Conformidad de la seguridad de los datos con la norma prudencial CPS234 de la APRA
en Australia

Descripción general de la regulación

El objetivo de la Autoridad Australiana de Regulación Prudencial (APRA) es garantizar la protección de los intereses financieros de los australianos y la estabilidad, competitividad y eficacia del sistema financiero. Estas Directrices de Prácticas Prudenciales (PPG) se centran en las áreas en las que se siguen detectando deficiencias en la gestión de la seguridad de la información como parte de las actividades de supervisión en curso de la APRA. También tiene por objeto proporcionar orientación con respecto a la aplicación de la Normativa Prudencial CPS 234 de seguridad de la información (CPS 234) con las secciones clave que figuran a continuación:

• Consideraciones para el Consejo Directivo
• Funciones y responsabilidades
• Capacidad de seguridad de la información
• Marco político
• Identificación y clasificación de los activos de información
• Aplicación de controles
• Gestión de incidentes
• Comprobación de la eficacia del control
• Auditoría interna

¿Quién debe cumplir la normativa CPS234?
CPS234 se aplica a las entidades reguladas por la APRA, a saber:

• Instituciones de depósito autorizadas (ADI), incluidas las IAD extranjeras, las cooperativas de crédito y los bancos
• Aseguradoras generales
• Compañías de seguros de vida y sociedades de socorro mutuo
• Compañías privadas de seguros sanitarios
• Sociedades holding no operativas
• Fondos de pensiones

Thales ayuda a las organizaciones a cumplir con CPS234 garantizando el cumplimiento de las Directrices de Prácticas Prudenciales (PPG) de la APRA sobre Capacidad de Seguridad de la Información, Marco de Políticas, Identificación y clasificación de activos de información, implementación de controles y gestión de incidentes.

CAPACIDAD DE SEGURIDAD DE LA INFORMACIÓN
Directriz 18: Capacidad de terceros y partes relacionadas

• Con CipherTrust Data Security Platform, los administradores pueden crear una sólida separación de deberes entre los administradores con privilegios y los responsables de los datos puede aplicar políticas de gestión de acceso muy granulares para usuarios menos privilegiados que impidan el mal uso en la protección de datos de parte de usuarios con acceso a información privilegiada y ataques de APT.
• CipherTrust Transparent Encryption proporciona una separación completa de roles administrativos en la que solo los usuarios y procesos autorizados pueden ver los datos no cifrados.
• La capacidad de autorización detallada de la plataforma OneWelcome Identity de Thales ayuda a las organizaciones proporcionando el acceso correcto a las personas adecuadas en el momento adecuado.

MARCO POLÍTICO
Directrices 21 – Una jerarquía política basada en una serie de principios clave

• OneWelcome Identity OneWelcome deThales permite a las organizaciones asociar dispositivos y otras identidades digitales con cuentas principales, autenticar, autorizar, recopilar y almacenar información sobre identidades externas e internas de muchos dominios.
• Las tarjetas inteligentes SafeNet IDPrime pueden aprovecharse para implementar el acceso físico a instalaciones sensibles. Estas tarjetas inteligentes también pueden aumentar las iniciativas de autenticación sin contraseña basadas en la tecnología PKI y FIDO.
• CipherTrust Transparent Encryption protege los datos con cifrado de archivo y datos en reposo a nivel de volumen, controles de acceso y registro de auditorías de acceso sin volver a diseñar aplicaciones, bases de datos ni infraestructura MFA protege los datos sensibles de los usuarios privilegiados.
• Los Thales Luna Hardware Security Modules (HSMs) proporcionan el nivel más alto de seguridad de cifrado almacenando siempre las claves criptográficas en el hardware.
• CipherTrust Manager gestiona tareas fundamentales del ciclo de vida que incluyen generación, rotación, destrucción, importación y exportación, ofrece un acceso basado en roles para las claves y políticas, soporte robusto de auditoría e informes, además de ofrecer una aplicación de transferencia de estado representacional (REST API, por sus siglas en inglés) sencilla para los desarrolladores. Es compatible con la autenticación de dos factores para acceso administrativo.
• La pista de auditoría de CipherTrust Data Security Platform permite a los responsables de los riesgos y a los auditores evaluar y demostrar la conformidad con el marco de la política de seguridad de la información. CipherTrust Transparent Encryption (CTE) incluye registros detallados de auditoría de acceso a los datos y CipherTrust Security Intelligence incluye registros e informes para optimizar los informes de cumplimiento y aceleran la detección de amenazas mediante los principales sistemas de gestión de eventos e información de seguridad (SIEM).

