad para minimizar daños. Según las enmiendas de 2023, los planes de respuesta a incidentes ahora deben incluir análisis de la causa raíz y actualizaciones de los planes basadas en incidentes.
• Políticas de Retención y Eliminación de Datos: Especifica cuánto tiempo se almacena la información y los métodos seguros para eliminar la información no pública que ya no es necesaria para las operaciones comerciales.
• Política de Seguridad para Proveedores de Servicios de Terceros: Establece expectativas y requisitos de seguridad para terceros que tienen acceso a los sistemas y datos de la entidad. Esto incluye establecer estándares mínimos de ciberseguridad para los proveedores y realizar la debida diligencia para evaluar la fortaleza de sus prácticas de ciberseguridad.
• Política de Inventario de Activos y Gestión de Dispositivos: Implica mantener un inventario detallado de los activos de TI e implementar controles para su gestión segura.
• Política de Gestión de Vulnerabilidades: Describe cómo una organización identifica, evalúa, prioriza y aborda las vulnerabilidades en sus sistemas y software. También define procesos para escaneos regulares de vulnerabilidades, evaluaciones de riesgos, gestión de parches y estrategias de remediación.

Nombrar liderazgos calificados en ciberseguridad

Mientras que el NYDFS NYCRR 500 originalmente requería que las entidades cubiertas informaran sobre el cumplimiento a la junta o a los altos ejecutivos, las enmiendas de 2023 ahora otorgan el título oficial de “órgano de gobierno superior” a la persona(s) responsable(s) de supervisar la ciberseguridad.

Las enmiendas también especifican las responsabilidades clave de este órgano de gobierno superior, que incluyen:

• Poseer suficiente experiencia en ciberseguridad para ejercer la supervisión requerida (puede incluir el uso de asesores)
• Desarrollar, implementar y mantener el programa de ciberseguridad de la entidad cubierta
• Recopilar y revisar regularmente los informes de gestión relacionados con la ciberseguridad
• Revisar y aprobar las políticas de ciberseguridad de la entidad cubierta al menos una vez al año
• Asegurar que la gestión dedique suficientes recursos para implementar y mantener un programa de ciberseguridad efectivo

Las entidades cubiertas también deben designar a una persona calificada para servir como CISO (o un cargo de gobernanza similar), quien será responsable de supervisar la implementación del programa de ciberseguridad y hacer cumplir sus políticas.

Los CISO deben informar regularmente al órgano de gobierno superior sobre eventos significativos de ciberseguridad y cambios en el programa de ciberseguridad. Además, los CISO, junto con el ejecutivo de mayor rango, deben presentar un aviso anual de cumplimiento al NYDFS. Este aviso certifica el cumplimiento material con los requisitos de la Parte 500 o reconoce áreas de no cumplimiento.

Finalmente, las entidades cubiertas deben emplear personal de ciberseguridad para gestionar los riesgos de ciberseguridad de la entidad y realizar funciones principales de ciberseguridad. El personal de ciberseguridad debe recibir capacitación regular sobre las últimas amenazas y contramedidas de ciberseguridad, incluidas ataques de ingeniería social.

Implementar controles técnicos de seguridad

Una postura sólida de ciberseguridad implica poner en marcha salvaguardias específicas para proteger la seguridad y privacidad de los datos. Según el NYDFS NYCRR 500, estos controles de seguridad incluyen:

• Autenticación multifactor: Se debe habilitar la autenticación multifactor o la autenticación basada en riesgos para prevenir el acceso no autorizado a los sistemas de información de la entidad cubierta.
• Encriptación de información no pública: Las entidades cubiertas deben encriptar la información no pública almacenada o transmitida, tanto en tránsito como en reposo. Según las enmiendas de 2023, las organizaciones ya no pueden usar controles compensatorios para la encriptación de información no pública en tránsito sobre redes externas.
• Seguridad de sistemas y redes: Las entidades deben implementar medidas protectoras y una vigilancia continua para detectar y responder a las amenazas a la infraestructura de TI.
• Seguridad de aplicaciones: Las entidades cubiertas deben tener procedimientos, guías y estándares escritos para garantizar la seguridad de cualquier aplicación desarrollada internamente, así como procedimientos para evaluar o probar la seguridad de aplicaciones desarrolladas externamente.
• Controles físicos y ambientales: Las entidades cubiertas deben proteger los locales físicos y la infraestructura que alberga sistemas críticos de TI contra el acceso no autorizado y los peligros ambientales.
• Controles de privacidad de los datos: Las entidades cubiertas también deben tomar medidas para proteger la información personal contra el acceso y la divulgación no autorizados.
• Capacitación en concienciación sobre seguridad: El personal debe ser capacitado en las mejores prácticas de ciberseguridad, incluyendo la concienciación sobre amenazas, tácticas de ingeniería social y el manejo seguro de información sensible.

