5 exigences réglementaires en matière de sécurité des données pour les services financiers

Presque tous les acteurs du secteur financier savent combien le respect des réglementations en matière de sécurité des données est crucial pour leur activité. Mais combien d'équipes sont certaines que leur entreprise pourra maintenir cette conformité à l'avenir ?
Avec 91 % des entreprises Compte tenu de la nature permissive et flexible des services cloud, réputés difficiles à sécuriser, nous pensons que la réponse est moins importante que vous ne le pensez. L'innovation complexifie déjà le respect des exigences de conformité existantes. Et face à l'adoption massive du cloud par les entreprises de services financiers, les autorités de réglementation réagissent sans tarder.
Que ce soit par le biais de réglementations comme la Loi Sarbanes-Oxley (SOX) ou le Règlement sur la cybersécurité du Département des services financiers de l'État de New York (NYDFS)Les législateurs s'efforcent d'anticiper les risques liés à la sécurité des données des consommateurs. Il en résultera des exigences de conformité plus strictes, alors même que l'utilisation des données connaîtra une croissance exponentielle.
Les entreprises de services financiers peuvent et doivent anticiper ce défi. Cet article de blog détaille cinq principaux défis de conformité en matière de sécurité des données auxquels sont confrontées les équipes de sécurité des entreprises de services financiers et explique comment Cyera contribue à les relever.
1. Protection des informations personnelles non publiques
Les données personnelles alimentent une révolution dans tous les domaines, du marketing à l'évaluation des risques. Mais elles présentent aussi un revers. Plus une entreprise de services financiers utilise de données personnelles, plus il sera difficile pour ses équipes de sécurité de démontrer aux autorités de régulation où se trouvent ces données et comment elles sont surveillées.
Par exemple, comparez comment la loi Gramm-Leach-Bliley (GLBA) impose aux institutions financières de protéger informations personnelles non publiques (IPNP) à la manière dont les entreprises de services financiers procèdent.
Le Commission fédérale du commerce La FTC définit les NPI comme des « informations financières permettant d'identifier une personne » collectées par un établissement financier dans le cadre de la fourniture d'un produit ou d'un service financier, sauf si ces informations sont déjà « accessibles au public ». Les noms, adresses, numéros de téléphone, relevés bancaires, numéros de sécurité sociale et antécédents de crédit sont des exemples de NPI.
La loi GLBA exige des mesures de sécurité spécifiques autour contrôles d'accès, inventaire des actifs, et chiffrementLes processus utilisés par les entreprises de services financiers pour se conformer aux exigences en matière de contrôle doivent évoluer au même rythme. Or, même si ces entreprises adoptent de plus en plus les environnements cloud et le DevOps, nombre d'entre elles s'appuient encore sur des outils cloisonnés et des processus manuels.
Solution : Découverte continue
Même dans les environnements cloud les plus vastes, Cyera détecte en continu les données non personnelles (NPI) au sein de vos bases de données afin d'en dresser un inventaire complet et d'alerter les équipes de sécurité en cas de non-conformité. Par exemple, Cyera peut aider votre entreprise à détecter les accès trop permissifs accordés aux utilisateurs dans une base de données contenant des NPI.
2. Surveillance continue
La surveillance ponctuelle ne peut suivre le rythme d'utilisation des données par les entreprises de services financiers. Les autorités de réglementation en sont conscientes et insistent pour que les entreprises effectuent une surveillance continue via des cadres tels que… Institut national des normes et de la technologie et le cadre de cybersécurité (NIST CSF).
Le cadre de sécurité NIST (CSF) comprend cinq fonctions essentielles : identifier, protéger, détecter, répondre et rétablir. Les contrôles NIST étant fondamentaux pour d’autres exigences réglementaires, leur respect est judicieux pour de nombreuses entreprises de services financiers.
De nombreuses entreprises de services financiers ont des difficultés avec le NIST CSF car leurs évaluations de sécurité des données ne sont ponctuelles.
Solution : Surveillance sans interruption
Cyera peut assurer à votre entreprise une surveillance continue de l'exposition de vos données sensibles et vous alerter en cas de problème, même avec un environnement multicloud. détection et réponse aux données (DDR)Cyera peut aider à identifier les catégories de données détenues par une entreprise de services financiers, à déterminer si elles sont sensibles ou non, et à évaluer le niveau de risque qu'elles représentent.
3. Réaliser des évaluations des risques et chiffrer les données
Pour lutter contre les cybermenaces qui exploitent les failles de sécurité et de chiffrement des données, les autorités de réglementation exigent de plus en plus que les entreprises de services financiers réalisent des évaluations des risques. Par exemple, le Département des services financiers de l'État de New York (NYDFS) est actuellement en train de… le processus de mandat « Évaluations périodiques des risques » et tests de résilience.
