Buscar

Idioma

Se acerca la fecha límite para el cumplimiento de la regla de protección de datos renovada de la FTC

9 de agosto, 2022

Inicio » Blog » Se acerca la fecha límite para el cumplimiento de la regla de protección de datos renovada de la FTC

El 9 de diciembre del año pasado, mientras el mundo se preparaba para otra ola de infecciones por COVID, algo aún más grave estaba sucediendo en la Comisión Federal de Comercio (FTC), al menos en términos de ciberseguridad. Después de años de modificar gradualmente su Regla de Salvaguardias (oficialmente conocida como “Estándares para la Protección de la Información del Cliente”, una regulación centrada en la protección del consumidor con raíces en la Ley Bancaria de 1933), la FTC silenciosamente lanzó una bomba.

Habiendo proporcionado previamente pautas sobre cómo los bancos Se esperaba que protegieran la información del consumidor, la FTC repentinamente se volvió muy detallada en todos los pasos que las “instituciones financieras no bancarias” debían tomar para cumplir. Desde implementar amplios programas de evaluación de riesgos hasta implementar medidas de seguridad como autenticación multifactor (MFA), la FTC ahora estaba detallando exactamente lo que las empresas debían hacer para evitar acciones coercitivas. También hubo una fecha límite estricta: 9 de diciembre de 2022 — un año desde el día de la actualización publicada.

Esta publicación examina las implicaciones de esta regla actualizada para las empresas, examinando específicamente los nuevos requisitos de seguridad y los pasos que las empresas deben tomar.

Tabla de contenido

  • Qué significa "no bancario"
  • Requisitos de cumplimiento de la MFA de la FTC
  • La importancia del MFA en todas partes

    • Qué significa "no bancario"

    Antes de profundizar en los detalles técnicos, es importante considerar cuán amplia es en realidad la definición de “instituciones financieras no bancarias”. Claramente, la Regla de Salvaguardias actualizada se aplica a las empresas que manejan explícitamente transacciones financieras: prestamistas hipotecarios, prestamistas de día de pago, compañías financieras, agentes hipotecarios, administradores de cuentas, cambiadores de cheques, compañías de transferencias bancarias, agencias de cobranza, asesores de crédito, empresas de preparación de impuestos, empresas no federales. cooperativas de crédito aseguradas y asesores de inversiones que no tienen que registrarse en la SEC.

    Pero la norma afecta potencialmente a una gama mucho más amplia de organizaciones, incluidas de concesionarios, tasadores de bienes raíces, minoristas que ofrecen sus propias tarjetas de crédito, colegios y universidades que participan en programas financieros federales para estudiantes e incluso asesores profesionales que trabajan con clientes en la industria de servicios financieros. Esto se debe a que cualquier empresa que realice actividades consideradas de “naturaleza financiera” está sujeta a los nuevos requisitos de la Regla de Salvaguardias, en particular lo que la FTC llama “buscadores”, que son empresas que reúnen a compradores y vendedores pero que en realidad no manejan la transacción.

    Esta red notablemente amplia significa que muchas empresas podrían verse sorprendidas en diciembre, al verse repentinamente sujetas a nuevos y extensos requisitos de protección de datos de los que ni siquiera eran conscientes y enfrentarse inesperadamente a problemas de cumplimiento.

    Requisitos de cumplimiento de la MFA de la FTC

    Determinar qué organizaciones están sujetas a la Regla de Salvaguardias actualizada es solo el primer obstáculo porque implementar los controles de seguridad específicos que dicta la directiva es donde comienza el verdadero trabajo.

    1. Aquí hay una descripción general de nueve elementos que la FTC pronto exigirá:
      La designación de una “persona calificada” para implementar y supervisar el programa de seguridad de la información de una empresa.
    2. Las evaluaciones de riesgos identifican exactamente qué información del cliente se almacena y dónde se almacena, y evalúan los riesgos y amenazas previsibles a la seguridad de esos datos.
    3. Salvaguardas para mitigar los riesgos identificados, incluida la implementación de controles de acceso, el cifrado de la información del cliente y la implementación autenticación de múltiples factores (AMF).
    4. Monitoreo continuo de las salvaguardas, incluidos escaneos de todo el sistema para probar vulnerabilidades de seguridad.
    5. Capacitación obligatoria en concientización sobre seguridad para todos los empleados, proveedores y contratistas para garantizar la preparación.
    6. Contratos con proveedores de servicios que detallan las expectativas de seguridad y crean formas de monitorear su trabajo.
    7. Actualizaciones periódicas de los programas de seguridad para que se mantengan actualizados frente a amenazas emergentes y cambios de personal.
    8. La creación de un plan escrito de respuesta a incidentes en el caso de un evento de seguridad que resulte en un acceso no autorizado o un uso indebido de los datos del cliente.
    9. La persona calificada prepara informes periódicos y los presenta a la junta directiva (u órgano rector) de la empresa.

