Las Directrices de Gestión de los Riesgos de TI («แนวปฏิบัติในการบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศ») del Banco de Tailandia (BOT) se actualizaron en noviembre de 2023 para abordar las amenazas de ciberseguridad en evolución, los riesgos de la transformación digital y los requisitos de cumplimiento normativo para las instituciones financieras en Tailandia. La versión revisada de las directrices incluye mantener los sistemas que soportan los canales de banca móvil, informar al BOT sobre las autoevaluaciones de riesgos de TI en un plazo de 30 días y presentar directrices para la implementación de la gestión de los riesgos de TI y la gestión de los riesgos de terceros.
Resumen de las Directrices de Gestión de los Riesgos de TI del BOT
- El objetivo principal es garantizar que las instituciones financieras sujetas a su supervisión puedan identificar, evaluar, mitigar y controlar eficazmente los riesgos relacionados con las TI en un panorama digital en rápida evolución.
- La versión revisada de las directrices de 2023 tiene como objetivo reforzar la resiliencia de la ciberseguridad para combatir las crecientes amenazas cibernéticas dirigidas a las instituciones financieras, así como la mayor dependencia de los servicios en la nube y de los proveedores externos.
Los bancos, las instituciones financieras no bancarias y los proveedores de servicios de pago están supervisados por el Banco de Tailandia (BOT).
Documento de cumplimiento
Cumplimiento de las Directrices de Gestión de los Riesgos de TI del Banco de Tailandia (BOT)
Descubra cómo las instituciones financieras cumplen las Directrices de Gestión de los Riesgos de TI mediante nuestras soluciones integrales y obtenga más información sobre los requisitos.
Cómo Thales puede ayudar a cumplir las Directrices de Gestión de los Riesgos de TI del Banco de Tailandia (BOT)
Las soluciones de ciberseguridad de Thales ayudan a las instituciones financieras a abordar los ocho requisitos del Capítulo 2: Seguridad de las Tecnologías de la Información. Al simplificar el cumplimiento y automatizar la seguridad con visibilidad y control, reducen la carga de los equipos de seguridad y cumplimiento normativo.
Soluciones de cumplimiento del BOT
Seguridad de las aplicaciones
Proteja las aplicaciones y las API a escala en la nube, en entornos locales o en un modelo híbrido. Nuestra gama de productos líder en el mercado incluye un cortafuegos para aplicaciones web (WAF), protección contra ataques de denegación de servicio distribuido (DDoS) y contra ataques de bots maliciosos.
Gestor de seguridad
Descubrir y clasificar los datos sensibles en entornos de TI híbridos y protegerlos automáticamente en cualquier lugar —ya sea en reposo, en tránsito o en uso— mediante cifrado, tokenización y gestión de claves. Las soluciones de Thales también identifican, evalúan y priorizan los riesgos potenciales para una evaluación del riesgo precisa, además de identificar comportamientos anómalos y supervisar la actividad para verificar el cumplimiento normativo, lo que permite a las organizaciones priorizar en qué concentrar sus esfuerzos.
Gestión de identidades y accesos
Proporcione un acceso fluido, seguro y de confianza a las aplicaciones y servicios digitales para clientes, empleados y socios. Nuestras soluciones limitan el acceso de usuarios internos y externos basándose en sus funciones y en el contexto, mediante políticas de acceso granulares y autenticación multifactor, lo que ayuda a garantizar que el usuario adecuado acceda al recurso adecuado en el momento adecuado.
Abordar las Directrices del BOT para la Gestión de los Riesgos de TI
Cómo puede ayudar Thales:
- Clasificar y asignar niveles específicos de sensibilidad a los datos al definir los repositorios de datos y los perfiles de clasificación para los distintos tipos de conjuntos de datos.
- Identificar el estado actual de cumplimiento normativo y documentar las brechas existentes.
- Descubrir y clasificar los riesgos potenciales de todas las API públicas, privadas y ocultas.
Soluciones:
Seguridad de las aplicaciones
Seguridad de los datos
Cómo puede ayudar Thales:
- Detectar y prevenir las ciberamenazas con un cortafuegos para aplicaciones web, garantizando la continuidad operativa y una mayor tranquilidad.
