Definición y propósito

Promulgada para abordar el creciente panorama de amenazas en el sector financiero, la NYDFS NYCRR 500 establece estándares para proteger la información sensible y mantener la integridad de los sistemas financieros.

El propósito de esta regulación de ciberseguridad es promover la protección de la información del cliente, así como de los sistemas de tecnología de la información de las entidades reguladas.

Órgano de Gobierno

El Departamento de Servicios Financieros del Estado de Nueva York (NYDFS) es el órgano de gobierno encargado de supervisar y hacer cumplir el NYCRR 500. El Superintendente de Servicios Financieros juega un papel clave en la implementación y el mantenimiento de la regulación.

Última actualización

Desde su promulgación en 2017, el NYDFS NYCRR 500 ha sido enmendado dos veces, una en abril de 2020 y la más reciente en noviembre de 2023.

Se aplica a

La regulación se aplica a una amplia gama de instituciones financieras que operan en el estado de Nueva York, incluidas bancos, compañías de seguros y otros proveedores de servicios financieros.

Más específicamente, se aplica a asociaciones, corporaciones, sucursales, agencias y asociaciones que operen bajo, o que deban operar bajo, una licencia, registro, carta, certificado, permiso, acreditación o autorización similar bajo la Ley Bancaria, la Ley de Seguros o la Ley de Servicios Financieros.

Controles y requisitos

El NYDFS NYCRR 500 incluye un conjunto integral de controles y requisitos, que cubren áreas tales como:

• Política de Ciberseguridad: Implementación de una política o políticas por escrito para la protección de los sistemas de información de la entidad y de la información no pública almacenada en esos sistemas de información.
• Gestión de vulnerabilidades: Implementar políticas y procedimientos escritos para la gestión de vulnerabilidades que estén diseñados para evaluar y mantener la efectividad de su programa de ciberseguridad.
• Privilegios y gestión de acceso: Limitar los privilegios de acceso de acuerdo con el principio de privilegio mínimo y monitorear la actividad de acceso privilegiado.
• Evaluación de riesgos: Realizar una evaluación de riesgos periódica de los sistemas de información de la entidad cubierta.

Por favor, consulte la documentación oficial para una lista detallada de controles y requisitos.

Tipo, frecuencia y duración de la auditoría

El reglamento exige auditorías regulares para evaluar el cumplimiento de sus requisitos de ciberseguridad. Las versiones anteriores del reglamento requerían que terceros externos realizaran una auditoría independiente. Ahora, la mayoría de las entidades cubiertas pueden ser auditadas a través de equipos de auditoría externos o internos. La frecuencia de las auditorías puede variar, pero a menudo se realizan al menos anualmente. La alta dirección, que es responsable del programa de ciberseguridad de la organización, debe presentar una certificación anual confirmando el cumplimiento con el Reglamento de Ciberseguridad del NYDFS.

La duración del proceso de auditoría depende del tamaño y la complejidad de la institución financiera, pero generalmente se extiende durante varias semanas para garantizar un examen exhaustivo de los controles y prácticas de ciberseguridad.