Llega la fecha límite para cumplir con legislación de ciberseguridad en Nueva York

Luego de la aprobación de estrictas reglamentaciones como GDPR y CaCPA, Nueva York toma medidas enérgicas para demostrar que la ciberseguridad no es opcional

Para los especialistas en hacking ético, este 2018 ha estado marcado por la aprobación del Reglamento General de Protección de Datos de la Unión Europea (GDPR) y la Ley de Privacidad del Consumidor de California (CaCPA). Especialistas en hacking ético del Instituto Internacional de Seguridad Cibernética consideran que estas reglamentaciones representan un cambio relevante en la forma en que la comunidad empresarial administra y protege la información del consumidor.

A pesar de la implementación de estos reglamentos, ha pasado desapercibida la aprobación del Reglamento de Ciberseguridad del Departamento de Servicios Financieros del Estado de Nueva York (23 NYCRR 500), cuyo plazo de cumplimiento finalizó el 4 de septiembre.

Este es un conjunto de regulaciones del Departamento de Servicios Financieros de Nueva York que establece nuevos requisitos de ciberseguridad en todas las instituciones financieras cubiertas por esta ley. Esta ley aplicará para todas las entidades que operan bajo licencia, registro o carta constitutiva del Departamento de Servicios Financieros de Nueva York, o que de otra manera están reguladas por DFS.

Mientras que sus contrapartes GDPR y CaCPA hacen referencia al deber de mantener prácticas y procedimientos de seguridad equivalentes al riesgo de daño a los consumidores, la regulación de Nueva York demanda explícitamente un programa de seguridad de aplicaciones robusto y único.

Tal como marca la sección 500.08: El programa de ciberseguridad de cada entidad cubierta por esta ley incluirá procedimientos escritos, directrices y estándares diseñados para garantizar el uso de prácticas seguras de desarrollo para aplicaciones desarrolladas por la entidad cubierta, así como procedimientos para evaluar o probar la seguridad de aplicaciones externas utilizadas por la entidad cubierta en su entorno tecnológico.

En otras palabras, es obligación de las organizaciones cumplir con un estándar de seguridad de aplicaciones, mientras que al hablar de aplicaciones desarrolladas por la entidad, así como de desarrollos externos, esta ley se asegura de que cualquier software utilizado por estas organizaciones sea analizado, además de que la ley especifica que se deben implementar análisis continuos.

Las organizaciones que emplean a menos de 10 personas, que hayan producido menos de 5 millones de dólares en ingresos brutos anuales en cada uno de los últimos tres años, o tengan menos de 10 millones de dólares en activos totales al final del año están exentas de cumplir con ciertos requerimientos del reglamento.

Expertos en hacking ético mencionan que, por lo regular,  el presupuesto de ciberseguridad de una organización se utiliza para la protección de redes, pero las vulnerabilidades de código en las aplicaciones son el objetivo primordial de los hackers. Esto puede apreciarse en cualquier caso de robo de datos de alto perfil conocido, en donde las vulnerabilidades radican en algún software sin reparar, esa es una de las razones por las que esta ley incluye una sección específica de seguridad en aplicaciones.