Yazan: Christopher Salone, FoxPointe Solutions Danışmanlık Müdürü
New York Eyaleti Finansal Hizmetler Departmanı (NYSDFS) Siber Güvenlik Yönetmeliği, 23 NYCRR Bölüm 500’de Kasım 2023’te yapılan değişikliklerin çoğuna uyum tarihi olarak 29 Nisan 2024 atandı. Bu son tarih hızla yaklaşırken, finansal güvenlik için zaman da işliyor. Uyumlu kalmak ve cezalardan kaçınmak için gerekli operasyonel değişiklikleri yapmak üzere NYSDFS tarafından düzenlemeye tabi olan kurumlar.
Bu yeni gereklilikler bütününün bu son tarihten önce kapsamlı bir şekilde değerlendirilmesi özellikle önemlidir, çünkü kılavuzun yayınlanmasından altı ay sonra finansal liderler için zorluklara ve kafa karışıklığına neden olmaya devam eden şartlar ve standartların kritik yeniden tanımlarını içermektedir. Elbette uyumlu kalmanın ilk adımı, her bir kılavuzun karmaşık gerekliliklerini anladığınızdan emin olmaktır.
Mayıs ayında gelecek cezalardan kaçınmak için uymanız gereken düzenlemede yer alan yeni beklentilerin bir dökümünü aşağıda bulabilirsiniz.
Genişletilmiş Kapsam
Uyumlu bir siber güvenlik programı oluşturma konusunda yalnızca bankaların ve sigortacıların endişelenmesi gereken günler geride kaldı. Bu yeni düzenleme, uygulanabilirlik kapsamını her büyüklükteki finansal kuruluşu ve üçüncü taraf hizmet sağlayıcılarını kapsayacak şekilde genişletmiştir.
Düzenleyici olayları yeni olaylara ve varlıklara genişleten yeni terimler ve sınıflandırmalar da tanıtıldı. Örneğin siber güvenlik “olay” ve “olay” artık kendi kategorilerine sahip. Siber güvenlik olayı, başarılı olsun veya olmasın, bir bilgi sistemini bozmaya yönelik herhangi bir eylem veya girişimdir; olay ise artık kapsam dahilindeki kuruluşta, bağlı kuruluşlarında veya üçüncü taraf hizmet sağlayıcısında meydana gelen bir siber güvenlik olayı olarak tanımlanmaktadır. fidye yazılımına, maddi zarara veya bir devlet kurumuna veya düzenleyici kuruma bildirimde bulunma ihtiyacına neden olabilir.
Program ve Politika Değişiklikleri
Finansal kurumlar artık yalnızca siber güvenlik programlarında bağımsız denetimler yürütmekle kalmamalı, aynı zamanda bu denetimlerin tüm belgelerini talep üzerine şefin kullanımına sunmalıdır. Ayrıca, bu belgeler “bir bağlı kuruluş tarafından yürütülen ve kapsam dahilindeki kuruluş tarafından benimsenen bir siber güvenlik programının ilgili ve uygulanabilir hükümlerini” içermelidir.
Artık kurumsal siber güvenlik politikalarının daha fazla gözetim altında tutulması gerekiyor. Yeni yönetime göre, finansal kurumların artık politikalarının, uygunluklarını denetleyen kıdemli yetkili veya üst düzey yönetim organı tarafından yıllık olarak onaylanması ve tüm prosedürlerin, onaylanan politikaya uygun olarak iyi bir şekilde belgelenmesi gerekiyor.
Düzenlemeler, politikalarını oluşturmaya çalışanlar için artık tüm politikaların veri saklama, kullanım ömrü sonu yönetimi, uzaktan erişim ve daha fazlası gibi siber güvenlik faktörlerine yönelik prosedürler içermesini öneriyor.
Yönetişim Beklentileri
Yeni düzenlemeler, ileriye yönelik siber güvenlik programlarının gözetimini resmileştirmeyi amaçlıyor. Finansal kuruluşların artık siber planları, sorunları ve değişiklikleri Kurula sunmak üzere bir Bilgi Güvenliği Baş Sorumlusu (CISO) ataması gerekiyor. CISO ayrıca maddi yetersizliklerin ortadan kaldırılması da dahil olmak üzere yıllık raporlamaya yoğun bir şekilde dahil olmalıdır.
Güvenlik Açığı Yönetimi
Güvenlik açığı yönetimine ilişkin açık ve kapsamlı politika ve prosedürlerin artık belgelenmesi gerekmektedir. Bunlar, iç ve dış sızma testleri, güvenlik açıkları için sık sık sistem taramaları ve planlanan veya uygulanan güvenlik kontrolleri tarafından belirlendikten sonra bu güvenlik açıklarının zamanında ele alınması gibi önleyici prosedürleri içermelidir. Bu değerlendirmeler yıllık olarak veya işletmede veya kullanılan teknolojide kurumun riskini etkileyen bir değişiklik olduğunda güncellenmelidir.
