NYDFS 23 NYCRR 500: Cómo cumplir los requisitos de gestión de riesgos de terceros

La norma NYDFS 23 NYCRR 500 está diseñada para proteger la confidencialidad, integridad y disponibilidad de la información de los clientes de servicios financieros. A continuación se explica cómo cumplir con los requisitos clave relativos al riesgo de terceros.

Personal de Mitratech
Personal de Mitratech 27 de febrero de 2023 7 min leer

A principios de 2017, el Departamento de Servicios Financieros del Estado de Nueva York (DFS) instituyó una normativa para establecer requisitos de ciberseguridad para las empresas de servicios financieros. Esta legislación, conocida como 23 NYCRR 500, se promulgó en respuesta a las violaciones de datos y las amenazas cibernéticas que aumentaban a un ritmo alarmante, exponiendo datos confidenciales y costando a las organizaciones millones de dólares. La ley se modificó en noviembre de 2022 para tener en cuenta los últimos riesgos para los sistemas de información y los datos, y las actualizaciones entrarán en vigor en 2023.

Esta publicación examina qué organizaciones deben cumplir con la ley, las disposiciones clave sobre gestión de riesgos de terceros en 23 NYCRR 500 y las mejores prácticas para cumplir con los requisitos.

¿Qué organizaciones deben cumplir con la norma 23 NY CRR 500?

Según la normativa, «cualquier persona que opere o esté obligada a operar con una licencia, registro, carta constitutiva, certificado, permiso, acreditación o autorización similar en virtud de la Ley Bancaria, la Ley de Seguros o la Ley de Servicios Financieros, independientemente de si la entidad cubierta también está regulada por otros organismos gubernamentales» se considera una «entidad cubierta» y debe cumplirla, incluso las organizaciones que no tienen su sede en Nueva York.

Sin embargo, existen algunas excepciones a la ley. La enmienda de noviembre de 2022 actualizó los criterios de exención para excluir a las entidades cubiertas con:

  • menos de 20 empleados (incluidos los contratistas independientes) o
  • menos de 15 millones de dólares en activos totales al cierre del ejercicio.

Además, las enmiendas de noviembre de 2022 al reglamento designan a las empresas de «Clase A» con el fin de imponer requisitos más estrictos a las organizaciones de servicios financieros de mayor tamaño. Las empresas de Clase A son aquellas con al menos 20 millones de dólares en ingresos brutos anuales en cada uno de los dos últimos ejercicios fiscales procedentes de las operaciones comerciales de la entidad cubierta y sus filiales en el estado de Nueva York y:

  • más de 2000 empleados de media en los dos últimos ejercicios fiscales, incluidos los de la entidad cubierta y todas sus filiales, independientemente de su ubicación; o
  • más de 1000 millones de dólares en ingresos brutos anuales en cada uno de los dos últimos ejercicios fiscales procedentes de todas las operaciones comerciales de la entidad cubierta y todas sus filiales.

Las empresas de clase A deben cumplir requisitos adicionales más allá de los que deben cumplir todas las entidades cubiertas, entre ellos:

  • Realizar auditorías independientes (utilizando auditores externos) del programa de ciberseguridad al menos una vez al año, y recurrir a expertos externos para llevar a cabo una evaluación de riesgos al menos cada tres años.
  • Implementación de la gestión de accesos privilegiados y un método automatizado para bloquear contraseñas de uso común.
  • Implementación de detección y respuesta en los puntos finales para supervisar actividades anómalas (incluido el movimiento lateral) y una solución que centraliza el registro y las alertas de eventos de seguridad.

Con las recientes sanciones impuestas por la NYCRR 500, que ascienden a un total de 4,5 millones de dólares, es fundamental que las organizaciones comprendan cómo les afecta la normativa.

¿Cuáles son los 23 requisitos de la norma NY CRR 500?

Diseñada para proteger la confidencialidad, integridad y disponibilidad de la información de los clientes, así como de los sistemas de tecnología de la información, esta normativa de ciberseguridad exige que las entidades afectadas tomen las siguientes medidas:

  • Mantener un programa de ciberseguridad que incluya evaluaciones de riesgos, auditorías independientes y documentación de respaldo (Sección 500.2).
  • Implementar y mantener políticas de seguridad de la información basadas en evaluaciones de riesgos, incluyendo la gestión de proveedores y terceros prestadores de servicios (Sección 500.3).
  • Nombrar a un director de seguridad de la información (CISO) que sea responsable de supervisar e informar sobre el programa de ciberseguridad de la organización (Sección 500.4).
  • Incluir tecnologías y prácticas específicas de ciberseguridad (Secciones 500.5-500.10; 500.12-500.17)
  • Crear un programa de gestión de riesgos de terceros (Sección 500.11)
  • Presentar una certificación anual que confirme el cumplimiento de estas normas (Sección 500.17b).

Cómo cumplir con los requisitos de gestión de riesgos de terceros de la norma 23 NYCRR 500

Un componente clave para cumplir con la norma 23 NYCRR 500 es gestionar los controles de seguridad informática y las políticas de privacidad de datos de sus proveedores. La sección 500.11(a) aborda directamente la política de seguridad de los proveedores de servicios externos. Exige a las entidades afectadas que dispongan de una política por escrito que aborde la seguridad de los sistemas de información de terceros basada en una evaluación de riesgos, y exige que la política cubra:

  • Identificación y evaluación de riesgos de cada tercero
  • Prácticas mínimas de ciberseguridad
  • Diligencia debida utilizada para evaluar la idoneidad de sus prácticas de ciberseguridad.
  • Evaluación periódica del proveedor basada en el riesgo y la adecuación continua de sus prácticas de ciberseguridad.

