5 Requisitos reglamentarios de seguridad de datos para los servicios financieros

Casi todos en el sector de servicios financieros saben lo importante que es para su negocio cumplir con las normativas de seguridad de datos. Pero, ¿cuántos equipos confían en que sus empresas podrán mantener dicho cumplimiento en el futuro?
Con 91% de las empresas Al utilizar servicios en la nube, cuya naturaleza permisiva y flexible los hace notoriamente difíciles de proteger, apostaríamos a que la respuesta es menor de lo que piensa. La innovación ya está dificultando el cumplimiento de los requisitos normativos existentes. Y mientras las empresas de servicios financieros se benefician de la adopción masiva de la nube, los reguladores no pierden el tiempo en responder.
Ya sea a través de regulaciones como la Ley Sarbanes-Oxley (SOX) o el Reglamento de Ciberseguridad del Departamento de Servicios Financieros del Estado de Nueva York (NYDFS)Los legisladores se apresuran a anticiparse a los riesgos de seguridad de los datos de los consumidores. El resultado serán requisitos de cumplimiento más estrictos al mismo tiempo que el uso de datos se expande exponencialmente.
Las empresas de servicios financieros pueden y deben anticiparse a este desafío. Esta publicación de blog detalla cinco desafíos clave de cumplimiento de la seguridad de datos a los que se enfrentan los equipos de seguridad en las empresas de servicios financieros y explica cómo Cyera ayuda a resolver cada uno de ellos.
1. Protección de la información personal no pública
Los datos personales están impulsando una revolución en ámbitos que van desde el marketing hasta la evaluación de riesgos. Sin embargo, esto también conlleva una desventaja. Cuantos más datos personales utilice una empresa de servicios financieros, más difícil será para los equipos de seguridad demostrar a los reguladores dónde se encuentran esos datos y cómo se supervisan.
Por ejemplo, compare cómo la Ley Gramm-Leach-Bliley (GLBA) exige a las instituciones financieras que salvaguarden información personal no pública (NPI) a cómo lo hacen las empresas de servicios financieros.
El Comisión Federal de Comercio La Comisión Federal de Comercio (FTC) define la información financiera no personal (NPI, por sus siglas en inglés) como aquella que una institución financiera recopila al proporcionar un producto o servicio financiero, a menos que dicha información sea de dominio público. Algunos ejemplos de NPI incluyen nombres, direcciones, números de teléfono, extractos bancarios, números de seguro social e historial crediticio.
La GLBA exige medidas de seguridad específicas en torno a controles de acceso, inventario de activos, y cifradoLos procesos que utilizan las empresas de servicios financieros para cumplir con los requisitos de control deben mantenerse actualizados. Sin embargo, a pesar de que estas empresas están adoptando entornos en la nube y DevOps, muchas aún dependen de herramientas desconectadas y procesos manuales.
Solución: Descubrimiento continuo
Incluso en entornos de nube extensos, Cyera puede descubrir continuamente información personal no pública (NPI) en sus almacenes de datos para crear un inventario de toda la NPI y alertar a los equipos de seguridad (SecOps) sobre infracciones de cumplimiento. Por ejemplo, Cyera puede ayudar a su empresa a detectar cuándo se otorga un acceso excesivamente permisivo a los usuarios en un almacén de datos que contiene NPI.
2. Monitoreo continuo
El monitoreo puntual no puede seguir el ritmo de cómo las empresas de servicios financieros utilizan los datos. Los reguladores lo saben e insisten en que las empresas realicen un monitoreo continuo a través de marcos como el Instituto Nacional de Estándares y Tecnología y el Marco de Ciberseguridad (NIST CSF).
El Marco de Seguridad de Datos del NIST comprende cinco funciones principales: identificar, proteger, detectar, responder y recuperar. Dado que los controles del NIST son fundamentales para otros requisitos regulatorios, su cumplimiento resulta lógico para muchas empresas de servicios financieros.
Muchas empresas de servicios financieros tienen dificultades con el Marco de Ciberseguridad del NIST porque sus evaluaciones de seguridad de datos solo se realizan en un momento específico.
Solución: Monitorización sin interrupciones
Cyera puede proporcionar a su empresa una monitorización continua de las exposiciones de sus datos confidenciales y alertarle sobre los problemas a medida que se producen en entornos multi-nube. detección y respuesta de datos (DDR)Cyera puede ayudar a identificar las clases de datos que posee una empresa de servicios financieros, si son sensibles o no, y qué nivel de riesgo representan.
3. Realización de evaluaciones de riesgos y cifrado de datos.
Para combatir las amenazas cibernéticas que explotan las deficiencias en la seguridad de los datos y la aplicación del cifrado, los reguladores exigen cada vez más que las empresas de servicios financieros realicen evaluaciones de riesgos. Por ejemplo, el Departamento de Servicios Financieros del Estado de Nueva York (NYDFS) se encuentra actualmente en el proceso de obligar "Evaluaciones periódicas de riesgos" y pruebas de resiliencia.