Veri Korumaları
Önleyici tedbirlerden bahsetmişken, yeni yönetmelik tüm finansal kuruluşların alması gereken temel güvenlik tedbirlerinin türleri konusunda daha spesifiktir. Örneğin, güvenlik riskine bağlı olarak belirli verilerin “ayrıcalıklı” olduğu kabul edilerek erişim ayrıcalıkları sıkı bir şekilde uygulanmalıdır. Ayrıcalıklı bilgiler, yıllık olarak veya personel çıkışında değerlendirilip güncellenen şifre koruması veya kullanıcı erişim izinleri ile güvence altına alınmalıdır.
Çok faktörlü kimlik doğrulama, teknik olarak yeni düzenlemelerden “muaf” olanları bile kapsayan bir başka beklentidir. Bu standart, tüm ayrıcalıklı verilere ve ayrıca kuruluşun kendi bilgi sistemlerine veya üçüncü taraf uygulamalarına uzaktan erişim durumunda uygulanmalıdır. Şifreleme, düzenleyici kurumlar tarafından kabul edilebilir görülen ve önerilen başka bir araçtır.
Olay Müdahalesi
Ne yazık ki, özellikle içinde yaşadığımız sürekli değişen dijital dünyada, en iyi planlar bile başarısız olabilir. Bu nedenle, 23 NYCRR Bölüm 500, kuruluşların bir siber güvenlik olayına veya olayına nasıl hazırlanmaları ve tepki vermeleri gerektiği konusunda net beklentiler ortaya koyuyor. Yeni kılavuza göre finansal kurumların, siber ihlal durumunda izlenecek hedefleri, temel neden analizi prosedürlerini ve iç süreçleri vurgulayan kapsamlı, belgelenmiş müdahale planları geliştirmesi gerekiyor. Felaket kurtarma ve iş sürekliliği planları aynı zamanda veri yedekleme prosedürlerini ve kurtarma yaklaşımlarını da içermeli ve sonuçlandırıldıktan sonra tüm çalışanlara dağıtılmalı ve düzenli olarak test edilmelidir.
Bir ihlal meydana geldikten sonra kuruluşların, ilgili ve talep edilen tüm belgeleri sağlayarak 72 saat veya şantaj ödemeleri durumunda 24 saat içinde New York Eyaleti Finansal Hizmetler Departmanına bildirimde bulunması gerekmektedir. Kuruluşların ve daha spesifik olarak CISO’nun, olayla ilgili düzenleyici gerekliliklere uymamaları durumunda proaktif olarak yazılı bildirimde bulunmaları ve bir iyileştirme planı paylaşmaları gerekir.
İzleme ve Eğitim
İnsan hatası, yalnızca bir kuruluşun siber güvenliği için değil, aynı zamanda uyumluluğun sürdürülmesi açısından da en büyük riski oluşturur. İnsan hatasının sonuçlarından kaçınmak için finansal kurumların, cihazlarda kötü amaçlı içeriği engellemek, web trafiğini izlemek ve diğer risk bazlı kontrolleri uygulamak için gerekli adımları atması gerekiyor.
Ek olarak, siber güvenlik eğitimleri yıllık olarak ve işe alım sırasında yapılmalı ve çalışanlar, kimlik avı gösterileri aracılığıyla düzenli olarak test edilmelidir.
Bu düzenleyici değişiklikler ve daha birçokları, finans sektöründe siber güvenlik çıtasını önemli ölçüde yükseltti ve teknoloji ile insan gücüne daha fazla yatırım yapılmasını gerektirdi. Henüz yapmadıysanız, uyumsuzluk cezaları riskinden kaçınmaya hazırlıklı olduğunuzdan emin olmak için 29 Nisan’dan önce uygun önlemleri almaya dikkat edin.
yazar hakkında
Christopher Salone, CISA, MBA, CCSFP, Bonadio Grubunun Bilgi Riski Yönetimi Bölümü olan FoxPointe Solutions’ın Danışman Yöneticisi ve Finansal Hizmetler Uygulama Lideridir. Çalışmaları, kamu ve özel şirketler, finans kurumları, sağlık kuruluşları, teknoloji şirketleri ve okul bölgeleri de dahil olmak üzere birçok sektördeki müşterilere hizmet sağlayarak bilgi teknolojisi ve bilgi güvenliği uygulamaları ve kontrollerinin iç ve dış denetimine odaklanmaktadır. Denetimleri mevzuata uygunluk standartlarına uygun olarak gerçekleştirir. Christopher’a şu adresten çevrimiçi olarak ulaşılabilir: [email protected] ve FoxPointe Solutions web sitesinde: http://www.foxpointesolutions.com.