¿Qué es la Ley de Seguridad de Infraestructuras Críticas?
El 25 de noviembre de 2024 se promulgó la Ley de Seguridad de Infraestructuras Críticas y Otras Modificaciones Legislativas (Respuesta y Prevención Mejoradas) de 2024 (SOCI Act), incluida en el Paquete Legislativo de Ciberseguridad. La SOCI Act otorga al Gobierno poderes más amplios para cumplir con el Escudo 4 de la Estrategia de Ciberseguridad 2023-2030 (protección de infraestructuras críticas) y para abordar las brechas y problemas del panorama de amenazas cibernéticas en evolución.
- Los sistemas de almacenamiento de datos que contienen datos críticos para el negocio serían regulados como activos de infraestructura crítica según las modificaciones.
- Nuevos poderes gubernamentales de gestión de consecuencias, mediante los cuales el gobierno puede ordenar a una entidad que adopte medidas para responder a incidentes de forma más general, y no solo a los cibernéticos.
- Nueva definición de «información protegida» que incluye una evaluación basada en los daños y una lista no exhaustiva de información relevante, además de aclaraciones sobre cuándo se puede compartir o utilizar la información protegida con otros fines.
- Nuevo poder del regulador para emitir directrices a una entidad responsable con el fin de abordar cualquier deficiencia grave identificada en un programa de gestión de riesgos de infraestructura crítica.
Sistemas de almacenamiento de datos críticos para el negocio
- #16: «…reforzar la protección de los sistemas de almacenamiento de datos y de los datos críticos para el negocio.»
- #19: «El anexo no pretende incluir todos los sistemas no operativos que albergan datos críticos para el negocio, sino únicamente aquellos cuyas vulnerabilidades podrían tener un impacto relevante en la infraestructura crítica. Ejemplos de los tipos de sistemas que podrían incluirse son: sistemas de almacenamiento de datos que albergan datos críticos para el negocio cuando exista una segregación de red insuficiente entre los sistemas de tecnología de la información y los de tecnología operativa, o sistemas de almacenamiento de datos que contengan datos operativos, como planos de red, claves de cifrado, algoritmos, código de sistemas operativos y tácticas, técnicas y procedimientos.»
- #20: «…Cuando la entidad responsable externaliza a un tercero, dicho tercero pasa a ser responsable del sistema de almacenamiento de datos.»
- #31: Los distintos criterios propuestos dejan claro que no deben incluirse todos los sistemas no operativos que albergan datos críticos para el negocio, sino únicamente aquellos cuyas vulnerabilidades podrían tener un impacto relevante en la infraestructura crítica. También precisan que la entidad responsable del principal activo de infraestructura crítica es responsable de los sistemas de almacenamiento de datos que posea o explote.
DOCUMENTO DE CUMPLIMIENTO
Garantizar el cumplimiento de la Ley SOCI de Australia
Descubra cómo Thales ayuda a las organizaciones a cumplir la Ley SOCI de Australia asegurando las infraestructuras críticas, protegiendo los datos y gestionando las claves de cifrado.
Cómo Thales puede ayudar a cumplir la Ley SOCI (modificaciones)
Las soluciones de Thales pueden ayudar a abordar los requisitos de la Ley SOCI. Al simplificar el cumplimiento y automatizar la seguridad con visibilidad y control, reducen la carga de los equipos de seguridad y cumplimiento normativo.
Ofrecemos soluciones integrales de ciberseguridad en tres áreas clave de la ciberseguridad: seguridad de las aplicaciones, seguridad de los datos y gestión de identidades y accesos.
Soluciones de cumplimiento de la Ley SOCI
Seguridad de las aplicaciones
Proteja las aplicaciones y las API a escala en la nube, en entornos locales o en un modelo híbrido. Nuestra gama de productos líder en el mercado incluye un cortafuegos para aplicaciones web (WAF), protección contra ataques de denegación de servicio distribuido (DDoS) y contra ataques de bots maliciosos, seguridad para API, una red de distribución de contenidos (CDN) segura y autoprotección de aplicaciones en tiempo de ejecución (RASP).