La sección 500.11(b) continúa describiendo políticas y procedimientos específicos sobre los que las entidades cubiertas deben realizar una diligencia debida adicional, como controles de acceso, autenticación multifactorial (MFA), cifrado y notificación de incidentes. Otras secciones de la normativa aplicables a la gestión de riesgos de terceros son la 500.16 (continuidad del negocio) y la 500.17 (respuesta a incidentes de terceros).

Sección 500.11 del 23 NYCRR

Implementar políticas y procedimientos escritos diseñados para garantizar la seguridad de los sistemas de información y la información no pública a la que tienen acceso o que está en poder de terceros proveedores de servicios.

La implementación de una política de seguridad para proveedores de servicios externos debe incluir los siguientes elementos:

  • Una lista precisa y completa de los proveedores de servicios externos, incluyendo la identificación de los servicios específicos prestados por cada uno de ellos.
  • Prácticas de ciberseguridad que deben seguir los terceros, basadas en las políticas y controles de seguridad de la evaluación de riesgos de referencia de la entidad cubierta.
  • Evaluación periódica de los proveedores basada en dichos requisitos, incluidos los procesos de diligencia debida que se utilizarán.
  • Requisitos y directrices contractuales aplicables

La plataforma de gestión de riesgos de terceros de Prevalent permite a las instituciones financieras cumplir estos requisitos en todo su ecosistema de proveedores. Ofrece una solución completa para realizar evaluaciones de riesgos de proveedores, que incluye:

  • Creación de un inventario centralizado de proveedores
  • Puntuación del riesgo inherente para determinar los requisitos de diligencia debida continuos.
  • La capacidad de incorporar requisitos de ciberseguridad en los contratos con los proveedores y evaluar a estos últimos en función de sus prácticas de seguridad.
  • Cuestionarios basados en los marcos y normas recomendados por el Departamento de Servicios Financieros de Nueva York (NY DFS).
  • Un entorno para incluir y gestionar pruebas documentadas en respuesta.
  • Flujos de trabajo para gestionar la revisión y abordar los resultados
  • Informes sólidos que proporcionan a cada nivel directivo la información necesaria para evaluar adecuadamente el rendimiento y el riesgo de cada tercero.

La Plataforma Prevalent también incluye supervisión cibernética, empresarial, reputacional y de inteligencia financiera para detectar posibles amenazas continuas a una entidad cubierta.

Sección 500.16 del 23 NYCRR

Establecer planes por escrito que contengan medidas proactivas para investigar y mitigar eventos disruptivos y garantizar la resiliencia operativa, incluyendo, entre otros, planes de respuesta a incidentes, continuidad del negocio y recuperación ante desastres.

Garantizar la resiliencia empresarial debe incluir la automatización de la evaluación, la supervisión continua, el análisis y la corrección de las prácticas de resiliencia y continuidad empresarial de terceros, al tiempo que se asignan automáticamente los resultados a los marcos de control NIST, ISO y otros. Este enfoque proactivo permite a su organización minimizar el impacto de las interrupciones de terceros y mantenerse al día con los requisitos de cumplimiento. La plataforma Prevalent incluye una evaluación integral de la resiliencia empresarial basada en las prácticas estándar de la norma ISO 22301.

Sección 500.17 del 23 NYCRR

Aviso sobre incidentes de ciberseguridad.

Para cumplir con el requisito de notificar al Departamento de Servicios Financieros en un plazo de 72 horas desde el momento en que se tenga conocimiento de un incidente de ciberseguridad, establezca planes proactivos de respuesta a incidentes de terceros que incluyan:

  • Gestión centralizada de proveedores
  • Realizar evaluaciones proactivas de eventos (y permitir que los proveedores envíen sus propios eventos).
  • Puntuación de los riesgos identificados en función de los umbrales aceptables.
  • Correlacionar las respuestas de los proveedores con la supervisión cibernética continua.
  • Publicar directrices de remediación

Gestión del cumplimiento de la norma 23 NYCRR 500 con Prevalent

Cumplir eficazmente los requisitos establecidos en la norma 23 NYCRR 500 es una tarea imposible si se depende únicamente de hojas de cálculo para recopilar, analizar, corregir e informar sobre los controles de ciberseguridad. La plataforma de gestión de riesgos de terceros de Prevalent permite a su institución de servicios financieros cumplir los requisitos de la norma 23 NYCRR 500 en todo su ecosistema de proveedores. La plataforma ofrece:

  • Diligencia debida automatizada previa al contrato para garantizar que los terceros cuenten con políticas básicas de seguridad de la información a fin de reducir la exposición de su empresa al riesgo.
  • Evaluaciones detalladas de los riesgos inherentes y categorización de proveedores para proporcionar orientación sobre las áreas en las que se deben realizar evaluaciones adicionales.
  • Una amplia biblioteca de plantillas de cuestionarios de riesgo, que ofrece flexibilidad para evaluar a los proveedores según los controles más importantes para su empresa.
  • Supervisión continua y exhaustiva de los incidentes de ciberseguridad, añadiendo contexto y correlacionándolos con los resultados de las evaluaciones.
  • Programas prescriptivos de continuidad del negocio y respuesta ante incidentes para garantizar que los terceros cuenten con las políticas y procedimientos necesarios para hacer frente a los riesgos emergentes en materia de ciberseguridad.

Para obtener más información sobre cómo cumplir con la norma 23 NY CRR 500, descargue nuestra lista de verificación de cumplimiento o póngase en contacto con nosotros para programar una demostración.

Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.