Il Gramm-Leach-Bliley Act (GLBA), o Financial Modernization Act, del 1999, è una legge federale degli Stati Uniti che regola il modo in cui le istituzioni finanziarie proteggono le informazioni di identificazione personale (PII) dei loro clienti . Secondo la legge, gli istituti finanziari devono rispettare la privacy dei propri clienti e impedire l’accesso non autorizzato ai loro dati sensibili.
🛑 Prendi il controllo della sicurezza degli endpoint con NinjaOne.
Qual è lo scopo del GLBA?
Il Gramm-Leach-Bliley Act garantisce che tutti le aziende che offrono servizi finanziari e quelle a loro affiliate sviluppino pratiche e politiche sulla privacy che specifichino come raccolgono, vendono e condividono le informazioni dei consumatori. I consumatori devono anche poter decidere quali informazioni un’azienda può divulgare o conservare.
Un requisito correlato tratta l’integrità dei dati e la governance come parte di una politica completa di cybersecurity IT.
La storia del GLBA
Il GLPA ha abrogato ampie porzioni del Glass-Steagall Banking Act del 1933 e del Bank Holding Company Act del 1956. Ha modificato diverse disposizioni che consentivano alle banche commerciali, alle società di brokeraggio e alle compagnie di assicurazione di fondersi. Di conseguenza, la legge Gramm-Leach-Bliley ha creato un nuovo quadro strutturale in base al quale una holding bancaria può legalmente acquisire banche d’investimento e compagnie assicurative a servizio completo, consentendo loro di impegnarsi in una varietà più diversificata di attività finanziarie.
Il catalizzatore del GLBA è stata la fusione tra Citicorp e la compagnia assicurativa Travelers Group. La fusione portò alla formazione del conglomerato Citigroup, che forniva servizi bancari commerciali, servizi assicurativi e attività legate ai titoli, in diretta violazione del Glass-Steagall Act e del Bank Holding Company Act. A seguito del GLBA, alla Federal Reserve statunitense è stato concesso un potere di vigilanza più ampio per regolamentare queste nuove strutture finanziarie, eliminando di fatto il divieto di servizi simultanei all’interno delle banche associate.
L’impatto sulle imprese IT
Si potrebbe pensare che MSP, MSSP e altre aziende IT non abbiano bisogno di conoscere le leggi sui servizi finanziari; tuttavia, il GLBA ha un impatto profondo sulla sicurezza informatica e dei dati. La legge si applica a qualsiasi azienda impegnata in modo significativo nella fornitura di prodotti o servizi finanziari ai propri consumatori, tra cui la sicurezza degli endpoint.
Richiede ai dirigenti aziendali di mantenere un certo livello di conformità a tre serie principali di norme, ciascuna chiamata “Rule”: La Financial Privacy Rule, la Safeguard Rule e la Pretexting Rule.
Puoi leggere l’atto completo di 145 pagine sul sito web dell’U.S. Government Printing Office. Ma per riassumere:
Regolamento sulla privacy finanziaria (Financial Privacy Rule)
La Financial Privacy Rule (nota anche come Privacy Rule) stabilisce che tutti gli istituti coperti dal GLBA devono informare tutti i clienti sulle informazioni raccolte su di loro, su come tali informazioni vengono e verranno utilizzate, su dove e con chi vengono e verranno condivise e su come vengono protette. In linea con il Fair Credit Reporting Act, la Privacy Rule consente inoltre ai consumatori di vietare a qualsiasi istituto finanziario di condividere le loro PII con terzi.
Va tenuto a mente che queste comunicazioni sulla privacy devono essere emesse all’inizio del rapporto del consumatore con il proprio istituto finanziario, almeno una volta all’anno o se necessario in caso di modifica delle politiche sulla privacy.
Regola di salvaguardia (Safeguard Rule)
La Safeguard Rule richiede agli istituti di proteggere la riservatezza, l’integrità e la sicurezza delle PII dei consumatori. Si tratta ovviamente di un mandato molto ampio, e la legge offre alcune specifiche sui diversi tipi di salvaguardie e strumenti di sicurezza. Tuttavia, spetta all’organizzazione determinare le esatte strategie di protezione di cui ha bisogno per garantire la sicurezza dei dati.
Per iniziare, ti consigliamo di guardare questo webinar on-demand sul miglioramento della postura di sicurezza.
Regola del pretexting (Pretexting Rule)
Il terzo aspetto importante del GLBA relativo alla privacy dei dati è la Pretexting Rule. Il pretexting è un tipo di tattica di social engineering che gli attori delle minacce utilizzano per convincere le vittime a cedere informazioni preziose o l’accesso a un servizio o a un sistema. Il criminale informatico inventa una storia, o un pretesto, per manipolare emotivamente la vittima. Per esempio, un malintenzionato trova diverse informazioni su di te dai social media e, armato di questi dati, cerca di ingannare una banca per ottenere l’accesso al tuo conto.
Pertanto, questa norma richiede ai servizi finanziari di adottare misure proattive per prevenire tutte le forme di pretexting, comprese le e-mail di phishing. Questo includerebbe la verifica di vari requisiti per le persone che devono dimostrare di essere chi dicono di essere per accedere a determinati account.
Riduci le vulnerabilità di sicurezza e proteggi i dati aziendali critici con lo strumento di gestione degli endpoint di NinjaOne.
Diventare conformi al GLBA
Vale la pena di notare che leggere interamente il GLBA e poi esserne conforme può rivelarsi un’impresa enorme e si sovrapporrà inevitabilmente alla tua strategia di cybersecurity. Tuttavia, l’Infosec Institute suggerisce dieci passi di primo livello per raggiungere la conformità GLBA.
- Comprendi il regolamento e il modo in cui si applica a te.
- Conduci una valutazione del rischio. È una buona idea seguire il quadro di riferimento esistente per la gestione del rischio IT .
- Assicurati che ci siano controlli efficaci per ridurre i rischi.
- Proteggiti dalle minacce interne.
- I fornitori di servizi devono essere conformi al GLBA.
- Assicurati di stare rispettando i requisiti della normativa sulla privacy.
- Aggiorna i piani IT di continuità aziendale e di disaster recovery .
- Prepara un piano scritto di sicurezza delle informazioni. Ti suggeriamo di utilizzare come guida il nostro elenco di controllo per la sicurezza IT .
- Fai arrivare le informazioni rilevanti alle parti interessate o al consiglio di amministrazione.
- Controlla, revisiona e migliora costantemente.
Sanzioni GLBA
La mancata osservanza del GLBA può comportare:
- Multa di 100.000 dollari per ogni violazione
- 10.000 dollari per ogni violazione per gli individui responsabili delle istituzioni
- Fino a 5 anni di carcere per i responsabili
Come NinjaOne può aiutarti a diventare conforme al GLBA
NinjaOne è un’azienda di gestione degli endpoint a cui si affidano oltre 17.000 clienti in tutto il mondo. Il suo strumento cloud-native per la gestione degli endpoint non solo automatizza le parti più complesse dell’IT, ma ha anche una certificazione SOC 2 di tipo 2, con SSO disponibile in tutti i pacchetti e a tutti i livelli di prezzo. Inoltre, con la piattaforma puoi controllare in modo granulare le autorizzazioni e gli accessi, con RBAC granulari e restrizioni di accesso basate su IP.
Il software di gestione IT di NinjaOne non prevede impegni vincolanti e non ha costi nascosti. Se sei pronto, richiedi un preventivo gratuito, iscriviti a una prova gratuita di 14 giorni o guarda una demo.
