O que é o regulamento de segurança cibernética do NYDFS e como o Lepide ajuda
Em 2017, o Departamento de Serviços Financeiros do Estado de Nova Iorque (NYSDFS) apresentou uma regulamentação de segurança cibernética destinada ao setor financeiro. A regulamentação semelhante ao GDPR inclui requisitos incrivelmente rigorosos para relatar violações de dados e limitar a retenção de dados.
Existem alguns pontos em comum com o Regulamento de Segurança Cibernética do NYDFS e outros regulamentos bem conhecidos, incluindo controles para segurança de dados, processos de avaliação de risco, documentação de política de segurança e a nomeação de um CISO.
O objetivo deste regulamento, tal como acontece com outros regulamentos semelhantes, é garantir que as informações sensíveis (informações de identificação pessoal, ou PII) sejam protegidas.
O que é o Regulamento de Segurança Cibernética do NYDFS?
O Regulamento de Segurança Cibernética do NYDFS foi “projetado para promover a proteção das informações dos clientes, bem como dos sistemas de tecnologia da informação das entidades regulamentadas. ” O que isto significa essencialmente é um requisito para que uma avaliação de risco seja conduzida e usada para implementar uma estratégia de segurança proativa e sofisticada. As estratégias de segurança devem ser definidas em três fases; detecção, prevenção e resposta.
O Regulamento de Segurança Cibernética do NYDFS concentra-se em empresas de serviços financeiros no Estado de Nova York. As entidades cobertas incluem, mas não estão limitadas a, bancos, companhias de seguros, corretores de hipotecas, credores e cooperativas de crédito. Existem algumas exceções notáveis às entidades cobertas. Se sua empresa tiver menos de 10 funcionários, movimentar menos de US$5.000.000 em receita bruta anual ou tiver menos de US$10.000.000 em ativos totais no final do ano, você poderá estar isento.
Como funciona o regulamento de segurança cibernética do NYDFS para proteger dados confidenciais
Se você é uma grande organização financeira em Nova York, é provável que já esteja sujeito a outra regulamentação de conformidade, como PCI-DSS ou SANS CSC 20. Se for esse o caso, provavelmente você já está aplicando as práticas e políticas de segurança exigidas. pelo NYDFS.
Algumas das políticas e práticas que você precisará observar se quiser alcançar e manter a conformidade com o NYDFS incluem classificação de dados, governança de acesso a dados, análise do comportamento do usuário, auditoria de alterações, resposta a incidentes e recuperação de dados.
Ao exigir a designação de um CISO, o NYDFS destaca os seus objectivos como método de manter a segurança e a privacidade dos dados. As organizações com CISOs ativos geralmente estão mais bem equipadas para criar e sustentar estratégias de segurança que garantam a proteção de PII.
Quais são os requisitos do Regulamento de Segurança Cibernética do NYDFS?
O Regulamento de Segurança Cibernética do NYDFS exige que as entidades cobertas realizem as seguintes ações:
- Manter uma trilha de auditoria - Certifique-se de registrar e responder a quaisquer eventos suspeitos, indesejados ou não autorizados em seu ambiente relacionados a dados confidenciais. As trilhas de auditoria deverão ser mantidas por um período de cinco anos (Seção 500.06).
- Governar o acesso a dados confidenciais - Certifique-se de implementar e manter uma política de privilégio mínimo, onde o acesso a PII seja restrito apenas aos funcionários que exigem permissões. Estas permissões também devem ser revisadas regularmente (Seção 500.07).
- Executar avaliações de risco regulares - Estas devem ser realizadas no mínimo uma vez por ano, mas de preferência com muito mais regularidade. As Avaliações de Risco devem ser usadas para destacar áreas de fraqueza e avaliar o estado atual da segurança dos dados (Seção 500.09).
- Limitar a retenção de dados - As PII que não são mais necessárias para operações comerciais ou para qualquer outra finalidade legítima devem ser descartadas adequadamente. O descarte desses dados deve ser imediato e o processo deve ser estanque (Seção 500.13).
- Desenvolver um Plano de Resposta a Incidentes - Um plano interno para detectar e responder a incidentes de segurança cibernética deve ser desenvolvido, testado e implementado (Seção 500.16).
- Notificar as autoridades dentro de 72 horas após uma violação - Você deve certificar-se de notificar o NYFS dentro de 72 horas sobre uma violação que afete dados confidenciais e tenha uma chance razoável de prejudicar os envolvidos.
Como Lepide pode ajudar na conformidade de segurança cibernética do NYDFS
A plataforma Lepide Data Security foi projetada para ajudar as organizações a melhorar a proteção de dados, cumprir a conformidade e detectar/responder a ameaças. Como resultado, a Lepide está bem equipada para alcançar e manter a conformidade de segurança cibernética do NYDFS.
Implementando um Programa de Segurança Cibernética (Seção 500.02)
Lepide pode ajudá-lo a desenvolver um programa de proteção de dados que se concentra na proteção de PII em seu ambiente. Usando o Lepide, você pode identificar e classificar PII, determinar quem tem acesso a elas (e detectar permissões excessivas), analisar o comportamento do usuário e relatar e alertar sobre anomalias/ameaças.
Trilha de Auditoria (Seção 500.06)
Lepide oferece aos usuários uma plataforma única para gerenciar riscos e implementar estratégias de proteção de dados. Os relatórios integrados permitem pesquisar uma trilha de auditoria de eventos para investigar violações. Esses relatórios fornecem dados importantes de auditoria, incluindo informações sobre quem, o quê, quando e onde, em um formato de fácil leitura.
Governança de acesso a dados (Seção 500.07)
Com o Lepide, você pode identificar quais usuários têm acesso às PII para poder manter os direitos de acesso apropriados. A análise contínua de permissões ajuda você a detectar alterações nas permissões que podem afetar sua posição de menor privilégio. Você pode até identificar quais usuários têm permissões excessivas para poder revogá-las.
Avaliação de Risco (Seção (500.09)
O painel Lepide Risk Assessment oferece uma visão geral das áreas críticas de risco em seu ambiente. Informações sobre a quantidade de PII que você armazena, onde estão armazenadas, quem tem acesso a elas e o que os usuários estão fazendo com elas são exibidas em um painel intuitivo. Lepide também pode fornecer um relatório de avaliação de risco totalmente gratuito e pronto para uso que destaca as ameaças ativas atuais em seu ambiente crítico.
Monitoramento de interações de dados e resposta a incidentes (Seções 500.14 e 500.16)
Lepide monitora ativamente o comportamento do usuário, incluindo cópias, exclusões, movimentações, renomeações, modificações de arquivos e muito mais. Modificações incomuns ou indesejadas podem acionar um alerta em tempo real para garantir que o CISO tenha visibilidade sobre as ameaças atuais.
Lepide também pode ajudá-lo a responder a ameaças ativas em sua organização, acionando automaticamente um script de alerta. Os scripts podem ser usados para impedir um ataque de ransomware, isolar um usuário ou servidor específico e mitigar os danos de um ataque em andamento.
Se você gostaria de ver uma demonstração de como o Lepide pode ajudar a cumprir o Regulamento de Segurança Cibernética do NYDFS, agende hoje mesmo uma demonstração da Plataforma de Segurança de Dados Lepide com um de nossos engenheiros.