Monitorear y probar continuamente la efectividad del programa de ciberseguridad.

Las entidades cubiertas están obligadas a realizar una vigilancia continua de los sistemas para detectar amenazas y vulnerabilidades en ciberseguridad. Las entidades cubiertas también deben llevar a cabo pruebas de penetración anuales y evaluaciones de vulnerabilidades semestrales para probar la efectividad de sus programas de ciberseguridad e implementar un proceso de remediación que garantice una respuesta oportuna a cualquier vulnerabilidad identificada.

Las enmiendas de 2023 especifican que las pruebas de penetración anuales deben realizarse tanto desde dentro como desde fuera de los límites de los sistemas de información. También hay nuevos requisitos para monitorear el acceso privilegiado e implementar soluciones de detección y respuesta en endpoints.

Crear procedimientos de auditoría e informes

La NYDFS NYCRR 500 exige que las entidades cubiertas mantengan un sistema de trazabilidad de auditoría que pueda reconstruir transacciones financieras y registrar el acceso a sistemas críticos para la responsabilidad y trazabilidad. Este sistema debe estar diseñado para detectar y responder a eventos de ciberseguridad, y los registros deben mantenerse durante un mínimo de cinco años.

Las entidades cubiertas también están obligadas a presentar un Certificado Anual de Cumplimiento, y las entidades cubiertas de Clase A a presentar un informe de auditoría anual independiente.

Las entidades cubiertas deben notificar al Superintendente de Servicios Financieros de la NYDFS sobre cualquier evento de ciberseguridad que tenga una probabilidad razonable de impactar las operaciones normales dentro de las 72 horas de haber identificado el evento. Las enmiendas de 2023 también requieren que las entidades cubiertas notifiquen a la NYDFS sobre cualquier incidente en proveedores de servicios externos, así como cualquier pago de extorsión realizado en relación con un evento de ciberseguridad.

¿Cómo certifican las organizaciones el cumplimiento de la NYDFS NYCRR 500?

Las organizaciones están obligadas a demostrar el cumplimiento de la NYDFS NYCRR 500 de forma anual. Dependiendo del tipo de entidad cubierta, esto implica presentar un Certificado de Cumplimiento al superintendente de la NYDFS o completar una auditoría independiente.

Entidades cubiertas: Certificado anual de cumplimiento

Las entidades cubiertas deben certificar su cumplimiento anualmente en abril. Este proceso implica presentar una declaración a la NYDFS afirmando que la entidad cumple con las disposiciones aplicables de la regulación.

Así es como típicamente funciona el proceso de certificación:

Paso 1: Revisión y Evaluación: El primer paso para una entidad cubierta es realizar una revisión y evaluación exhaustiva de su programa y prácticas de ciberseguridad para asegurar que cumplen con los requisitos de la NYDFS NYCRR 500. Esto puede involucrar una auditoría interna de seguridad o la participación de expertos externos en ciberseguridad para identificar brechas o áreas de mejora.

Paso 2: Aprobación del Órgano de Gobierno Superior: Los hallazgos de la revisión y cualquier acción tomada para abordar las brechas deben ser documentados y presentados al órgano de gobierno superior de la entidad para su revisión y aprobación.

Paso 3: Presentación a la NYDFS: Una vez que el órgano de gobierno superior apruebe, la entidad debe preparar un Certificado de Cumplimiento atestiguando su adhesión a los requisitos reglamentarios para el año calendario cubierto.

El Certificado de Cumplimiento completado debe ser enviado a través del Portal de NYDFS antes de la fecha límite especificada, que típicamente es el 15 de abril del año siguiente. Este año, la fecha límite se ha extendido al 29 de abril de 2024 debido a las actualizaciones recientes. Un Certificado de Cumplimiento para 2023 deberá ser presentado antes del 29 de abril de 2024.

Paso 4: Registro de Datos: Las entidades cubiertas deben mantener todos los registros, horarios y datos que respalden el certificado durante cinco años. Esta documentación debe estar disponible para la inspección por parte del NYDFS a solicitud y puede ser necesaria en caso de un examen regulatorio o auditoría.