Aunque evaluar el riesgo para los datos y desarrollar resiliencia es una clara ventaja para las empresas de servicios financieros, tomar medidas para hacerlo cuando la mayoría de las empresas se apresuran hacia la transformación digital es un desafío significativo. En una encuesta de Deloitte sobre el nivel de madurez de la ciberseguridad del sector financiero, Solo la mitad de los encuestados Confiaban en su capacidad para gestionar eficazmente los datos de los clientes.
Solución: Evaluación de riesgos de datos
Para ayudar a impulsar los esfuerzos de resiliencia, Cyera puede te ayudamos a obtener una visibilidad completa de tus datos., determina si hay alguna vulnerabilidad y resuelve rápidamente los problemas de seguridad importantes. Además, Cyera puede ofrecer orientación para la remediación, de modo que pueda solucionar rápidamente los problemas identificados.
4. Auditorías
Cuando se trata de auditoríasLos equipos de seguridad se enfrentan a un círculo vicioso. Cuantos más datos manejan, más regulaciones y restricciones de gobernanza están sujetos, y por lo tanto, más auditorías deben realizar. Además, resulta complicado identificar y comprender qué datos confidenciales manejan en entornos aislados. Esto provoca retrasos en la entrega de la información necesaria para completar una auditoría.
Con información fragmentada proveniente de inventarios (generalmente) desactualizados y escaneos, encuestas y certificaciones puntuales de toda la empresa, los equipos carecen de la confianza necesaria para que sus respuestas a las auditorías sean completas. Al intentar remediar esta situación y recopilar la información, esta ya está desactualizada. Además, si la respuesta a la auditoría debe presentarse dentro de un plazo determinado, este esfuerzo manual adicional suele resultar en multas por retraso.
Solución: Inventario dinámico de almacenamiento de datos
Cyera reduce el tiempo necesario para realizar auditorías gracias a un inventario dinámico de datos y a la clasificación automática de los mismos, que además proporciona un contexto detallado. Cyera le muestra con precisión los datos que posee, su ubicación y corrige las vulnerabilidades que podrían derivar en fallos de seguridad, privacidad o cumplimiento normativo. De este modo, cuando surjan auditorías, podrá tener la certeza de que está garantizando activamente el cumplimiento y responder con rapidez a la solicitud de auditoría.
5. Mantener la segregación de funciones
Un elemento central de normativas como la Ley Sarbanes-Oxley (SOX) es la segregación de funciones o separación de funciones (SOD), que reduce el control centralizado sobre los procesos y los datos. Desde el punto de vista de la seguridad de los datos, la SOD implica que ninguna persona debería poder extraer datos confidenciales.
Aunque el concepto es relativamente sencillo, para las empresas de servicios financieros puede resultar bastante complejo proteger los datos mediante la segregación de funciones (SOD) a gran escala. Por lo tanto, es una infracción común de la Ley Sarbanes-Oxley (SOX). En la práctica, la SOD suele implementarse mediante revisiones manuales exhaustivas para determinar quién tiene acceso a qué.
Solución: Un sistema empresarial para el cumplimiento de la segregación de funciones (SOD)
Cyera te ayuda a cumplir con la segregación de funciones (SOD) al informarte sobre los usuarios con acceso a almacenes de datos o clases de datos específicos. Por ejemplo, Cyera puede indicarte si el acceso está restringido a ciertos empleados o a cualquier persona con conexión a internet. Más allá de los silos de datos, Cyera descubre dónde se encuentran los datos confidenciales y quiénes son sus propietarios en plataformas SaaS, IaaS y PaaS, tanto para datos estructurados como no estructurados.
Cyera puede mostrarte qué permisos están habilitados y si los usuarios pueden leer, escribir, copiar o eliminar los datos. Además, si alguno de los usuarios representa un riesgo indebido debido a cuentas inactivas, contraseñas débiles o una combinación de estos factores junto con el acceso a información confidencial, Cyera resaltará esos problemas.
Garantizando el cumplimiento normativo a futuro con Cyera
Las directrices regulatorias han tenido un impacto positivo para las empresas de servicios financieros al reforzar las medidas de seguridad de los datos confidenciales e impulsar la confianza del consumidor. Los reguladores siguen exigiendo que estas empresas demuestren comprender su creciente presencia de datos en la nube y que apliquen controles más estrictos. En consecuencia, los sistemas heredados para el cumplimiento de la seguridad de los datos deben actualizarse.
La plataforma de seguridad de datos de Cyera Proporciona un contexto exhaustivo sobre sus datos, aplicando controles correctos y continuos para garantizar la ciberresiliencia y el cumplimiento normativo.
Cyera adopta un enfoque de seguridad centrado en los datos, evaluando la exposición de sus datos tanto en reposo como en uso y aplicando múltiples capas de defensa. Gracias a que Cyera aplica un contexto de datos profundo e integral a todo su entorno de datos, somos la única solución que permite a los equipos de seguridad saber dónde se encuentran sus datos, qué los expone a riesgos y tomar medidas inmediatas para corregir las vulnerabilidades y garantizar el cumplimiento normativo sin interrumpir las operaciones comerciales.
Comience a obtener visibilidad y control sobre sus datos confidenciales mediante Programar una demostración hoy.


