5 requisitos regulatorios de seguridad de datos para servicios financieros

Casi todos en la industria de servicios financieros saben lo importante que es para su negocio cumplir con las regulaciones de seguridad de datos. Pero ¿cuántos equipos están seguros de que sus firmas podrán mantener el cumplimiento en el futuro?

Con 91% de las firmas utilizando servicios en la nube, cuya naturaleza permisiva y fluida las hace notoriamente difíciles de asegurar, apostaríamos a que la respuesta es menos de lo que crees. La innovación ya está haciendo más difícil cumplir con los requisitos existentes. Y a medida que las empresas de servicios financieros navegan una ola de adopción de la nube, los reguladores no están perdiendo el tiempo en responder.

Ya sea mediante regulaciones como la Ley Sarbanes–Oxley (SOX) o la Regulación de Ciberseguridad del Departamento de Servicios Financieros del Estado de Nueva York (NYDFS), los legisladores se apresuran para anticiparse a los riesgos de seguridad de los datos de los consumidores. El resultado serán requisitos de cumplimiento más estrictos al mismo tiempo que el uso de datos se expande exponencialmente.

Las empresas de servicios financieros pueden y deben adelantarse a este desafío. Esta publicación de blog detalla cinco desafíos fundamentales de cumplimiento de seguridad de datos que enfrentan los equipos de seguridad en las empresas de servicios financieros y explica cómo Cyera ayuda a resolver cada uno.  

1. Protección de la Información Personal No Pública

Los datos personales están impulsando una revolución en todo, desde el marketing hasta la evaluación de riesgos. Pero también tienen un lado negativo. Cuantos más datos personales utilice una firma de servicios financieros, más difícil será para los equipos de seguridad demostrar a los reguladores dónde está la información y cómo se monitorea.

Por ejemplo, compara cómo la Ley Gramm-Leach-Bliley (GLBA) obliga a las instituciones financieras a proteger la información personal no pública (NPI) frente a cómo lo hacen las empresas de servicios financieros.

La Comisión Federal de Comercio (FTC) define la NPI como "información financiera de identificación personal" recopilada por una institución financiera en relación con la prestación de un producto o servicio financiero, a menos que esa información sea de otro modo "de acceso público". Ejemplos de NPI incluyen nombres, direcciones, números de teléfono, estados de cuenta bancarios, números de seguro social e historial crediticio.

La GLBA exige salvaguardas de seguridad específicas en torno a controles de acceso, inventario de activos y cifrado. Los procesos que las firmas de servicios financieros utilizan para cumplir con los requisitos en torno a los controles deben mantenerse al día. Pero incluso cuando las firmas de servicios financieros adoptan entornos en la nube y DevOps, muchas todavía dependen de herramientas desconectadas y procesos manuales.

Solución: descubrimiento continuo

Incluso en entornos de nube extensos, Cyera puede descubrir de forma continua NPI dentro de tus almacenes de datos para crear un inventario de todo el NPI y alertar a los equipos de SecOps sobre violaciones de cumplimiento. Por ejemplo, Cyera puede ayudar a tu firma a detectar cuando se otorga acceso excesivamente permisivo a usuarios en un almacén de datos que contiene NPI.

2. Monitoreo continuo

La supervisión puntual no puede seguir el ritmo de cómo las firmas de servicios financieros usan los datos. Los reguladores lo saben y exigen que las firmas realicen monitoreo continuo mediante marcos como el National Institute of Standards and Technology y el Marco de Ciberseguridad (NIST CSF).

El NIST CSF comprende cinco funciones principales: identificar, proteger, detectar, responder y recuperar. Dado que los controles de NIST son fundamentales para otros requisitos regulatorios, cumplir con ellos tiene sentido para muchas empresas de servicios financieros. 

Muchas empresas de servicios financieros batallan con el NIST CSF porque sus evaluaciones de seguridad de datos son solo puntuales.

Solución: Monitoreo sin interrupciones

Cyera puede proporcionar a su firma monitoreo continuo de las exposiciones de sus datos sensibles y alertarle sobre los problemas a medida que ocurren con detección y respuesta de datos (DDR) en múltiples nubes. Cyera puede ayudar a identificar las clases de datos que tiene una firma de servicios financieros, si son sensibles o no, y qué nivel de riesgo presentan.

3. Realizar evaluaciones de riesgo y cifrar datos

Para combatir las ciberamenazas que aprovechan las brechas en la seguridad de datos y en la aplicación del cifrado, los reguladores exigen cada vez más que las empresas de servicios financieros realicen evaluaciones de riesgos. Por ejemplo, el Departamento de Servicios Financieros del Estado de Nueva York (NYDFS) se encuentra actualmente en el proceso de exigir "evaluaciones periódicas de riesgos" y pruebas de resiliencia.