- Proteger los activos críticos de la red frente a ataques DDoS y bots maliciosos, sin interrumpir el tráfico legítimo.
- Ofrecer una protección unificada, con detección y respuesta integradas para API obsoletas, no autenticadas y susceptibles a BOLA, así como frente a muchas otras amenazas incluidas en el OWASP API Top Ten, deteniendo en tiempo real el abuso de la lógica de negocio y las amenazas dirigidas a las API.
- Proporcionar una protección continua de todas las API mediante un descubrimiento y una clasificación exhaustivos que permiten detectar todas las API públicas, privadas y ocultas.
- Cifrar los datos en reposo en entornos locales, en múltiples nubes y en entornos de big data o contenedores.
- Seudonimizar la información sensible en las bases de datos.
- Proteger la raíz de confianza de un sistema criptográfico dentro de un entorno altamente seguro.
- Proteger los datos en tránsito mediante cifrado de alta velocidad.
- Proteger los datos en uso mediante técnicas de computación confidencial.
- Ofrecer una visibilidad completa de la actividad sobre los datos sensibles que permita controlar quién tiene acceso, auditar sus acciones y mantener la debida documentación.
Soluciones:
Seguridad de las aplicaciones
Protección contra ataques DDoS
Cortafuegos para aplicaciones web
Seguridad de los datos
Supervisión de la actividad de los datos
Descubrimiento y clasificación de datos
Análisis de riesgos de los datos
Supervisión de la actividad de los archivos
Cómo puede ayudar Thales:
- Garantizar un borrado seguro eliminando las claves de CipherTrust Manager y destruyendo digitalmente todas las instancias de los datos.
Cómo puede ayudar Thales:
- Centralizar las tareas de gestión del ciclo de vida de las claves, incluidas la generación, la rotación, la destrucción, la importación y la exportación.
- Proteger las claves criptográficas en un entorno conforme a FIPS 140-2 de nivel 3.
- Admitir algoritmos criptográficos como Advanced Encryption Standard (AES) de 256 bits, RSA de 3072 bits y estar preparado para una actualización poscuántica que permita mantener la «cripto-agilidad».
- Implementar cifrado transparente para protocolos de cifrado sólidos y basados en estándares.
- Gestionar y proteger todos los secretos y las credenciales sensibles.
Cómo puede ayudar Thales:
- Emplear protocolos de cifrado sólidos y basados en estándares, como el Estándar de Cifrado Avanzado (AES) para el cifrado de datos y la criptografía de curva elíptica (ECC) para el intercambio de claves.
- Proteger las claves criptográficas en hardware validado por FIPS y con evidencia de manipulación.
Cómo puede ayudar Thales:
- Centralizar la gestión del ciclo de vida de las claves, incluidas la generación, la rotación, la destrucción, la importación y la exportación.
- Gestionar las claves de cifrado, proporcionar controles de acceso granulares y configurar políticas de seguridad.
- Garantizar un borrado seguro eliminando las claves de CipherTrust Manager y destruyendo digitalmente todas las instancias de los datos.
- Admitir algoritmos criptográficos como Advanced Encryption Standard (AES) de 256 bits y RSA de 3072 bits.
- Ofrecer protocolos seguros de intercambio de claves, como TLS/SSL (autenticación mutua), PKCS#11, KMIP, REST API (sobre TLS), Elliptic Curve Diffie-Hellman (ECDH) y Key Wrapping (AES-KW, RSA-KW).
- Proporcionar un control estricto del HSM mediante autenticación multifactor sólida.
- Proteger las claves criptográficas en un entorno conforme a FIPS 140-3 de nivel 3.
- Realizar copias de seguridad y duplicar con facilidad las claves criptográficas sensibles de forma segura en el HSM de copia de seguridad con certificado FIPS 140-3 de nivel 3.
- Gestionar y proteger todos los secretos y las credenciales sensibles.
Cómo puede ayudar Thales:
- Implementar la autenticación multifactor (MFA) para garantizar que únicamente las personas autorizadas acceden al sistema.
- Implementar el inicio de sesión único (SSO) para permitir a los usuarios acceder de forma segura a varios sistemas con una única autenticación.
