Fecha límite de cumplimiento del 9 de junio para la Regla de Salvaguardas de la FTC

La Comisión Federal de Comercio (FTC) ha establecido el 9 de junio como fecha límite para que las instituciones financieras cumplan con la nueva Regla de Salvaguardas de la FTC, obligándolas a implementar medidas para proteger la información de los clientes.

A lo largo de la brevísima historia de Internet, los hackers han expuesto más registros de datos que estrellas hay en nuestra galaxia… o en 10, o incluso en 100 galaxias. Así que, a fines de 1999, cuando los gobiernos empezaban a entender el alcance y la profundidad de las amenazas a los sistemas de datos críticos que sustentan casi todos los pilares de la sociedad occidental, el Congreso de EE. UU. promulgó la Ley Gramm-Leach-Bliley. Esta ley buscó reorganizar la regulación de los servicios financieros y, como resultado, remodeló toda la industria financiera.

Avanzando rápidamente al 9 de junio de 2023, encontrarás nuevas disposiciones (publicadas en 2021) de la FTC que entran en vigor y amplían las definiciones y el alcance de los sistemas, organizaciones, procesos y procedimientos afectados. Las comisiones y expertos en ciberseguridad esperan que estos cambios, que detallaremos a continuación, refuercen las prácticas existentes de seguridad de la información de los clientes y permitan que más organizaciones adopten enfoques significativos basados en el riesgo.

Es importante tener en cuenta que el cumplimiento de estos requisitos no es opcional para la industria de servicios financieros ni para los procesadores relacionados de datos financieros.

¿Quién ha impactado los datos?

Una institución financiera es cualquier empresa que maneja monedas, tiene responsabilidades fiduciarias, registros comerciales, información financiera de clientes y muchos otros aspectos del sistema comercial y fiscal de Estados Unidos como sus actividades principales (aunque existen ciertas excepciones que implican algunas obligaciones de reporte de un plan de gestión de seguridad de la información para empresas con menos de 5,000 clientes).

La actualización de 2021/23 amplía la regla de bancos y corredurías para incluir a empresas que normalmente no se consideran instituciones financieras, como concesionarias de autos y preparadores. La regla también incorpora a quienes proveen conexiones entre compradores y vendedores en un mercado o plataforma abierta que procesa transacciones en nombre de terceros. Cada vez más, las fintechs están bajo el escrutinio de la FTC. Como resultado, es posible que su empresa aparezca en esta lista.

Sin embargo, el simple hecho de manejar dinero no significa que estés sujeto a la GLBA y a la Regla de Salvaguardas de la FTC —por ejemplo, un pequeño minorista que no tiene su propio sistema de solicitudes de crédito— y, por lo tanto, no sería responsable del pesado peso de la supervisión regulatoria. Aun así, te beneficiarías de adoptar parte de esta estrategia más rigurosa mediante una mayor resiliencia y capacidad de recuperación del negocio.

¿Qué estás obligado a hacer?

La mayoría de las empresas medianas y grandes que desean ganarse la confianza de clientes y socios lo hacen cumpliendo proactivamente con los mandatos regulatorios. Estos incluyen estándares de seguridad de la información (infosec) de amplio alcance como SOC I/II e ISO 27001, y regímenes específicos de la industria como PCI y FINRA.

Este ecosistema generalmente requiere un enfoque integral para mantener la CIA, es decir, la confidencialidad, la integridad y la disponibilidad de los datos y la infraestructura. Las empresas sujetas a la Regla de Salvaguardas de la GLBA deben implementar programas de gestión de seguridad de la información en un plan escrito definido por la naturaleza, el alcance y la sensibilidad de los datos que manejas.

Necesitarás comprender y defenderte de amenazas conocidas y emergentes a sistemas y redes, proteger los datos almacenados o procesados (por ejemplo, bases de datos o transacciones individuales) y documentar tu capacidad para informar sobre el acceso y uso de datos, por mencionar solo algunas. Este plan debe revisarse y actualizarse regularmente, los empleados/contratistas deben ser capacitados en sus principios y requisitos, y se deben establecer reglas de seguridad y monitoreo continuos.

¿Cómo luce un SGSI razonable?