Si bien evaluar el riesgo para los datos y desarrollar resiliencia es una clara ventaja para las empresas de servicios financieros, tomar medidas para lograrlo cuando la mayoría de las compañías se apresuran hacia la transformación digital representa un desafío importante. En una encuesta de Deloitte sobre el nivel de madurez en ciberseguridad del sector financiero, solo la mitad de los encuestados se mostraron confiados en su resiliencia para manejar los datos de los clientes. 

Solución: Evaluación de riesgos de datos 

Para ayudar a reforzar los esfuerzos de resiliencia, Cyera puede ayudarte a obtener visibilidad completa de tus datos, determinar si alguno de ellos está expuesto y resolver rápidamente problemas de seguridad materiales. Además, Cyera puede ofrecer orientación de remediación para que puedas resolver los problemas identificados con rapidez.

4. Auditorías

Cuando se trata de auditorías, los equipos de seguridad enfrentan un desafío circular. Cuantos más datos utilizan, más regulaciones y restricciones de gobernanza les aplican y, por lo tanto, más necesitan realizar auditorías. También existe el reto de intentar encontrar y entender qué datos sensibles tienen en entornos aislados por silos. El resultado es un retraso en la entrega de la información adecuada necesaria para completar una auditoría.

Armados solo con información fragmentaria proveniente de inventarios (por lo general) desactualizados y de escaneos, encuestas y certificaciones reactivas en toda la organización, los equipos no confían en que sus respuestas de auditoría sean completas. Cuando intentan solucionar esto y se agrega la información, ya está obsoleta. Y si la respuesta de auditoría debe entregarse en un plazo determinado, este esfuerzo manual adicional a menudo provoca multas por entrega tardía.

Solución: Inventario dinámico de almacenes de datos

Cyera reduce el tiempo necesario para realizar auditorías al mantener un inventario dinámico de almacenes de datos y clasificar automáticamente la información, agregando contexto profundo a tus datos. Cyera te muestra exactamente qué datos tienes, dónde residen y corrige exposiciones que podrían derivar en fallas de seguridad, privacidad o cumplimiento normativo. Así, cuando surjan auditorías, puedes tener la confianza de que estás asegurando el cumplimiento de forma activa y cumplir rápidamente con la solicitud de auditoría.

5. Mantener la segregación de funciones

Elemento central de regulaciones como la Ley Sarbanes–Oxley (SOX), la segregación de funciones o separación de funciones (SOD) reduce el control centralizado sobre los procesos y los datos. Desde el punto de vista de la seguridad de datos, SOD significa que ninguna persona debería poder exfiltrar datos sensibles.

Aunque el concepto es relativamente sencillo, para las empresas de servicios financieros puede resultar bastante complejo proteger los datos con SOD a escala. Por eso es una infracción común de SOX. En la práctica, el SOD suele realizarse mediante extensas revisiones manuales de quién tiene acceso a qué.

Solución: Un sistema empresarial para el cumplimiento de SOD

Cyera te ayuda a lograr el cumplimiento de SOD al informarte quiénes son los usuarios con acceso a almacenes de datos o clases de datos específicos. Por ejemplo, Cyera puede indicarte si el acceso está limitado a ciertos empleados o disponible para cualquiera con conexión a internet. Más allá de los silos de datos, Cyera revela dónde se encuentran los datos sensibles y quiénes son los propietarios de los datos en SaaS, IaaS y PaaS, tanto para datos estructurados como no estructurados.

Cyera puede mostrarte qué permisos están habilitados y si los usuarios pueden leer, escribir, copiar o eliminar los datos. Y si alguno de los usuarios representa riesgos indebidos debido a cuentas obsoletas, contraseñas débiles o una combinación de eso más acceso a información confidencial, Cyera destacará esos problemas.

Preparando el cumplimiento para el futuro con Cyera

La orientación regulatoria ha sido un saldo positivo para las empresas de servicios financieros al incrementar las salvaguardas de los datos sensibles y fortalecer la confianza de los consumidores. Los reguladores siguen exigiendo que las firmas de FSI demuestren que comprenden su huella de datos en la nube en expansión y que apliquen controles más estrictos. En consecuencia, los sistemas heredados para mantener el cumplimiento de la seguridad de los datos deben ponerse al día.

La plataforma de seguridad de datos de Cyera ofrece un contexto profundo sobre tus datos y aplica controles correctos y continuos para asegurar la ciberresiliencia y el cumplimiento.

Cyera adopta un enfoque centrado en los datos para la seguridad, evaluando la exposición de tus datos en reposo y en uso y aplicando múltiples capas de defensa. Como Cyera aplica un profundo contexto de datos de forma integral en todo tu entorno de datos, somos la única solución que puede capacitar a los equipos de seguridad para saber dónde están sus datos, qué los expone a riesgos y tomar medidas inmediatas para remediar las exposiciones y garantizar el cumplimiento sin interrumpir el negocio.

Empieza a obtener visibilidad y control sobre tus datos sensibles programando una demostración hoy mismo.