¿Qué normas de cumplimiento de ciberseguridad se aplican a las organizaciones de servicios financieros?

26 de enero de 2023 - Equipo de RRPP de TuxCare

Los reglamentos y normas orientan a las empresas hacia una respuesta coherente en materia de ciberseguridad. Aunque solo establezcan una línea de base mínima, los reglamentos siguen sirviendo para mejorar lo que a veces podría ser un esfuerzo de defensa de la ciberseguridad muy limitado.

Las organizaciones de servicios financieros son algunas de las más reguladas del mundo, por lo que no es de extrañar que existan varias normas de cumplimiento de ciberseguridad específicas para este tipo de empresas. Aunque no se trata de una lista exhaustiva, en este artículo analizaremos algunas de estas normas y explicaremos por qué la aplicación de parches, y en concreto la aplicación de parches activos, es fundamental para el cumplimiento de la normativa.

Normativa de cumplimiento específica de los servicios financieros

Los proveedores de servicios financieros, como los bancos comerciales, las cooperativas de crédito, las compañías de seguros, los bancos de inversión, las empresas fintech, los neobancos y las agencias de valores, se rigen por normativas específicas que tienen en cuenta las necesidades únicas de los clientes de servicios financieros.

Las siguientes normas de servicios financieros abarcan temas relacionados con la ciberseguridad y tienen amplias implicaciones para las empresas de servicios financieros, que se enfrentan a multas -o a algo peor- si no las cumplen:

Ley Gramm-Leach-Bliley (GLBA): Ley federal que obliga a las entidades financieras a proteger la seguridad y confidencialidad de los datos de sus clientes. Esto incluye el envío de un aviso anual de privacidad a los clientes y dar a los clientes la oportunidad de optar por no compartir información con terceros.
Normas de seguridad de datos del sector de las tarjetas de pago (PCI DSS): PCI DSS, la otra normativa destacada de los servicios financieros, se aplica a cualquier organización que acepte, procese, almacene o transmita información de tarjetas de pago. Establece un conjunto de controles de seguridad y mejores prácticas para ayudar a salvaguardar los datos de los titulares de tarjetas.
Reglamento sobre ciberseguridad del Departamento de Servicios Financieros del Estado de Nueva York (NYDFS): Aunque es una ley del estado de Nueva York, se aplica a cualquier empresa con licencia o que opere en el estado de Nueva York, lo que amplía su alcance. El NYDFS exige a los bancos y compañías de seguros que establezcan un programa de ciberseguridad que incluya requisitos específicos de seguridad de la información.

Dependiendo de los servicios que ofrezca una organización, de cómo acepte los pagos por esos servicios y de la jurisdicción en la que participe, puede que sólo se aplique uno de los regímenes de cumplimiento mencionados, o incluso los tres.

Herramientas y directrices a tener en cuenta

Las herramientas y directrices también son útiles, aunque no sea obligatorio atenerse a ellas. El Consejo Federal de Examen de Instituciones Financieras (FFIEC) ofrece una herramienta de evaluación de la ciberseguridad que utilizan las instituciones financieras para evaluar su riesgo de ciberseguridad e identificar lagunas en los controles de seguridad.

Asimismo, la Autoridad Reguladora del Sector Financiero (FINRA) proporciona directrices para ayudar a las empresas de servicios financieros a proteger sus redes y los datos de sus clientes frente a las ciberamenazas.

Aunque no está dirigido específicamente a las organizaciones de servicios financieros, el Marco de Ciberseguridad del NIST es, no obstante, otro marco valioso que sirve como lenguaje común que aborda ampliamente los riesgos de ciberseguridad. Las empresas de servicios financieros de Estados Unidos suelen adoptar el NIST.

En finanzas, las empresas también suelen obtener un informe SOC 2que se genera mediante un proceso de auditoría que examina los controles de las organizaciones de servicios, incluidas las que prestan servicios financieros, y abarca la seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad de todos estos sistemas.

Los parches son la clave del cumplimiento de la normativa

Tanto si se trata de un mandato de seguridad como de una directriz, todo se reduce a lo mismo: mantener los sistemas a salvo de amenazas externas. La aplicación de parches es una de las medidas más obvias para lograr esa seguridad. Parchea una vulnerabilidad conocida y los actores de amenazas ya no podrán explotar esa vulnerabilidad.

Los parches también permiten reducir las oportunidades de explotación y el riesgo de éxito de los ataques, sobre todo teniendo en cuenta la naturaleza automatizada y especulativa de muchos de los ataques que vemos hoy en día. Por esa razón, muchas normas de ciberseguridad -incluida PCI DSS- hacen referencia explícita a la aplicación de parches.

Desgraciadamente, la aplicación de parches es también una de las cosas más difíciles de hacer bien de forma sistemática, porque lleva mucho tiempo y es perjudicial. El resultado neto es que la intención de parchear sistemáticamente puede estar ahí, pero la realidad puede ser otra, a menos que se apliquen parches en vivo.

Live Patch para apoyar sus esfuerzos de cumplimiento de la normativa

La solución de parches en vivo de TuxCare cambia por completo el juego de las vulnerabilidades. Al estar automatizada, los administradores de sistemas ya no necesitan invertir grandes cantidades de tiempo en aplicar manualmente parches de seguridad críticos.

Y, dado que la solución de parcheado en vivo de TuxCare aplica las actualizaciones de seguridad sin necesidad de reiniciar -y alterar- los sistemas, también significa que el parcheado se produce sin problemas y de forma coherente, porque nunca hay tiempo de inactividad que tratar de negociar.