La FTC establece como fecha límite de cumplimiento el 9 de junio para la aplicación de la norma de salvaguardias.

Jun 9, 2023
Share

La Comisión Federal de Comercio (FTC) ha fijado el 9 de junio como fecha límite para que las instituciones financieras cumplan con la nueva Norma de Salvaguardias de la FTC, que las obliga a implementar medidas para proteger la información de sus clientes.

A lo largo de la muy corta historia de Internet, los hackers han expuesto más registros de datos que estrellas hay en nuestra galaxia… o 10, o incluso 100 galaxias. Así que a finales de 1999, cuando los gobiernos comenzaban a comprender la amplitud y profundidad de las amenazas a los sistemas de datos críticos que sustentan casi todos los pilares de la sociedad occidental, el Congreso de los Estados Unidos promulgó la Ley Gramm-Leach-BlileyEsta ley buscaba reorganizar la regulación de los servicios financieros y, como resultado, transformó por completo la industria financiera.

Si avanzamos rápidamente hasta el 9 de junio de 2023, encontraremos nuevas disposiciones (publicadas en 2021). de la FTC Estas modificaciones, que entrarán en vigor ampliando las definiciones y el alcance de los sistemas, organizaciones, procesos y procedimientos afectados, son objeto de debate entre las comisiones y los expertos en ciberseguridad. Dichos cambios, que analizaremos más adelante, esperan que refuercen las prácticas existentes de seguridad de la información del cliente y permitan que más organizaciones adopten enfoques eficaces basados ​​en el riesgo.

Es importante destacar que el cumplimiento de estos requisitos no es opcional para el sector de servicios financieros ni para los procesadores de datos financieros relacionados.

¿Quién ha influido en los datos?

Una institución financiera es cualquier empresa que maneja divisas, tiene responsabilidades fiduciarias, registros comerciales, información financiera de clientes y muchos otros aspectos del sistema comercial y tributario de Estados Unidos como sus actividades principales (aunque existen ciertas excepciones). excepciones que implican algunas obligaciones de presentación de informes sobre un plan de gestión de la seguridad de la información para empresas con menos de 5.000 clientes).

La actualización 2021/23 amplía la regla de bancos y corredurías para incluir empresas que normalmente no se consideran instituciones financieras, tales como concesionarios de automóviles y preparadores. La regla también agrega a aquellos que proporcionan conexiones entre compradores y vendedores en un intercambio abierto o plataforma que procesa transacciones en nombre de otros. Cada vez más, fintechs están siendo investigadas por la FTC. Por lo tanto, es posible que su empresa aparezca en esta lista.

Sin embargo, el simple hecho de usar dinero no implica estar sujeto a la GLBA ni a la Regla de Salvaguardias de la FTC —por ejemplo, un pequeño minorista que no cuenta con su propio sistema de solicitud de crédito— y, por lo tanto, no estar sujeto a la pesada carga de la supervisión regulatoria. Aun así, se beneficiaría de adoptar algunas de estas estrategias más rigurosas mediante una mayor resiliencia y capacidad de recuperación empresarial.

¿Qué se le exige hacer?

La mayoría de las empresas medianas y grandes que desean ganarse la confianza de clientes y socios lo hacen cumpliendo de manera proactiva con los mandatos regulatorios. Estos incluyen estándares de seguridad de la información (infosec) de amplio alcance como SOC I/II y ISO 27001y regímenes específicos de la industria, como PCI y FINRA.

Este ecosistema generalmente requiere un enfoque integral para mantener la CIA, es decir, la confidencialidad, la integridad y la disponibilidad de los datos y la infraestructura. Las empresas sujetas a la Regla de Salvaguardias GLBA deben implementar programas de gestión de la seguridad de la información en un plan escrito que se defina según la naturaleza, el alcance y la sensibilidad de los datos que manejan.

Deberá comprender y protegerse contra las amenazas conocidas y emergentes a los sistemas y redes, proteger los datos almacenados o procesados ​​(por ejemplo, bases de datos o transacciones individuales) y documentar su capacidad para informar sobre el acceso y el uso de los datos, entre otras cosas. Este plan debe revisarse y actualizarse periódicamente, los empleados y contratistas deben recibir capacitación sobre sus principios y requisitos, y deben establecerse normas y un sistema de monitoreo de seguridad continuos.

¿Cómo sería un SGSI razonable?