IDENTIFICACIÓN Y CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN
Directriz 26 – Clasificación de todos los activos de información por grado de importancia y sensibilidad.

• Clasifique todos los activos de información por grado de importancia y confidencialidad con CipherTrust Data Discovery and Classification, ayuda a obtener visibilidad absoluta de sus datos sensibles con eficiente descubrimiento, clasificación y análisis de riesgos de datos en almacenes de datos heterogéneos en su organización, tales como la nube, macrodatos y entornos tradicionales.

IMPLEMENTACIÓN DE CONTROLES
Directriz 36 – Controles de seguridad de la información implantados en todas las fases.

• Los productos y soluciones de gestión de identidades y accesos Thales OneWelcome limitan el acceso de los usuarios internos y externos en función de sus funciones y contexto con autenticación fuerte (MFA), políticas de acceso granulares y políticas de autorización detalladas. La solución también facilita la gestión de identidades de dispositivos IoT externos a través de la especificación OAuth2 Device Flow. Los dispositivos conectados a la web y con restricciones de entrada de usuario pueden vincularse con cuentas de identidad de usuario gestionadas por los inquilinos de OneWelcome.
• Las tarjetas inteligentes SafeNet IDPrime pueden aprovecharse para implementar el acceso físico a instalaciones sensibles. Estas tarjetas inteligentes también pueden aumentar las iniciativas de autenticación sin contraseña basadas en la tecnología PKI y FIDO.
• Firma digital para una amplia gama de aplicaciones con Hardware Security Modules (HSM) protege las claves privadas utilizadas para las firmas electrónicas seguras; mejora la seguridad y garantiza el cumplimiento de la normativa.
• CipherTrust Data Security Platform ofrece múltiples capacidades para proteger los datos en reposo en archivos, volúmenes y bases de datos mediante CipherTrust Transparent Encryption y CipherTrust Tokenization.
• CipherTrust Transparent Encryption cifra los datos sensibles y refuerza las políticas detalladas de gestión de usuarios con acceso a información privilegiada que se pueden aplicar por usuario, proceso, tipo de archivo, hora y otros parámetros.
• CipherTrust Manager gestiona de forma centralizada las claves de cifrado y configura las políticas de seguridad para que las organizaciones puedan controlar y proteger los datos confidenciales con separación de funciones. Optimiza y fortalece la administración de claves en entornos empresariales en un diverso conjunto de casos de uso. 

Directriz 44 – MINIMIZAR LA EXPOSICIÓN A LOS PEORES CASOS PLAUSIBLES

• Los Hardware Security Modules (HSM) salvaguardan las claves criptográficas utilizadas para proteger las aplicaciones y los datos confidenciales, mejoran la seguridad y garantizan el cumplimiento de las normativas.
• CipherTrust Data Security Platform puede aplicar políticas de gestión de acceso muy granulares para usuarios menos privilegiados que impidan el mal uso en la protección de datos de parte de usuarios con acceso a información privilegiada y atacantes.
  • CipherTrust Transparent Encryption cifra los archivos, dejando sus metadatos protegidos. De este modo, los administradores de TI realizan sus tareas de administración de sistemas, sin obtener acceso privilegiado a los datos confidenciales que residen en los sistemas que gestionan.
  • CipherTrust Transparent Encryption Ransomware Protection (CTE-RWP) supervisa continuamente los procesos en busca de actividad de E/S anómala y alerta o bloquea la actividad maliciosa antes de que el ransomware pueda apoderarse por completo de sus endpoints y servidores.
  • CipherTrust Manager ofrece administración y control de acceso centralizados, lo que unifica las operaciones de gestión de claves con controles de acceso basados en funciones que impiden los cambios de contraseña no autorizados y alertan de los inicios de sesión simultáneos de un mismo usuario.
• La plataforma Thales OneWelcome Identity permite a las organizaciones limitar virtual (o lógicamente) el acceso a recursos confidenciales con el uso de MFA (incluida la autenticación resistente a la suplantación de identidad) y políticas de acceso granulares. Las tarjetas inteligentes SafeNet IDPrime pueden aprovecharse para implementar el acceso físico a instalaciones sensibles.

Directriz 46 (b) - CONTROLES FÍSICOS Y MEDIOAMBIENTALES

• Las tarjetas inteligentes SafeNet IDPrime pueden aprovecharse para implementar el acceso físico a instalaciones sensibles. Estas tarjetas inteligentes también pueden aumentar las iniciativas de autenticación sin contraseña basadas en la tecnología PKI y FIDO.