Gestor de seguridad
Descubrir y clasificar los datos sensibles en entornos de TI híbridos y protegerlos automáticamente en cualquier lugar —ya sea en reposo, en tránsito o en uso— mediante cifrado, tokenización y gestión de claves. Las soluciones de Thales también identifican, evalúan y priorizan los riesgos potenciales para una evaluación del riesgo precisa, además de identificar comportamientos anómalos y supervisar la actividad para verificar el cumplimiento normativo, lo que permite a las organizaciones priorizar en qué concentrar sus esfuerzos.
Gestión de identidades y accesos
Proporcione un acceso fluido, seguro y de confianza a las aplicaciones y servicios digitales para clientes, empleados y socios. Nuestras soluciones limitan el acceso de usuarios internos y externos basándose en sus funciones y en el contexto, mediante políticas de acceso granulares y autenticación multifactor, lo que ayuda a garantizar que el usuario adecuado acceda al recurso adecuado en el momento adecuado.
Abordar los requisitos de la Ley SOCI (modificaciones) – ANEXO 1
Cómo puede ayudar Thales:
- Descubrir y clasificar los riesgos potenciales de todas las API públicas, privadas y ocultas.
- Identificar los datos sensibles estructurados y no estructurados que estén en riesgo, tanto en entornos locales como en la nube.
- Identificar el estado actual respecto al cumplimiento, documentar las carencias y proponer un plan para alcanzar el cumplimiento normativo total.
Soluciones:
Seguridad de las aplicaciones
Seguridad de los datos
Descubrimiento y clasificación de datos
Cómo puede ayudar Thales:
- Supervisar la actividad de los datos estructurados y no estructurados en los sistemas locales y en la nube.
- Generar registros de auditoría e informes de todos los eventos de acceso a todos los sistemas, y transmitir los registros a sistemas SIEM externos.
Soluciones:
Seguridad de los datos
Supervisión de la actividad de los datos
Gestión de identidades y accesos
Cómo puede ayudar Thales:
- Cifrar los datos en reposo en entornos locales, en múltiples nubes y en entornos de big data o contenedores.
- Proteger los datos en tránsito mediante cifrado de alta velocidad.
- Ofrecer una visibilidad completa de la actividad sobre los datos sensibles, permite controlar quién tiene acceso, auditar sus acciones y mantener la debida documentación.
Cómo puede ayudar Thales:
- Limitar el acceso de usuarios internos y externos a los sistemas y a los datos según las funciones asignadas y el contexto, aplicando políticas definidas.
- Aplicar medidas de seguridad contextuales basadas en la puntuación de riesgos.
- Aprovechar las tarjetas inteligentes para implementar el control de acceso físico a las instalaciones sensibles de infraestructuras críticas.
Cómo puede ayudar Thales:
- Construir e implantar políticas de autenticación adaptables basadas en la sensibilidad de los datos o la aplicación.
- Proteger frente a ataques de phishing y ataques de intermediario (man-in-the-middle).
Cómo puede ayudar Thales:
- Proteger las claves criptográficas en un entorno conforme a FIPS 140-2 de nivel 3.
- Agilizar la gestión de claves en entornos locales y en la nube.
- Gestionar y proteger todos los secretos y las credenciales sensibles.
Recursos relacionados
Otras normativas clave en materia de protección de datos y seguridad
PCI HSM
MANDATO | EN VIGOR
La especificación PCI HSM define un conjunto de estándares de cumplimiento de seguridad lógica y física para los HSM, específicamente orientados al sector de los pagos. La certificación de cumplimiento PCI HSM depende del cumplimiento de dichos estándares.
DORA
REGLAMENTO | EN VIGOR
DORA tiene como objetivo reforzar la seguridad informática de las entidades financieras para garantizar que el sector financiero en Europa sea resiliente frente al creciente volumen y gravedad de los ciberataques.
Leyes de notificación de brechas de datos
REGLAMENTO | EN VIGOR
Los requisitos de notificación de brechas de datos tras la pérdida de información personal han sido promulgados por países de todo el mundo. Varían según la jurisdicción, pero casi universalmente incluyen una cláusula de «puerto seguro».
GLBA
REGLAMENTO | EN VIGOR
La Ley Gramm-Leach-Bliley (GLBA), también conocida como la Ley de Modernización de los Servicios Financieros de 1999, exige que las instituciones financieras expliquen a sus clientes sus prácticas de intercambio de información y protejan los datos sensibles.