Ley SHIELD de Nueva York: dónde entra en juego la gestión de riesgos de terceros

La Ley SHIELD de Nueva York entrará en vigor en marzo de 2020 con varias implicaciones para la gestión de riesgos de terceros.

Personal de Mitratech
Personal de Mitratech Agosto 27, 2019 6 min leer
Decorative image

Promulgada por el gobernador de Nueva York el 25 de julio de 2019, la Ley Stop Hacks and Improve Electronic Data Security (SHIELD) es una ley de protección de datos que ha ampliado la definición de información personal para incluir el nombre de usuario y la contraseña de una cuenta en línea y los datos biométricos; exige controles específicos de seguridad de los datos a las organizaciones para proteger la información personal de los residentes de Nueva York; y establece requisitos específicos de notificación de violaciones de datos y sanciones a las organizaciones en las que se hayan visto comprometidos los datos de los residentes de Nueva York.

La Ley SHIELD, que en gran medida actualiza las leyes anteriores del estado de Nueva York, entrará en vigor el 21 de marzo de 2020 y tiene por objeto mejorar las protecciones de ciberseguridad y la notificación de violaciones de datos, con sanciones que van desde 5000 dólares por infracción hasta 20 dólares por cada notificación no realizada (con un límite máximo de 250 000 dólares). Al igual que la Ley de Privacidad del Consumidor de California (CCPA) para ese estado, si su organización recopila cualquier tipo de información personal de un residente del estado de Nueva York, o si intercambia información con un socio comercial que lo hace, la ley se le aplica independientemente de la ubicación de su organización.

Requisitos de cumplimiento de la Ley SHIELD

Lo que diferencia notablemente a la Ley SHIELD de otras leyes relacionadas con la protección de datos es que establece una serie de criterios de cumplimiento. La ley define tres (3) tipos de medidas de seguridad para evaluar el cumplimiento: administrativas, físicas y técnicas, con requisitos que incluyen:

  • Designar y formar a los empleados para coordinar el cumplimiento de la normativa de ciberseguridad.
  • Recurrir a proveedores de servicios externos capaces de mantener prácticas adecuadas de ciberseguridad, con las garantías exigidas por contrato.
  • Evaluación del riesgo del programa de ciberseguridad de la empresa, incluyendo tanto el diseño de la red y el software como el procesamiento, la transmisión y el almacenamiento de la información.
  • Aplicar procesos y medidas de seguridad físicas para detectar, prevenir y responder a ataques o fallos del sistema.
  • Supervisión y comprobación de la eficacia del programa de ciberseguridad.
  • Aplicar procesos para eliminar de forma segura y permanente los datos en un plazo razonable una vez que ya no sean necesarios para fines comerciales.
  • Actualizar periódicamente el programa para abordar los cambios en el negocio o las circunstancias que requieran modificaciones en el programa.

Según las definiciones de la Ley, se puede lograr el cumplimiento (lo que se denomina «puerto seguro») si una organización cumple los requisitos de la Norma de Salvaguardias de la GLBA, la HIPAA o la 23 NYCRR Parte 500, aunque la Ley no aclara cómo puede una organización demostrar que cumple con cualquiera de estos regímenes normativos.

Consideraciones sobre la gestión de riesgos de terceros

Hay varias áreas en las que habrá que tener en cuenta las relaciones comerciales con terceros para garantizar el cumplimiento de la Ley SHIELD de Nueva York. Utilizaremos los puntos de la sección anterior para identificar estas áreas específicas y plantearemos varias preguntas para determinar la preparación de su organización para el cumplimiento de la Ley SHIELD. Revise el texto de la ley para obtener una visión completa de los requisitos. La tabla siguiente no debe interpretarse como recomendaciones de cumplimiento, sino simplemente como preguntas para evaluar lo que su organización podría necesitar abordar.