Directriz 54 – TÉCNICAS CRIPTOGRÁFICAS PARA RESTRINGIR EL ACCESO; Directriz 56 – SOLUCIONES TECNOLÓGICAS DE SEGURIDAD DE LA INFORMACIÓN y Directriz 58 - SOFTWARE DESARROLLADO/CONFIGURADO POR EL USUARIO FINAL

• Los Hardware Security Modules (HSM) proporcionan el máximo nivel de seguridad de cifrado al almacenar siempre las claves criptográficas en hardware y ofrecen fuertes controles de acceso que impiden que usuarios no autorizados accedan a material criptográfico sensible.
• La cartera de factores de forma de autenticación basada en certificados de Thales ofrece una sólida autenticación de múltiples factores, lo que permite a las organizaciones abordar sus necesidades de seguridad de la PKI.

Protección de datos confidenciales en tránsito/en movimiento

• Los cifradores de alta velocidad (HSE) de Thales ofrecen cifrado de datos en tránsito/en movimiento independiente de la red (capas 2, 3 y 4), lo que garantiza que los datos estén protegidos conforme se trasladan de un centro a otro, o desde las instalaciones a la nube y viceversa.
• CipherTrust Manager gestiona de forma centralizada las claves de cifrado y configura las políticas de seguridad para que las organizaciones puedan controlar y proteger los datos confidenciales con separación de funciones.

Proteger los datos en uso

• CipherTrust Vaultless Tokenization protege los datos en reposo, mientras que su capacidad Dynamic Data Masking basada en políticas protege los datos en uso. Una API RESTful en combinación con administración y servicios centralizados permite la implementación de la tokenización con una sola línea de código por campo.

Protección de los datos en reposo

• CipherTrust Data Security Platform salvaguarda y audita la integridad de los registros y la información de los clientes frente a una amplia gama de amenazas a los datos. Protección de datos en reposo mediante el uso de CipherTrust Transparent Encryption para el cifrado de datos en reposo a nivel de archivo y volumen, CipherTrust Tokenization para la tokenización de bases de datos y la seguridad de visualización dinámica, así como CipherTrust Application Data Protection.

GESTIÓN DE INCIDENTES – DETECCIÓN DE COMPROMISOS DE SEGURIDAD
Directriz 69

• Con CipherTrust Data Security Platform, los administradores pueden crear una separación fuerte de tareas entre administradores con privilegios y propietarios de datos. Además, CipherTrust Manager es compatible con la autenticación de dos factores para acceso administrativo.
• La plataforma Thales OneWelcome Identity permite a las organizaciones limitar virtual (o lógicamente) el acceso a recursos confidenciales con el uso de MFA (incluida la autenticación resistente a la suplantación de identidad) y políticas de acceso granulares con informes de análisis. Realiza un seguimiento de los eventos de identidad y proporciona informes analíticos.

Anexo A: Principios de seguridad 1. (a)role-based

• CipherTrust Manager ofrece administración y control de acceso centralizados, lo que unifica las operaciones de gestión de claves con controles de acceso basados en funciones.
• Los Hardware Security Modules (HSM) salvaguardan las claves criptográficas utilizadas para proteger las aplicaciones y los datos confidenciales, mejoran todavía más la seguridad y garantizan el cumplimiento de las normativas con una capa adicional de protección.

Anexo A: Principios de seguridad 1. (a)basado en funciones

• La plataforma de identidad OneWelcome de Thales permite a las organizaciones identificar y autenticar usuarios internos y externos, gestionar la identidad de terceros de forma eficiente con su capacidad de gestión de delegación y mitigar los riesgos de terceros, así como proporcionar una pista de auditoría inmediata y actualizada de todos los eventos de acceso a todos los sistemas.
• Después de identificar a un usuario, puede controlar y coordinar la forma en que los usuarios obtienen acceso a los activos y lo que pueden hacer con esos activos con la solución CipherTrust Enterprise Key Management.

Anexo C: Identidad y acceso

• Las soluciones de gestión de identidades y accesos OneWelcome de Thales limitan el acceso de los usuarios internos y externos en función de sus funciones y contexto.
• Las tarjetas inteligentes SafeNet IDPrime pueden aprovecharse para implementar el acceso físico a instalaciones sensibles.

Anexo E: Técnicas criptográficas

• LosLuna HSMs de Thales ofrecen un entorno fortalecido y resistente a manipulaciones indebidas para un procesamiento criptográfico seguro, generación y protección de claves, cifrado y más.
• CipherTrust Data Security Platform puede aplicar políticas de gestión de acceso muy granulares para usuarios menos privilegiados que impidan el mal uso en la protección de datos de parte de usuarios con acceso a información privilegiada y atacantes.