La gestión de proveedores externos es una función fundamental para la protección de la información de los clientes y las empresas. Los requisitos de la política de seguridad para proveedores de servicios externos establecidos en la Parte 500 del Reglamento de Ciberseguridad del Departamento de Servicios Financieros de Nueva York (DFS) fueron innovadores y, si se cumplen, contribuyen en gran medida a lograr protecciones de ciberseguridad fundamentalmente más sólidas para el sector de los servicios financieros de Nueva York.
La Parte 500 del NYDFS entró en vigor el 1 de marzo de 2017, con un período de implementación de dos años para sus diversas disposiciones. El Reglamento se aplica a cualquier persona o entidad que opere con una licencia, carta constitutiva o autorización similar del DFS, en virtud de las leyes de banca, seguros y servicios financieros de Nueva York. Esto incluye a todos los bancos, corredores hipotecarios y prestamistas hipotecarios, compañías y agentes de seguros, transmisores de dinero y exchanges de criptomonedas autorizados por el estado para operar en Nueva York. El objetivo del Reglamento es proteger toda la información no pública que poseen dichas empresas, incluida la información personal de los consumidores, la información sanitaria y la información relacionada con el negocio, cuya divulgación podría tener un impacto adverso significativo en las operaciones comerciales o la seguridad.
El objetivo del Reglamento de Ciberseguridad del DFS es mejorar la seguridad de la información no pública, mantener la continuidad del negocio y mitigar el riesgo de posibles violaciones de la ciberseguridad, estableciendo normas mínimas estrictas que el sector de los servicios financieros de Nueva York debe cumplir para reforzar los controles y proteger la información no pública. El Reglamento contiene numerosas disposiciones que establecen diversos requisitos para un programa de ciberseguridad, una política de ciberseguridad, la evaluación de riesgos, el cifrado, las pruebas de penetración, la autenticación multifactorial, el plan de respuesta a incidentes, la formación y la gobernanza. La disposición final que entró en vigor el 1 de marzo de 2019 es la sección 500.11, que se refiere a los proveedores de servicios externos. Cada año, todas las entidades afectadas deben certificar ante el NYDFS que cumplen con el Reglamento.
La parte 500.11, titulada «Política de seguridad de los proveedores de servicios externos», se basa en el principio de que una institución regulada por el DFS, obligada a cumplir con el Reglamento, es responsable de la seguridad de la información no pública de la entidad cubierta a la que pueden acceder los proveedores externos. En otras palabras, una entidad cubierta no puede reducir sus medidas de seguridad permitiendo que terceros proveedores con medidas de seguridad inadecuadas tengan acceso a los sistemas de información de la entidad cubierta y a la información no pública de clientes y negocios. Los terceros a los que se refiere el Reglamento son cualquier persona o entidad que preste servicios a la entidad cubierta y a la que se le permita el acceso a información no pública a través de dichos servicios.
Para cumplir con el Reglamento, una entidad regulada por el DFS debe, como mínimo, (1) identificar y evaluar periódicamente los riesgos asociados con sus proveedores externos, (2) diseñar e implementar políticas y procedimientos para abordar los riesgos de ciberseguridad de sus proveedores externos, (3) llevar a cabo la debida diligencia para evaluar la idoneidad de las prácticas de ciberseguridad de cada proveedor, incluidos los controles de acceso de terceros, el uso de cifrado, el personal y la formación; y (4) considerar las declaraciones y garantías contractuales relativas a las protecciones de seguridad y la notificación de incidentes de ciberseguridad.
La ciberseguridad es una responsabilidad de toda la empresa y, por lo tanto, el cumplimiento de la Parte 500 debe seguir un proceso que abarque a toda la empresa y que incluya la evaluación de los proveedores externos. Este proceso debe incluir, de forma periódica, una evaluación de los riesgos de los proveedores externos de la empresa, basada en el acceso de cada proveedor a información no pública y en la solidez de sus políticas y programas de ciberseguridad. La evaluación debe incluir una revisión de los controles de acceso, el uso de cifrado, las pruebas, el personal y la formación del proveedor externo. Al igual que la entidad cubierta debe tener un plan de respuesta a incidentes, también debe tenerlo el proveedor externo que posee la información comercial y de clientes de la entidad cubierta. Estas medidas son de vital importancia para mitigar el riesgo de cualquier daño derivado de una violación de la ciberseguridad.
Hoy en día vivimos en un mundo en el que debemos reconocer que la ciberseguridad es una amenaza existencial que probablemente no se pueda eliminar, pero que sin duda se puede mitigar. Los ciberdelincuentes buscan vulnerabilidades, y estas pueden existir en el suministro de información no pública de una empresa a terceros proveedores. En caso de violación, la entidad cubierta no puede simplemente señalar al proveedor. Aunque el proveedor pueda compartir la responsabilidad, la Parte 500 deja claro que la gestión de proveedores y la diligencia debida de la empresa regulada deben incluir protecciones de ciberseguridad. De este modo, los proveedores externos con programas sólidos de ciberseguridad tendrán una ventaja sobre la competencia a la hora de prestar servicios al sector de los servicios financieros regulados de Nueva York. Como debe ser.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
