En 2017, el Departamento de Servicios Financieros de Nueva York (NYDFS) emitió nuevos requisitos relacionados con la Gestión de Identidad y Acceso (IAM). La intención era clara: proteger los datos institucionales y de los clientes exigiendo la autenticación multifactor (MFA) o medidas equivalentes.
En la práctica, sin embargo, el fortalecimiento de la seguridad basada en la Identidad ha tardado en materializarse. Tan lento, de hecho, que en 2021, NYDFS emitió una carta subrayando su preocupación por el ritmo de los cambios realizados en respuesta a la resolución inicial.
El resultado: muy pocas empresas de servicios financieros se están adaptando a las nuevas regulaciones con prácticas modernas de MFA. Describiremos cómo Okta puede ayudar a las empresas de servicios financieros a cumplir con las nuevas normas de MFA y a prepararse para el éxito a largo plazo con una plataforma de identidad que ofrezca beneficios empresariales y de seguridad en toda la organización.
Fechas clave de cumplimiento
Los plazos de implementación de la ciberseguridad se dictan en función de sus tipos de categorías comerciales. Utilice los enlaces oficiales a continuación para revisar los requisitos de fecha de cumplimiento más actualizados según su clasificación.
- Cronograma de Implementación para Pequeñas Empresas
- Cronograma de implementación para empresas de clase A
- Cronograma de implementación para las entidades cubiertas
En el siguiente cuadro, encontrará las fechas clave de cumplimiento normativopróximas.
TIPO DE NEGOCIO AFECTADO | SECCIÓN RELEVANTE # | FECHA LÍMITE |
Pequeñas empresas | Sección 500.12(a) | 1 de noviembre de 2024
|
Sección 500.7 | 1 de mayo de 2025
| |
Empresas de Clase A y Entidades Cubiertas | Sección 500.7 | 1 de mayo de 2025
|
Sección 500.12 | 1 de noviembre de 2025
|
Problemas comunes al adoptar MFA
Las amenazas de seguridad que enfrentan las empresas de servicios financieros son graves, y la Identidad sigue siendo el vector de ataque número uno en el panorama de amenazas actual. Más del 80% de las violaciones de datos involucran alguna forma de Identidad comprometida. (Verizon, 2024)
Pero a medida que trabajan para navegar por un panorama de amenazas cada vez más sofisticado, muchas empresas de servicios financieros se encuentran con obstáculos que retrasan o impiden la modernización de la seguridad que necesitan para cumplir con las exigencias del momento. Estos son algunos de los principales culpables:
Sistemas IAM heredados
Un obstáculo importante para las organizaciones de servicios financieros que buscan cumplir con las nuevas reglas de la NYDFS es la identidad heredada que simplemente no puede admitir la Autenticación Multifactor (MFA). Las aplicaciones y los sistemas obsoletos tienden a limitar a las organizaciones a formas básicas de autenticación, como las credenciales de nombre de usuario/contraseña, aunque algunos de estos sistemas heredados han anunciado el lanzamiento de métodos de autenticación más modernos, esa transición ha sido extremadamente lenta para ofrecer a las empresas la MFA de nivel empresarial que necesitan. Las organizaciones de servicios financieros no pueden permitirse el lujo de esperar; necesitan opciones de autenticación modernas que permitan el acceso seguro a los sistemas, plataformas y aplicaciones esenciales de la fuerza laboral.
Además, los sistemas heredados a menudo socavan la capacidad de 1) mantener una visibilidad unificada de quién tiene acceso a qué y 2) hacer cumplir protocolos consistentes de acceso con privilegios mínimos a través de un proceso de solicitud de acceso bien definido. La identidad heredada a menudo consiste en un mosaico fragmentado de diferentes soluciones, lo que dificulta que los equipos de seguridad verifiquen si la organización está sufriendo una expansión del acceso o una aplicación incorrecta de las políticas de acceso. En pocas palabras: además de MFA, las organizaciones de servicios financieros necesitan una sólida gobernanza de identidad y gestión de la postura de seguridad.
Vulnerabilidades de terceros
La mayoría de las empresas de servicios financieros comprenden la aplicación de la MFA dentro de su fuerza laboral de tiempo completo. Pero muchas empresas no extienden estos protocolos a terceros, como socios y contratistas, lo que permite a estos colaboradores esenciales acceder a información no pública sin requerir la MFA. Esto no solo aumenta el riesgo de una brecha, sino que también viola directamente el requisito de MFA de la NYDFS.
Otros problemas
- La autenticación multifactor débil, como las contraseñas únicas por SMS, es fácil de eludir para los malos actores y puede socavar el cumplimiento de la NYDFS.
- Las cuentas privilegiadas deben ser la máxima prioridad cuando se trata de asegurar el acceso con MFA, pero muchas empresas de servicios financieros se quedan cortas.
- El acceso remoto requiere protocolos de seguridad específicos, como autenticación adicional específica del contenido, pero muchas empresas no tienen esto en cuenta o implementan protocolos de acceso remoto de manera inconsistente.
- Políticas de autenticación inconsistentes: con más empresas que aprovechan las soluciones SaaS, sus políticas de autenticación y los requisitos de MFA no siempre se aplican de manera consistente, lo que genera brechas desconocidas.