Empresas de Clase A: Auditoría de cumplimiento externa

Las entidades cubiertas de Clase A deben someterse a una auditoría independiente de cumplimiento anual. Esta auditoría independiente puede ser realizada por un auditor interno o externo, siempre que sea una tercera parte verdaderamente neutral. Esto significa que deben poder tomar decisiones sin verse influenciados por la entidad cubierta, sus propietarios, gerentes o empleados. La auditoría se basará en la evaluación de riesgos de la entidad y verificará el cumplimiento con los requisitos del NYDFS NYCRR 500.

El informe final de auditoría de cumplimiento se presenta al NYDFS a través del portal en línea.

¿Cómo se aplica el NYDFS NYCRR 500?

El cumplimiento se monitorea y se aplica mediante una combinación de auto-certificación, auditorías regulatorias y reportes obligatorios. Por ejemplo, las entidades cubiertas que no presenten un Certificado de Cumplimiento o reporten eventos de ciberseguridad al NYDFS pueden estar sujetas a multas por infracción.

El NYDFS también tiene la autoridad para auditar a las entidades cubiertas para evaluar el cumplimiento, pero en general, las auditorías solo se requieren para las empresas de Clase A. Estas auditorías pueden incluir una revisión de políticas y procedimientos, una inspección de prácticas de ciberseguridad y una evaluación de la efectividad general del programa de ciberseguridad.

Si el NYDFS identifica áreas de incumplimiento durante un examen o auditoría, puede requerir que la entidad cubierta tome medidas correctivas, como revisar políticas, mejorar medidas de seguridad o implementar controles adicionales.

Si una entidad cubierta no implementa acciones correctivas, el NYDFS puede imponer sanciones, incluyendo multas. La severidad de estas sanciones puede variar según la magnitud del incumplimiento y el riesgo potencial que represente para los consumidores y el sistema financiero.

Históricamente, el NYDFS ha impuesto multas significativas por infracciones, incluyendo:

• Robinhood Crypto: 30 millones de dólares
• OneMain Financial Group: 4.25 millones de dólares
• Residential Mortgage Services: 1.5 millones de dólares
• SA Stone Wealth Management: 1.35 millones de dólares
• First American Title Insurance Company: 1 millón de dólares

En su enmienda de 2023 al NYCRR 500, el NYDFS reafirmó su autoridad para hacer cumplir los requisitos regulatorios, enfatizando que incluso un solo acto de incumplimiento podría constituir una infracción​​.

Simplificar el cumplimiento del NYDFS NYCRR 500 con automatización

El software de automatización de cumplimiento puede agilizar el proceso de adherirse al NYDFS 500 mediante la monitorización continua de sistemas y controles, la automatización de tareas manuales de cumplimiento y la simplificación de los procesos de evaluación de riesgos e informes.

Plataformas como Secureframe facilitan a las organizaciones mantener el cumplimiento y centrarse en sus actividades principales:

• Gestión integral de riesgos: Ahorre tiempo y recursos en las evaluaciones de riesgos periódicas del NYDFS 500 automatizando el proceso con inteligencia artificial. Comply AI for Risk produce una puntuación de riesgo inherente, un plan de tratamiento y una puntuación de riesgo residual para mejorar su conciencia y respuesta ante los riesgos.
• Generación de políticas: Aproveche la IA generativa para ahorrar horas escribiendo y refinando sus políticas NYDFS NYCRR 500. Edite y revise fácilmente las políticas utilizando el editor de texto mejorado por IA para crear políticas conformes que se alineen con el tono y la voz de su organización.
• Monitorización continua y recopilación de evidencia: Cientos de integraciones preconstruidas monitorizan su stack tecnológico y la infraestructura de TI para señalar controles fallidos y recopilar automáticamente evidencia de cumplimiento.
• Gestión de proveedores y activos: Reduzca el riesgo de terceros rastreando la postura de seguridad de sus proveedores. Almacene revisiones de proveedores y cuestionarios de seguridad, complete evaluaciones de riesgos de proveedores y obtenga recomendaciones para reducir su exposición al riesgo.
• Mapeo cruzado de controles: Simplifique y acelere el cumplimiento con otros marcos de gran demanda, como SOC 2, ISO 27001 y PCI DSS, aplicando los controles superpuestos que ha implementado para NYDFS NYCRR 500 en múltiples estándares de seguridad.
• Gestión de cambios regulatorios: Nuestro equipo de expertos en cumplimiento monitorea los cambios en el panorama regulatorio para mantener nuestra plataforma actualizada, asistir a las organizaciones durante los períodos de transición y garantizar el cumplimiento continuo con las regulaciones actualizadas.
• Formación en seguridad: Nuestra formación interna y gratuita cumplirá con los requisitos de formación de NYDFS NYCRR 500.

Para obtener más información sobre las capacidades de Secureframe, agende una demostración personalizada con un experto de producto.