Un sistema o plan de gestión de la seguridad de la información (ISMS, por sus siglas en inglés) define las políticas, los procedimientos operativos estándar, los parámetros de datos, el control de acceso, el registro de eventos y otros parámetros relacionados para cumplir con una auditoría conforme a un estándar de la industria. Sin embargo, la amplitud del programa ISMS depende de múltiples factores, entre ellos el tamaño del negocio, la sensibilidad de los datos, los perfiles de riesgo y las evaluaciones de amenazas. Dada la amplia definición de la FTC sobre lo que constituye una institución financiera, cuando corresponda será necesario desarrollar, implementar y mantener un programa de seguridad de la información.

Como organización o equipo de liderazgo, su umbral mínimo de tolerancia al riesgo debe estar equilibrado para evitar obstaculizar indebidamente sus intereses comerciales. Al igual que realizar una preevaluación para una auditoría ISO, debe construir una línea base de seguridad de la información que todos respalden. Esto definirá los costos operativos, los recursos humanos, la exposición legal y otras consideraciones importantes que impactan directamente su cumplimiento normativo.

Las tareas para cumplir con las regulaciones se dividen en "dominios" que contienen "controles" para guiarte en la gestión de la seguridad de los datos, y pueden ser bastante eficaces si tú:

• designar a una persona calificada para implementar y supervisar el programa de seguridad de la información de su empresa
• realizar una evaluación de riesgos
• diseña e implementa salvaguardas para controlar los riesgos identificados en tu evaluación de riesgos
• monitorea y prueba regularmente la eficacia de tus salvaguardas
• capacita a tu personal
• supervisa a tus proveedores de servicios
• mantén actualizado tu programa de seguridad de la información
• crear un plan escrito de respuesta a incidentes
• exigir que su persona calificada informe a su Consejo de Administración

También es importante examinar los requisitos previos de este programa. Debes comprender el valor de los datos, su ubicación, sensibilidad, casos de uso, horizonte temporal, usuarios, propietarios y otros identificadores de activos que será necesario recopilar y analizar de forma segura y adecuada.

Conclusión

Si bien agrega una complejidad potencial para muchas empresas que antes no estaban sujetas a supervisión regulatoria, la ley actualizada es importante para todos, no solo para los proveedores de servicios. Todos tenemos datos sensibles en instituciones financieras, a veces incluso sin saberlo (recuerda la filtración de Equifax). Las leyes que protegen esa información representan otro nivel de garantía de seguridad para nosotros; hacer cumplir la aplicación equitativa del estándar en todos los proveedores de servicios beneficia nuestra salud financiera personal y la de la economía en general.

Para cumplir con las Normas de Salvaguardias de la FTC, puedes aprovechar Cyera para fortalecer tu programa de seguridad de la información de datos y obtener visibilidad de la información de tus clientes. Comprender tus datos es la base para implementar controles efectivos. Con Cyera, puedes esperar lo siguiente:

• Haz un inventario de toda la información de tus clientes
• Marcar infracciones de cumplimiento en la información del cliente
• Asignar automáticamente la gravedad a las exposiciones de datos
• Supervisa continuamente la superficie de ataque de datos
• Identifica a los usuarios que acceden a la información de los clientes
• Auditar el estado de cifrado de la información de los clientes
• Mejora la segmentación de la información de clientes en entornos seguros 
• Auditar el acceso y los permisos a la información del cliente 
• Mitiga riesgos mediante flujos de trabajo automatizados

La plataforma de seguridad de datos de Cyera ofrece un contexto profundo sobre tu información y aplica controles correctos y continuos para garantizar la ciberresiliencia y el cumplimiento.

Cyera adopta un enfoque centrado en los datos para la seguridad, evaluando la exposición de tus datos en reposo y en uso y aplicando múltiples capas de defensa. Debido a que Cyera aplica un contexto profundo de datos de manera holística en todo tu panorama de datos, somos la única solución que puede empoderar a los equipos de seguridad para saber dónde están sus datos, qué los expone a riesgos y tomar medidas inmediatas para remediar exposiciones y garantizar el cumplimiento sin interrumpir el negocio.

Para obtener más información sobre cómo puedes proteger la información de los clientes conforme a las Reglas de Salvaguardas de la FTC, programa una demostración hoy mismo.