- Establecer políticas de control de acceso basadas en las funciones, responsabilidades y riesgos de los usuarios (control de acceso adaptativo).
- Ofrecer auditorías de acceso al sistema y almacenar los datos de uso (registros de acceso) como respaldo a las auditorías retrospectivas.
- Revocar automáticamente los derechos de acceso cuando ya no sean necesarios (gestión delegada de usuarios y desaprovisionamiento automatizado).
Soluciones:
Gestión de identidades y accesos
Cómo puede ayudar Thales:
- Ofrecer autenticación multifactor (MFA) para evitar accesos no autorizados a la red.
- Crear políticas de control de acceso a la red basadas en las funciones de los usuarios y en los riesgos.
- Supervisar y analizar el comportamiento de uso de la red para alertar si se detectan riesgos.
- Gestionar los permisos de los usuarios externos que necesitan acceder a la red por motivos de seguridad.
Soluciones:
Gestión de identidades y accesos
Cómo puede ayudar Thales:
- Supervisar la actividad de la API, realizar un seguimiento del uso, detectar anomalías e identificar posibles intentos de acceso no autorizado.
- Habilitar la supervisión continua para capturar y analizar toda la actividad del repositorio de datos, proporcionando registros de auditoría detallados que muestren quién accede a qué datos, cuándo y qué se ha hecho con ellos.
- Aplicar la gestión de derechos de los usuarios en función del tipo de dato y de las funciones de los usuarios, y generar informes para los registros de auditoría.
- Capturar automáticamente datos detallados de la actividad para fines de auditoría.
- Registrar todos los cambios en los permisos, así como la identidad del autor y la información de la sesión.
Soluciones:
Seguridad de las aplicaciones
Seguridad de los datos
Supervisión de la actividad de los datos
Supervisión de la actividad de los archivos
Gestión de identidades y accesos
Cómo puede ayudar Thales:
- Modificar los permisos de acceso en función del comportamiento del usuario en tiempo real o casi en tiempo real y de los factores contextuales.
- Centralizar las políticas de acceso y su aplicación en múltiples entornos híbridos desde una vista unificada.
- Proporcionar el registro de accesos y actividad de los usuarios con privilegios (p. ej., el administrador del sistema) para poder revisarlo posteriormente.
- Analizar el comportamiento de los usuarios con privilegios y los registros de auditoría para encontrar anomalías como, por ejemplo, que el administrador inicie sesión fuera del horario laboral o modifique los privilegios de forma anómala.
- Crear flujos de trabajo para solicitar privilegios y dejar constancia de las aprobaciones para facilitar la revisión.
Cómo puede ayudar Thales:
- Supervisar la actividad de la API, realizar un seguimiento del uso, detectar anomalías e identificar posibles intentos de acceso no autorizado.
- Proteger los activos críticos de la red frente a ataques DDoS y bots maliciosos, sin interrumpir el tráfico legítimo.
- Alertar o bloquear en tiempo real los ataques a las bases de datos y las solicitudes de acceso anómalas.
- Supervisar la actividad de los archivos a lo largo del tiempo para establecer alertas sobre actividades que puedan poner en riesgo a las instituciones financieras.
- Supervisar continuamente los procesos para detectar actividad anómala de E/S y alertar o bloquear la actividad maliciosa.
- Supervisar los procesos activos para detectar ransomware, identificando actividades como el acceso excesivo a datos, la exfiltración, el cifrado no autorizado o la suplantación maliciosa de un usuario, y alertar o bloquear cuando se detecte dicha actividad.
- Aplicar medidas de seguridad contextuales basadas en la puntuación de riesgos.
- Centralizar las políticas de acceso y su aplicación en múltiples entornos híbridos desde una vista unificada.
- Construir e implantar políticas de autenticación adaptables basadas en la sensibilidad de los datos o la aplicación.
- Supervisar el comportamiento de los usuarios —como el inicio de sesión de un administrador desde una nueva ubicación o dirección IP, o un patrón incorrecto de acceso al sistema— para alertar y evitar un ataque.
