Nueva York Publica Guía sobre Ciberseguridad en IA: Lo que Necesitas Saber

XPoint
Publicado el 19/12/2024

El Departamento de Servicios Financieros de Nueva York (NYDFS) ha emitido nuevas directrices para que las instituciones financieras y otras entidades reguladas aborden los crecientes riesgos de ciberseguridad relacionados con la inteligencia artificial (IA). Si bien la guía no establece nuevos requisitos regulatorios, proporciona claridad sobre cómo las organizaciones pueden integrar los riesgos de IA en sus marcos actuales de ciberseguridad, ayudándolas a cumplir con el Reglamento de Ciberseguridad de NYDFS.

La adopción de la IA en los servicios financieros está en auge, tanto como herramienta para optimizar operaciones como para defenderse de ciberataques. Sin embargo, el uso de IA también amplía la superficie de ataque que las instituciones deben proteger. En este contexto, las directrices del NYDFS subrayan la necesidad de estrategias proactivas de gestión de riesgos que aborden los desafíos específicos de la IA.

 

Principales Riesgos de Ciberseguridad en IA:

1) Ingeniería Social Potenciada por IA: Herramientas como los deepfakes permiten crear ataques de phishing altamente convincentes mediante correos electrónicos, llamadas (vishing), SMS (smishing) o videollamadas, donde el atacante suplanta a empleados o ejecutivos de confianza.

2) Ataques Mejorados con IA: La IA permite a los ciberdelincuentes amplificar la rapidez y eficacia de sus ataques, identificando vulnerabilidades, desplegando malware y desarrollando variantes avanzadas que evaden detección.

3) Exposición o Robo de Información Sensible (NPI): La dependencia de la IA para procesar datos sensibles, como información personal identificable (PII), aumenta el riesgo de exposición o robo.

4) Vulnerabilidades en la Cadena de Suministro: La integración de la IA introduce riesgos relacionados con proveedores externos, cuyos sistemas pueden ser vulnerables o comprometidos.

 

Estrategias Clave para Mitigar los Riesgos de IA:

 

1) Evaluaciones de Riesgo y Programas Específicos de IA: Las instituciones deben incluir los riesgos de IA en sus evaluaciones regulares y garantizar que los planes de respuesta a incidentes y recuperación aborden amenazas impulsadas por IA.

2) Gestión de Proveedores Externos: Se deben auditar y evaluar regularmente los proveedores que ofrecen servicios impulsados por IA, asegurando que cumplan con estándares estrictos de ciberseguridad.

3) Controles de Acceso: Implementar mecanismos robustos, como autenticación multifactor (MFA), controles de acceso basados en roles (RBAC) y segmentación de datos sensibles.

4) Capacitación en Ciberseguridad: Educar a los empleados sobre los ataques potenciados por IA, como phishing y tácticas de ingeniería social, para fortalecer la primera línea de defensa.

5) Monitoreo Continuo y Gestión de Datos: Utilizar herramientas en tiempo real para detectar actividades sospechosas y proteger los datos sensibles mediante cifrado y segmentación.

 

El Futuro de la IA y la Ciberseguridad:

 

La guía del NYDFS destaca la importancia de integrar la IA en las actividades de gestión de riesgos de forma proactiva. En XPoint Cybersecurity, defendemos enfoques de prueba avanzados, como el red-teaming, donde equipos éticos simulan ataques reales para identificar vulnerabilidades.

Cumplir con estas directrices no solo significa adoptar las mejores prácticas, sino asegurar el cumplimiento normativo. Proteger los sistemas de IA es esencial para salvaguardar los activos organizacionales y mantener la confianza de los clientes.

 


 

English

New York Releases AI Cybersecurity Guidance: What You Need to Know

 

The New York Department of Financial Services (NYDFS) has issued new guidelines to help financial institutions and regulated entities address increasing AI-related cybersecurity risks. While the guidance does not impose new regulatory requirements, it clarifies how organizations can incorporate AI risks into their existing cybersecurity frameworks, ensuring compliance with the NYDFS Cybersecurity Regulation.

AI adoption in the financial services industry is accelerating, offering significant business benefits and tools for combating cybercrime. However, integrating AI systems also expands the attack surface organizations must defend. In this context, the NYDFS emphasizes the importance of proactive risk management strategies tailored to AI-specific challenges.

 

Key AI Cybersecurity Risks:

 

1) AI-Enabled Social Engineering: Tools like deepfakes enable attackers to create convincing phishing schemes via emails, phone calls (vishing), SMS (smishing), or video calls, impersonating trusted individuals.

