El CAT no volverá: qué sigue cuando se jubila la Cybersecurity Assessment Tool y cómo Cyera puede ayudar

El año pasado, el Consejo de Examen de Instituciones Financieras Federales (FFIEC) anunció el retiro de su Herramienta de Evaluación de Ciberseguridad (CAT) para el 31 de agosto de 2025. A diferencia del gato de la querida canción infantil, este CAT no va a regresar, y las instituciones financieras que han dependido de él durante la última década deben planear su reemplazo.

Antecedentes‍

La FFIEC introdujo el CAT en 2015 como una herramienta para ayudar a las instituciones financieras a evaluar su perfil de riesgo de ciberseguridad y su madurez.

Si bien no prescribe un marco específico para reemplazar el CAT, el FFIEC ha sugerido otros marcos, en particular el NIST CSF 2.0. Esto tiene sentido, ya que los niveles de madurez del CAT se evaluaban en gran medida comparando la postura de ciberseguridad de las organizaciones con los controles de NIST CSF 1.1. Con el lanzamiento de la versión 2.0, quedó claro que el CAT obsoleto sería actualizado o abandonado.

No obstante, aunque el NIST CSF suele usarse para la autoevaluación y la medición de madurez, no es una herramienta de evaluación de riesgos per se. En consecuencia, algunos analistas de la industria prevén una mayor adopción de marcos como los Perfiles del Cyber Risk Institute (CRI). Los Perfiles CRI asignan a las instituciones financieras a uno de cuatro Niveles con base en aspectos como su tamaño y su interconexión con el sistema financiero global. Las instituciones de Nivel 1 representan el mayor riesgo sistémico, mientras que las entidades de Nivel 4 representan el menor.

Los Perfiles se basan en el NIST CSF 2.0, con controles adicionales diseñados específicamente para el sector financiero, incluyendo controles de gobernanza para las cadenas de suministro, gestión de riesgos independiente y auditorías independientes. Según su Nivel de riesgo, las organizaciones estarán sujetas a todas las categorías y subcategorías de control, o a un subconjunto acorde con su tamaño, complejidad e importancia crítica para el sector financiero.

La complejidad de los Perfiles puede disuadir a las organizaciones más pequeñas, para las cuales es probable que el marco básico del NIST CSF sea suficiente. Sin embargo, su enfoque sistémico basado en riesgos refleja el del Reglamento de Resiliencia Operativa Digital (DORA) de la UE, lo que podría impulsar aún más su adopción más amplia por parte de entidades mayores a medida que las instituciones financieras multinacionales convergen en un conjunto común de estándares y prácticas de ciberseguridad.

Cómo ayuda Cyera‍

Cyera ofrece una cobertura integral de la mayor parte del marco de controles NIST CSF 2.0, destacándose en controles técnicos críticos que abarcan la seguridad de datos, la gestión de riesgos, el control de acceso y el monitoreo continuo. De hecho, la Plataforma de Seguridad de Datos nativa de IA de Cyera aborda eficazmente las seis funciones centrales del NIST CSF.

• GOBERNAR: El servicio de Evaluación de Riesgos de Datos de Cyera respalda el desarrollo de una estrategia de gestión de riesgos de ciberseguridad al mapear la superficie de ataque de una organización e identificar y priorizar riesgos significativos de seguridad de datos. A través del descubrimiento y la clasificación de activos, Cyera también ayuda a identificar a los propietarios de los datos y sus responsabilidades.

• IDENTIFICAR: Cyera automatiza el descubrimiento y la clasificación de datos en entornos en la nube y locales, creando un inventario en tiempo real y preciso de los activos de datos sensibles, incluyendo los usuarios, aplicaciones, plataformas y bases de datos que manejan o almacenan datos sensibles. Cyera también identifica vulnerabilidades relacionadas con los datos, como permisos excesivos y datos sensibles sin cifrar.

• PROTEGER: Cyera monitorea y revisa los controles de acceso, detecta cuentas obsoletas o fantasma y puede enmascarar automáticamente datos sensibles sin cifrar, como números de tarjetas de crédito, números de Seguro Social u otra información personal sensible.

• DETECTAR: Cyera supervisa continuamente la postura de seguridad de los datos y los patrones de acceso de las organizaciones, estableciendo líneas base para las operaciones normales de datos y monitoreando las desviaciones. También monitorea la actividad de proveedores de servicios externos relacionada con datos sensibles. 

• RESPONDER: Cyera se integra con herramientas de flujo de trabajo para admitir la remediación automatizada de vulnerabilidades relacionadas con los datos. También genera registros de auditoría e informes sobre los datos afectados y los patrones de acceso, y facilita la comunicación con las partes interesadas al proporcionar informes detallados de cumplimiento y seguridad. Además, el servicio de Preparación ante Brechas de Cyera ayuda a las organizaciones a desarrollar planes más eficaces de respuesta a incidentes y comunicación en crisis.

• RECUPERAR: Cyera facilita una recuperación rápida al identificar y priorizar los activos de datos críticos y proporcionar información sobre los datos para orientar el análisis posterior a incidentes. A través de su asociación con el proveedor de copias de seguridad Cohesity, Cyera ayuda a las organizaciones a mejorar la resiliencia operativa optimizando la frecuencia de las copias de seguridad según la sensibilidad y criticidad de los datos.

Además de los controles estándar del NIST CSF, los Perfiles de CRI contienen varias nuevas familias de controles diseñadas específicamente para la industria financiera. Estas incluyen:

• Función Independiente de Gestión de Riesgos (GV.IR): Cyera puede ayudar a sugerir mejoras para la estrategia de gestión de riesgos de tu organización. Su servicio de Evaluación de Riesgos de Datos puede ayudarte a identificar brechas en tu postura actual de seguridad de datos y proporcionar hitos y cronogramas para elevar la madurez de tu seguridad de datos.

• Función de Auditoría Independiente (GV.AU): Cyera genera registros y reportes de auditoría que pueden ayudar a tu organización a evaluar el cumplimiento con controles internos y externos. Además, Dataport y MCP Server de Cyera te permiten consultar tus datos de Cyera usando indicaciones en lenguaje natural, ofreciendo respuestas rápidas y concisas a preguntas como “¿cuáles de mis almacenes de datos contienen información de tarjetas de crédito en texto plano?” 

Los Perfiles CRI también prescriben varias ampliaciones de familias de controles, principalmente relacionadas con la gestión de riesgos de terceros:

• Contratos y acuerdos con terceros (EX.CN), planeación de compras y debida diligencia (EX.DD), monitoreo y gestión de proveedores (EX.MM), y Terminación de la relación (EX.TR): Cyera puede identificar a los usuarios y servicios de terceros con acceso a tus datos, monitorear sus patrones de acceso y mantener control sobre su uso de controles de seguridad requeridos por contrato, como la autenticación multifactor. También detecta cuentas obsoletas o fantasma que pueden persistir después de que se haya terminado la relación con el tercero.

Es posible que el CAT no regrese, pero Cyera puede ayudarte a establecer una postura madura de seguridad de datos, sin importar tu nivel de Perfil CRI. Obtén más información solicitando una demostración en Cyera.com.