Un sistema o plan de gestión de seguridad de la información (SGSI) define las políticas, los procedimientos operativos estándar, los parámetros de datos, el control de acceso, el registro de eventos y otros parámetros relacionados para cumplir con una auditoría estándar del sector. Sin embargo, la exhaustividad del programa SGSI depende de múltiples factores, entre ellos el tamaño de la empresa, la sensibilidad de los datos, los perfiles de riesgo y las evaluaciones de amenazas. Dada la amplia definición de institución financiera que ofrece la FTC, cuando corresponda, deberá desarrollar, implementar y mantener un programa de seguridad de la información.

Como organización o equipo directivo, su nivel mínimo de tolerancia al riesgo debe estar equilibrado para evitar perjudicar indebidamente sus intereses comerciales. Al igual que al realizar una evaluación previa para una auditoría ISO, debe establecer una base de seguridad de la información que cuente con el respaldo de todos. Esto definirá los costos operativos, los recursos humanos, la exposición legal y otras consideraciones importantes que impactan directamente en su cumplimiento normativo.

Las tareas para cumplir con las regulaciones se dividen en “dominios” que contienen “controles” para guiarlo en la gestión de la seguridad de los datos, y pueden ser bastante efectivas si:

  • Designa a una persona cualificada para implementar y supervisar el programa de seguridad de la información de tu empresa.
  • realizar una evaluación de riesgos
  • Diseñar e implementar medidas de seguridad para controlar los riesgos identificados a través de su evaluación de riesgos.
  • Supervise y pruebe periódicamente la eficacia de sus medidas de seguridad.
  • capacitar a su personal
  • Supervise a sus proveedores de servicios
  • Mantenga actualizado su programa de seguridad de la información.
  • crear un plan escrito de respuesta ante incidentes
  • Exija que su persona calificada rinda cuentas a su Junta Directiva.

También es importante examinar los requisitos previos de este programa. Debe comprender el valor de los datos, su ubicación, confidencialidad, casos de uso, horizonte temporal, usuarios, propietarios y otros identificadores de activos que deberán recopilarse y analizarse de forma segura y adecuada.

Conclusión

Si bien añade una posible complejidad a muchas empresas que antes no estaban sujetas a supervisión regulatoria, la ley actualizada es importante para todos, no solo para los proveedores de servicios. Todos tenemos datos confidenciales en instituciones financieras, a veces incluso sin nuestro conocimiento (recordemos la filtración de Equifax). Las leyes que protegen esa información constituyen un nivel adicional de seguridad; garantizar la aplicación equitativa de la norma a todos los proveedores de servicios beneficia nuestra salud financiera personal y la de la economía en general.

Para cumplir con las Normas de Protección de Datos de la FTC, puede utilizar Cyera para fortalecer su programa de seguridad de la información y lograr visibilidad de la información de sus clientes. Comprender sus datos es fundamental para implementar controles efectivos. Con Cyera, puede esperar:

  • Inventaría toda la información de tus clientes
  • Marcar infracciones de cumplimiento en la información del cliente
  • Asignar automáticamente la gravedad a las exposiciones de datos.
  • Supervise continuamente la superficie de ataque de los datos.
  • Identificar a los usuarios que acceden a la información del cliente.
  • Auditar el estado de cifrado de la información del cliente.
  • Mejorar la segmentación de la información del cliente en entornos seguros.
  • Auditar el acceso y los permisos a la información del cliente.
  • Mitigar riesgos mediante flujos de trabajo automatizados.

La plataforma de seguridad de datos de Cyera proporciona un contexto profundo sobre sus datos, aplicando controles correctos y continuos para garantizar la ciberresiliencia y el cumplimiento normativo.

Cyera adopta un enfoque de seguridad centrado en los datos, evaluando la exposición de sus datos tanto en reposo como en uso y aplicando múltiples capas de defensa. Gracias a que Cyera aplica un contexto de datos profundo e integral a todo su entorno de datos, somos la única solución que permite a los equipos de seguridad saber dónde se encuentran sus datos, qué los expone a riesgos y tomar medidas inmediatas para corregir las vulnerabilidades y garantizar el cumplimiento normativo sin interrumpir las operaciones comerciales.

Para obtener más información sobre cómo puede proteger la información del cliente según las Reglas de Salvaguardia de la FTC, Programa una demostración hoy.

Share