2) AI-Enhanced Cyber Attacks: Cybercriminals leverage AI to speed up attacks, identify vulnerabilities, deploy advanced malware, and evade detection with sophisticated ransomware variants.

3) Exposure or Theft of Sensitive Information (NPI): AI’s role in processing sensitive data, such as personally identifiable information (PII), increases the risk of unauthorized access or theft.

4) Supply Chain Vulnerabilities: Financial institutions relying on third-party vendors face risks of compromised AI systems within their interconnected supply chains.

 

Key Mitigation Strategies:

 

1) Risk Assessments and AI-Specific Plans: Regular risk assessments must incorporate AI risks, ensuring incident response and recovery plans address AI-driven threats.

2) Third-Party Management: Vendors providing AI services must adhere to rigorous cybersecurity standards, verified through audits and assessments.

3) Access Controls: Implement robust controls like multi-factor authentication (MFA), role-based access (RBAC), and data segmentation to minimize risks.

4) Cybersecurity Training: Employees should be trained to recognize AI-enhanced phishing and social engineering attacks, enhancing organizational awareness.

5) Continuous Monitoring and Data Protection: Real-time monitoring tools can identify anomalies, while strong encryption and data management practices protect sensitive information.

 

The Future of AI and Cybersecurity:

 

The NYDFS guidance reinforces the need to proactively incorporate AI considerations into risk management. At XPoint Cybersecurity, we advocate for advanced testing methods like red-teaming, where ethical hackers simulate attacks to uncover flaws before they can be exploited.

Viewing the NYDFS guidelines as both best practices and compliance requirements is crucial. Securing AI systems is no longer optional—it’s essential for protecting organizational assets and maintaining customer trust.

Preguntas frecuentes

¿Para que sirve el Pentesting?

+

El pentesting o Test de penetración, en español) es una técnica de ciberseguridad que consistente en atacar entornos informáticos con la intención de descubrir vulnerabilidades en los mismos, con el objetivo de reunir la información necesaria para poder prevenir en el futuro ataques externos hacia esos mismos …

¿Qué es y para qué la Seguridad en el Desarrollo Ágil?

+

El Servicio de Seguridad en Ciclo de Desarrollo es un enfoque integral que garantiza la protección de los proyectos de software desde su fase inicial de diseño hasta su implementación final. Esto implica integrar medidas de seguridad en cada etapa del proceso de desarrollo, desde la planificación hasta la entrega del producto. La importancia de este servicio radica en varios aspectos:

  1. Protección temprana contra amenazas: Al abordar la seguridad desde el principio del ciclo de desarrollo, se pueden identificar y mitigar riesgos de seguridad antes de que se conviertan en problemas costosos o críticos en etapas posteriores del proyecto.
  2. Reducción de costos y tiempo: Corregir problemas de seguridad durante las etapas iniciales del desarrollo es más económico y rápido que hacerlo después de que el producto esté en producción. Esto puede ayudar a evitar retrasos en el lanzamiento del producto y ahorros significativos en costos asociados con la corrección de brechas de seguridad.
  3. Cumplimiento normativo: Muchas regulaciones y estándares de la industria requieren que los productos de software cumplan con ciertos requisitos de seguridad y protección de datos. Integrar la seguridad en el ciclo de desarrollo ayuda a garantizar el cumplimiento de estas regulaciones desde el principio, evitando posibles multas y sanciones legales.
  4. Confianza del cliente: La seguridad de los datos y la protección de la privacidad son preocupaciones importantes para los clientes. Al demostrar un compromiso con la seguridad a lo largo de todo el ciclo de desarrollo, las empresas pueden construir y mantener la confianza del cliente en sus productos y servicios.

En resumen, el Servicio de Seguridad en Ciclo de Desarrollo es esencial para garantizar que los productos de software sean seguros, confiables y cumplan con los estándares de seguridad y privacidad, lo que resulta en beneficios tanto para la empresa como para sus clientes.

¿Qué es el Phishing Ético?

+

El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.

Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/

¿Qué es un Red Team en Ciberseguridad?

+

Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.

¿Qué es la Gestión de Vulnerabilidades?

+

La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:

  1. Identificación de Vulnerabilidades
  2. Evaluación de Riesgos
  3. Priorización
  4. Mitigación y Solución
  5. Seguimiento Continuo
  6. Comunicación y Documentación
  7. Formación y Concienciación

La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.

¿Tienes dudas?, contáctanos