ktsdesign - Fotolia

Noticias Manténgase informado sobre las más recientes actualizaciones de productos y noticias de tecnología empresarial.

Nueva tendencia en regulaciones de ciberseguridad podría traer un cumplimiento más rudo

Nuevas regulaciones estatales de ciberseguridad en EE.UU. podrían significar que el cumplimiento se vuelva más complicado.

¿Estamos al borde de una nueva ola de regulaciones de ciberseguridad? Durante muchos años, las organizaciones involucradas en asistencia sanitaria, servicios financieros y otras industrias que manejan información sensible construyeron programas de cumplimiento en torno a las leyes federales que rigen sus actividades. Pero recientes movimientos regulatorios sobre ciberseguridad del estado de Nueva York pueden presagiar una nueva tendencia hacia regulaciones estatales de  seguridad cibernética que tiene preocupados a muchos expertos de cumplimiento de TI.

Los expertos de cumplimiento de TI ya están bastante familiarizados con la sopa de letras de los reglamentos federales. HIPAA, SOX, GLBA, FERPA, HITECH y otros acrónimos ya producen incontables horas de evaluaciones y documentación. Incluso la tan cacareada PCI DSS tiene la condición de nacional, a pesar de que puede que no sea una ley federal. Hasta ahora, los estados no han hecho mucho fuera del alcance limitado de las leyes de notificación de violación de datos.

¿Qué está pasando en Nueva York?

Hace cuatro años, Andrew Cuomo, gobernador del estado de Nueva York, nombró a Benjamin Lawsky como el primer superintendente de una burocracia poco conocida llamado el Departamento de Servicios Financieros (DFS). El encargó a esta nueva agencia con la supervisión de productos y servicios financieros en el estado, incluyendo las industrias de banca y seguros. Uno de los objetivos declarados del Superintendente Lawsky para su administración es "prevenir el riesgo sistémico”. Acciones recientes de DFS indican que uno de los riesgos a los que apunta  Lawsky es la ciberseguridad.

En febrero de 2015, la compañía de seguros de salud Anthem fue noticia cuando se anunció una importante violación de datos que afectó la información personal de hasta 80 millones de clientes. Una de las ondas de choque enviadas por esta brecha al parecer llegó a Albany, Nueva York, donde Lawsky emitió un comunicado de prensa declarando: “Las recientes brechas de ciberseguridad deben servir como una llamada de atención severa para que las aseguradoras y otras instituciones financieras fortalezcan sus ciberdefensas. A esas empresas se les confía un tesoro virtual de  información confidencial del cliente que es un blanco atractivo para los hackers. Los reguladores y empresas del sector privado deben tanto redoblar sus esfuerzos, como moverse agresivamente para ayudar a proteger estos datos de los consumidores”.

En ese mismo comunicado, DFS dio alguna indicación acerca de qué movimientos agresivos tomaría. El departamento se ha comprometido a llevar a cabo evaluaciones de seguridad cibernética regulares en las compañías de seguros, emitir nuevas regulaciones de ciberseguridad, y examinar las relaciones de seguridad entre las compañías de seguros y sus socios de negocios. Los expertos de cumplimiento en las compañías de seguros deberían prestar especial atención a los futuros anuncios de DFS y estar pendientes de proyectos de regulaciones.

Los seguros no son la única industria en la mira de Lawsky. En diciembre de 2014, el departamento también dio a conocer los procedimientos de examen revisados que afectan a los bancos en Nueva York. Uno de los nuevos elementos que los reguladores analizarán es la póliza de seguros de ciberseguridad de cada banco. Este nuevo requisito de seguro puede ser sorprendente para los bancos que actualmente no llevan dicho seguro.

¿Es este el comienzo de una tendencia?

Los expertos de cumplimiento de TI están viendo esta actividad en Nueva York con gran interés. Algunos creen que otros estados pueden seguir el ejemplo, como fue el caso después de que California aprobó la primera ley de notificación de violación de datos de la nación. Otros piensan que el Consejo Federal de Examinación de Instituciones Financieras podría adoptar las normas de seguridad cibernética de Nueva York como práctica federal en los próximos meses. Sea cual sea el resultado final, es probable que los movimientos recientes en Nueva York causen ondas en todo el país.

Cumplir con un mosaico de regulaciones estatales es de particular preocupación para las grandes empresas que hacen negocios en muchos estados diferentes. Comprender la idiosincrasia de las leyes estatales potencialmente superpuestas y conflictivas es un escenario muy desagradable que probablemente daría lugar a la confusión a través de las fronteras estatales. Esperemos que el gobierno federal reconozca esto y adopte estándares que se anticipan a las regulaciones estatales con un marco nacional coherente.

Sobre el autor: Mike Chapple, Ph. D., CISA, CISSP es un director senior de TI con la Universidad de Notre Dame. Anteriormente se desempeñó como investigador de seguridad de la información con la Agencia de Seguridad Nacional y la Fuerza Aérea de Estados Unidos. Chapple es un colaborador frecuente de SearchSecurity.com, y sirve como su experto residente en cumplimiento empresarial, marcos y estándares. Es editor técnico de SearchSecurity.com y la revista Seguridad de la Información, y autor de varios libros sobre seguridad de la información, incluyendo la "Guía de Preparación CISSP" y "Seguridad de la Información Iluminada".

Próximos pasos

Más sobre ciberseguridad:

Ciberseguridad… ¿nos preocupamos o nos ocupamos?

¿Cómo pueden las empresas manejar la brecha de habilidades de ciberseguridad?

La ciberseguridad necesita empezar con las cosas simples

Investigue más sobre Auditoría de seguridad y el cumplimiento de normas

Únase a la conversación

1 comentario

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

Pues sí el sector de las infraestructuras críticas es uno de los más vulnerables. No obstante y sin desviarme del tema como experta de ciberseguridad para una de las empresas más grandes del sector en España creo que carecemos por completo de unos marcos establecidos por el gobierno que nos permitan poder atajar estas amenazas de forma más contundente.
Cancelar

- ANUNCIOS POR GOOGLE

Close