    El nivel de detalle proporcionado aquí contribuirá en gran medida a impulsar a las organizaciones con orientación financiera a implementar programas exhaustivos de seguridad de datos. Sin embargo, en cierto modo, la FTC no ha ido lo suficientemente lejos con su actualización, especialmente en lo que respecta a la MFA.

    Por supuesto, la agencia detalla algunos criterios que las soluciones MFA deben cumplir, incluido tener un "factor de conocimiento" (es decir, una contraseña), un "factor de posesión" (es decir, un token) y un "factor de inherencia" (es decir, una característica biométrica). . Todos los principales proveedores de MFA del mercado los cumplen fácilmente. Pero no existe ninguna guía sobre a qué sistemas específicos se debe aplicar la MFA, y esta es una omisión que podría dejar a las organizaciones peligrosamente expuestas.

    Compárese esto con las directivas que salen de seguro cibernético empresas este año. Para calificar para una política, las empresas ahora deben poder aplicar MFA al correo electrónico basado en la nube, acceso remoto a la red, así como acceso de administrador interno y remoto a servicios de directorio, entornos de respaldo de red, infraestructura de red (como firewalls, enrutadores, y conmutadores), y estaciones de trabajo y servidores organizacionales. Esto se debe a que las aseguradoras cibernéticas tienen un pellejo en el juego y están tratando agresivamente de frenar sus pérdidas récord a partir de 2020 (una proporción de hasta el 72%, según algunos estudios). La brecha entre el sector público y el privado –es decir, el amplio conjunto de directrices de una agencia frente a la necesidad de una empresa individual de ser rentable– nunca ha sido tan grande.

    La importancia del MFA en todas partes

    A lo que esto lleva es a una conclusión simple: la FTC simplemente no ha ido lo suficientemente lejos en la actualización de su Regla de Salvaguardias si el objetivo es la protección integral de los datos de los consumidores. La razón es que las soluciones tradicionales de MFA en realidad no pueden proteger a las empresas contra uno de los principales vectores utilizados en ransomware ataques: acceso a la línea de comandos.

    Herramientas de acceso a la línea de comandos como PsExecLos administradores de TI utilizan ampliamente , PowerShell y Windows Management Instrumentation (WMI) para acceder de forma remota a las máquinas que administran. Pero los ciberatacantes también utilizan estas herramientas con fines nefastos, como moverse lateralmente por un entorno una vez que han comprometido las credenciales de usuario (normalmente las de un administrador). De hecho, casi todos los ataques de ransomware recientes han empleado exactamente esta técnica. Esto significa que las empresas podrían cumplir plenamente con la FTC y al mismo tiempo enfrentarse a graves vulnerabilidades.

    Debido a que la MFA tradicional no se puede aplicar a herramientas de línea de comandos, ya que los protocolos de autenticación (Kerberos y NTLM) que implementan no son compatibles con MFA, esto presenta un desafío de seguridad. Afortunadamente, existe una solución disponible: la Silverfort United Protección de Identidad Plataforma.

    Silverfort ofrece el único producto en el mercado que presenta un monitoreo continuo de todas las autenticaciones para cada usuario, cada sistema y cada entorno, tanto local como en la nube. Eso significa Silverfort puede hacer cumplir la MFA en todo un ecosistema de TI, incluidas todas las aplicaciones, interfaces y piezas de infraestructura, proporcionando exactamente el tipo de protección integral de las fuentes de datos de los clientes (dondequiera que residan y cómo se acceda a ellas) que la FTC aspira exigir.

    Esas son buenas noticias para todos: las instituciones financieras no bancarias pueden tener confianza en que sus sistemas no sólo cumplen con la FTC sino que son completamente seguros, mientras que los consumidores pueden tener fe en que sus datos confidenciales están realmente bien protegidos.

    Haz clic aquí para más información sobre la Silverfort plataforma.Atrás

    ¿Listo para una demostración?
    Regístrate hoy.

    Mensajes recientes

    Puede 2nd, 2024

    Silverfort Presentará una investigación en RSA 2024: uso de MITM para omitir los métodos de autenticación modernos a SSO

    24 de abril de 2024

    Cinco formas de mejorar la higiene de su AD con Silverfort  

    Marzo 26th, 2024

    The Identity Underground Report: visión profunda de las brechas de seguridad de identidad más críticas  

    Marzo 2nd, 2024

    Protección MFA para redes aisladas
    Ver más

    Síguenos en:

    Detenga las amenazas a la identidad ahora