Ley SHIELD de Nueva York

Requisito Examen de control
Recurrir a proveedores de servicios externos capaces de mantener prácticas adecuadas de ciberseguridad, con las garantías exigidas por contrato.
  • ¿La organización lleva a cabo evaluaciones basadas en controles internos de terceros según los requisitos de las leyes aplicables, como GLBA, HIPAA o NYCRR Parte 500?
  • ¿La organización supervisa las redes externas de terceros y utiliza información sobre riesgos empresariales, como noticias, datos financieros, despidos, cambios en la dirección, demandas judiciales, etc., que pueden servir para predecir vulnerabilidades futuras?
  • ¿Existe un proceso definido para identificar, clasificar, priorizar y gestionar los riesgos hasta un nivel aceptable?
  • ¿Cuenta la organización con un proceso de flujo de trabajo definido para escalar los riesgos identificados con el fin de remediarlos?
Evaluación del riesgo del programa de ciberseguridad de la empresa, incluyendo tanto el diseño de la red y el software como el procesamiento, la transmisión y el almacenamiento de la información.
  • ¿Utiliza la organización análisis de vulnerabilidades de redes externas junto con múltiples fuentes externas para obtener información sobre amenazas cibernéticas?
  • Además de la supervisión externa, ¿la organización está realizando pruebas de penetración para detectar vulnerabilidades?
  • ¿La organización supervisa las relaciones entre diferentes terceros para obtener visibilidad sobre cómo se podría compartir la información personal?

Supervisión y comprobación de la eficacia del programa de ciberseguridad.
  • ¿Existe un registro de auditoría centralizado que controle todas las interacciones entre los proveedores y la organización?
  • ¿Existe un registro centralizado de riesgos que recopile todos los riesgos identificados a partir de fallos en los controles internos o de los resultados de análisis cibernéticos externos, de modo que se comunique una puntuación clara del riesgo?
  • ¿Existe una función de generación de informes en tiempo real que muestre los riesgos existentes y los efectos de las medidas correctivas previstas?
  • ¿Existe algún informe específico sobre el cumplimiento que muestre el porcentaje de cumplimiento o el progreso hacia el cumplimiento?

Actualizar periódicamente el programa para abordar los cambios en el negocio o las circunstancias que requieran modificaciones en el programa.

 ¿La organización tiene opciones para mantener la flexibilidad del programa, incluyendo:

  • ¿Múltiples opciones de cuestionarios estándar del sector con la posibilidad de personalizar uno adecuado para la empresa?
  • ¿Definir calendarios de evaluación para determinar qué terceros evaluar con recordatorios de seguimiento automatizados?
  • ¿La capacidad de externalizar la recopilación y el análisis de las encuestas a proveedores para que los equipos internos de gestión de riesgos se centren en la gestión de riesgos?
  • ¿Aprovechar las encuestas precompletadas y las pruebas de los proveedores para acelerar el proceso de gestión de riesgos?

Cómo Prevalent puede ayudar a cumplir los requisitos de gestión de riesgos de terceros de la ley SHIELD

Prevalent ofrece la única plataforma unificada y diseñada específicamente para la gestión de riesgos de terceros. La plataforma Prevalent combina evaluaciones automatizadas de proveedores, supervisión continua de amenazas, flujo de trabajo de evaluación y gestión de correcciones a lo largo de todo el ciclo de vida del proveedor, con servicios de asesoramiento y consultoría expertos, red y opciones externalizadas para optimizar su programa de gestión de riesgos. Con más de 50 opciones de cuestionarios integrados, incluidos los de NYCRR 500 y otros útiles para la ley SHIELD, Prevalent puede ayudar a las organizaciones a obtener una visión de 360 grados de los proveedores para simplificar el cumplimiento, reducir los riesgos y mejorar la eficiencia de un programa escalable de gestión de riesgos de terceros.

Esté atento a más opciones de cuestionarios específicos sobre la ley SHIELD en la plataforma Prevalent y no dude en ponerse en contacto con nosotros hoy mismo si tiene alguna pregunta sobre cómo afectará SHIELD a su organización. Mientras tanto, descargue nuestro informe técnico sobre cumplimiento normativo, en el que se detallan los requisitos de gestión de riesgos de terceros en múltiples normativas y estándares y se describen las capacidades de Prevalent en relación con dichos regímenes.

Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.