- Analizar la analítica del comportamiento de los usuarios (UBA, por sus siglas en inglés) y el contexto —como la hora, el dispositivo o la red— para añadir autenticación o bloquear el acceso.
- Crear un flujo de trabajo para alertar, aprobar y comprobar la gestión de incidentes de las partes implicadas.
Soluciones:
Seguridad de las aplicaciones
Protección contra ataques DDoS
Seguridad de los datos
Supervisión de la actividad de los datos
Supervisión de la actividad de los archivos
Gestión de identidades y accesos
Cómo puede ayudar Thales:
- Ofrecer capacidades avanzadas de verificación de API para reforzar las defensas contra posibles vulnerabilidades.
- Llevar a cabo pruebas de evaluación en repositorios de datos como MySQL o similares para buscar vulnerabilidades conocidas.
- Escanear las bases de datos con más de 1500 pruebas de vulnerabilidad predefinidas basadas en los puntos de referencia CIS y PCI-DSS para mantenerlas protegidas frente a las amenazas más recientes.
Soluciones:
Seguridad de las aplicaciones
Seguridad de los datos
Cómo puede ayudar Thales:
- Gestionar el acceso al sistema tanto desde dispositivos corporativos como desde dispositivos propios del usuario (BYOD) mediante verificación de identidad y autenticación multifactor (MFA).
- Aplicar políticas de acceso contextuales y controlar los derechos de acceso al sistema y a los datos en función de los riesgos del dispositivo y de la función del usuario, como denegar el acceso desde dispositivos no registrados o de alto riesgo.
- Crear flujos de trabajo para el registro, la renovación y la baja de los dispositivos propios del usuario (BYOD).
- Verificar las identidades de los dispositivos con certificados digitales o autoridades de confianza antes de permitir que se conecten.
- Detectar dispositivos no autorizados, como dispositivos «rooteados» o con «jailbreak», y bloquear el acceso de inmediato.
Soluciones:
Gestión de identidades y accesos
Cómo puede ayudar Thales:
- Seudonimizar la información sensible en las bases de datos para evitar la exposición de datos reales en las pruebas.
Cómo puede ayudar Thales:
- Gestionar la identidad de los proveedores de servicios externos comprobando y verificando sus identidades antes de concederles acceso a los sistemas o a los datos sensibles.
- Aplicar políticas de acceso basadas en la función y el riesgo del proveedor para limitar el acceso exclusivamente al ámbito de trabajo necesario.
- Gestionar los derechos de acceso y asignar derechos de gestión a los administradores o supervisores.
- Crear flujos de trabajo para registrar, verificar y revocar los derechos de los proveedores de servicios externos de acuerdo con el ciclo del contrato.
- Hacer el seguimiento y almacenar los registros de las actividades de acceso de los proveedores externos de servicios como respaldo a las auditorías retrospectivas.
Soluciones:
Gestión de identidades y accesos
Recursos relacionados
Documento de cumplimiento
Directrices de TI de la SEC de Tailandia (Securities and Exchange Commission)
Otras normativas clave en materia de protección de datos y seguridad
PCI HSM
MANDATO | EN VIGOR
La especificación PCI HSM define un conjunto de estándares de cumplimiento de seguridad lógica y física para los HSM, específicamente orientados al sector de los pagos. La certificación de cumplimiento PCI HSM depende del cumplimiento de dichos estándares.
DORA
REGLAMENTO | EN VIGOR
DORA tiene como objetivo reforzar la seguridad informática de las entidades financieras para garantizar que el sector financiero en Europa sea resiliente frente al creciente volumen y gravedad de los ciberataques.
Leyes de notificación de brechas de datos
REGLAMENTO | EN VIGOR
Los requisitos de notificación de brechas de datos tras la pérdida de información personal han sido promulgados por países de todo el mundo. Varían según la jurisdicción, pero casi universalmente incluyen una cláusula de «puerto seguro».
GLBA
REGLAMENTO | EN VIGOR
La Ley Gramm-Leach-Bliley (GLBA), también conocida como la Ley de Modernización de los Servicios Financieros de 1999, exige que las instituciones financieras expliquen a sus clientes sus prácticas de intercambio de información y protejan los datos sensibles.