Bien qu'évaluer les risques liés aux données et renforcer leur résilience constituent un atout indéniable pour les entreprises de services financiers, passer à l'action alors que la plupart des entreprises s'engagent dans une transformation numérique accélérée représente un défi de taille. Selon une enquête de Deloitte sur le niveau de maturité en cybersécurité du secteur financier, seulement la moitié des répondants étaient convaincus de leur résilience en matière de gestion des données clients.
Solution : Évaluation des risques liés aux données
Pour contribuer à renforcer les efforts de résilience, Cyera peut vous aider à obtenir une visibilité complète de vos donnéesDéterminez si des données sont exposées et résolvez rapidement les problèmes de sécurité importants. Cyera peut également vous accompagner dans la résolution de ces problèmes afin de les corriger au plus vite.
4. Audits
En ce qui concerne auditsLes équipes de sécurité sont confrontées à un cercle vicieux. Plus elles utilisent de données, plus elles sont soumises à des réglementations et des restrictions de gouvernance, et donc plus elles doivent réaliser d'audits. À cela s'ajoute la difficulté d'identifier et de comprendre les données sensibles disséminées dans des environnements cloisonnés. Il en résulte un retard dans la transmission des informations nécessaires à la réalisation d'un audit.
Faute d'informations fragmentaires issues d'inventaires (généralement) obsolètes et d'analyses, d'enquêtes et d'attestations réalisées de manière réactive au sein de l'entreprise, les équipes doutent de l'exhaustivité de leurs réponses aux audits. Lorsqu'elles tentent d'y remédier et que les informations sont agrégées, elles sont déjà dépassées. De plus, si la réponse à l'audit doit être soumise dans un délai imparti, ce travail manuel supplémentaire entraîne souvent des pénalités pour réponse tardive.
Solution : Inventaire dynamique des datastores
Cyera réduit la durée des audits en maintenant un inventaire dynamique de vos données et en les classant et les contextualisant automatiquement. Cyera vous indique précisément vos données, leur emplacement et corrige les failles de sécurité susceptibles d'entraîner des problèmes de confidentialité ou de conformité réglementaire. Ainsi, en cas d'audit, vous pouvez garantir activement votre conformité et répondre rapidement aux demandes.
5. Maintien d'une séparation des tâches
Au cœur de réglementations telles que la loi Sarbanes-Oxley (SOX), la séparation des tâches (SOD) réduit le contrôle centralisé sur les processus et les données. Du point de vue de la sécurité des données, la SOD garantit qu'aucune personne ne puisse exfiltrer de données sensibles.
Bien que le concept soit relativement simple, sa mise en œuvre à grande échelle par les entreprises de services financiers, grâce à la séparation des tâches (SOD), peut s'avérer complexe. Il s'agit donc d'une violation fréquente de la loi Sarbanes-Oxley (SOX). En pratique, la SOD est souvent réalisée par le biais d'examens manuels approfondis des accès aux données.
Solution : Un système d'entreprise pour la conformité SOD
Cyera vous aide à garantir la conformité au principe de séparation des données (SoD) en vous indiquant les utilisateurs ayant accès à des bases de données ou classes de données spécifiques. Par exemple, Cyera peut vous indiquer si l'accès est limité à certains employés ou s'il est ouvert à toute personne disposant d'une connexion Internet. En décloisonnant les données, Cyera révèle l'emplacement des données sensibles et l'identité de leurs propriétaires sur les plateformes SaaS, IaaS et PaaS, pour les données structurées comme non structurées.
Cyera vous indique les autorisations activées et si les utilisateurs peuvent lire, écrire, copier ou supprimer des données. De plus, si certains utilisateurs présentent des risques excessifs (comptes inactifs, mots de passe faibles, accès à des informations confidentielles, etc.), Cyera signale ces problèmes.
Pérenniser la conformité avec Cyera
Les directives réglementaires ont globalement eu un impact positif sur les entreprises de services financiers en renforçant la protection des données sensibles et en stimulant la confiance des consommateurs. Les autorités de réglementation continuent d'exiger des entreprises du secteur financier qu'elles démontrent leur maîtrise de l'expansion de leurs données dans le cloud et qu'elles appliquent des contrôles plus rigoureux. Par conséquent, les systèmes existants de gestion de la conformité en matière de sécurité des données doivent être modernisés.
La plateforme de sécurité des données de Cyera Elle fournit un contexte approfondi sur vos données, en appliquant des contrôles corrects et continus pour assurer la cyber-résilience et la conformité.
Cyera adopte une approche de sécurité centrée sur les données, évaluant l'exposition de vos données au repos et en cours d'utilisation et appliquant de multiples niveaux de défense. Grâce à une analyse approfondie et globale de votre environnement de données, Cyera est la seule solution permettant aux équipes de sécurité de localiser leurs données, d'identifier les risques et d'intervenir immédiatement pour y remédier et garantir la conformité, sans perturber l'activité.
Commencez à gagner en visibilité et en contrôle sur vos données sensibles en planifier une démonstration aujourd'hui.
.jpg)