Una mirada a la oportunidad completa
Por una o más de estas razones, muchas empresas de servicios financieros están luchando por cumplir con los requisitos de MFA de la NYDFS, lo que las deja vulnerables tanto a posibles acciones regulatorias como a infracciones iniciadas por malos actores.
Pero a medida que trabajan para modernizar la identidad de su fuerza laboral en línea con un panorama regulatorio cambiante, las organizaciones de servicios financieros no deben limitar su enfoque de la identidad a la MFA. Para empezar, esto solo prolongará su juego de ponerse al día. Al descuidar adelantarse a las normas de ciberseguridad más estrictas, es probable que sus equipos de seguridad ejecuten el mismo problema una y otra vez: las limitaciones integradas en sus soluciones de identidad heredadas.
Quizás lo más importante es que dar el salto a una identidad verdaderamente moderna ofrece una gran cantidad de oportunidades para impulsar el negocio. La identidad es más que un cuadro de inicio de sesión. Con la solución de identidad adecuada, los servicios financieros pueden impulsar mejoras significativas en todos los ámbitos: estamos hablando de una mejor seguridad y resultados comerciales.
Entremos en cómo, comenzando con el problema más apremiante: MFA.
Cómo Okta resuelve para MFA
Okta admite el cumplimiento total de los requisitos de acceso y autenticación detallados en la resolución de NYDFS. Nuestro enfoque unificado de la identidad permite a las empresas de servicios financieros integrar su IAM, la gobernanza y administración de identidades (IGA) y la administración de acceso privilegiado en una sola plataforma, lo que mitiga los riesgos asociados con la identidad heredada fragmentada y respalda un mejor cumplimiento.
Okta Adaptive MFA
Okta Adaptive MFA, incluido Desktop MFA, cumple con todos los requisitos para el cumplimiento del mandato de MFA que se detalla en las directrices de la Sección 500.12 de la NYDFS y ayuda a garantizar la seguridad para todos los grupos de usuarios en prácticamente cualquier aplicación. MFA debe aplicarse para el acceso a la nube, los sistemas alojados, las aplicaciones locales, las estaciones de trabajo, los servidores, etc. Al aprovechar la información contextual de cada inicio de sesión, Adaptive MFA puede agregar un paso adicional a la autenticación en situaciones que se consideran de alto riesgo, por ejemplo, el inicio de sesión desde un nuevo dispositivo o una red no reconocida.
Esto permite altos niveles de seguridad y facilidad de uso en toda la organización al reducir el riesgo de contraseñas comprometidas, optimizar la experiencia del usuario y proteger mejor el dispositivo y todo lo que se puede acceder a través del dispositivo.
Okta Identity Security Posture Management
Con Okta Identity Security Posture Management una organización puede:
- Evaluar de forma proactiva la postura de riesgo de identidad
- Descubra continuamente configuraciones erróneas y brechas críticas, como la aplicación inconsistente de MFA y la expansión de cuentas
- Priorice y solucione los problemas más apremiantes en función de la gravedad del riesgo
Okta Lifecycle Management
Los nuevos mandatos de NYDFS especifican que los controles de acceso deben estar "basados en los hechos y circunstancias individuales presentados", es decir, basados en políticas claramente definidas que determinen el acceso en función de las características organizacionales específicas de su negocio. Okta Lifecycle Management admite este nivel de gestión de acceso al ayudar a los equipos de TI y seguridad a establecer fácilmente reglas de acceso y derechos basados en atributos como la pertenencia a grupos. Lifecycle Management también establece un nuevo estándar para la visibilidad al brindar a los líderes de seguridad una vista unificada de quién tiene acceso a qué, lo que ayuda a evitar el exceso de permisos que puede conducir a un acceso incorrecto.
El beneficio completo de la seguridad impulsada por la identidad
Los panoramas regulatorios y de la industria cambian constantemente. Para adaptarse, las organizaciones de servicios financieros necesitan una solución de seguridad que también actúe como impulsor del negocio. Dentro de Workforce Identity, eso significa integrar funciones de identidad seguras y fluidas en toda la organización para lograr tres objetivos de gran alcance:
- Fortalecer la postura de seguridad al extender el contexto, las señales de riesgo y la automatización basada en políticas en cada acción y decisión de Identidad.
- Hacer más con menos recursos consolidando la identidad en una sola vista para reducir la complejidad y permitir la automatización de los procesos manuales.
- Impulsar la agilidad acelerando las solicitudes, las aprobaciones y el acceso crítico a recursos importantes sin comprometer la seguridad.
Cumplir con los nuevos requisitos de MFA de NYDFS es solo la más apremiante de las necesidades de identidad de las organizaciones de servicios financieros. Para seguir siendo seguro y competitivo en medio de entornos empresariales, regulatorios y de riesgo en constante cambio, necesitas una solución de identidad unificada que ayude a tu organización a liderar el grupo en seguridad de la fuerza laboral e indicadores clave de rendimiento (KPI) de eficiencia. Miles de clientes en todo el mundo confían en Okta para lograr sus objetivos de seguridad.
¿Quiere obtener más información sobre cómo Okta puede respaldar un mejor cumplimiento, una mejor seguridad y un mejor negocio? Programe una demostración con nuestro equipo y vea nuestra Plataforma Okta en acción.
