Las Directrices para la Supervisión y Gestión de los Riesgos de las Tecnologías de la Información de las Compañías de Seguros de Vida B.E. 2563 (2020) («หลักเกณฑ์การกำกับดูแลและบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศของบริษัทประกันชีวิต พ.ศ. ๒๕๖๓») fueron emitidas por la Oficina del Comisionado de Seguros (OIC) de Tailandia para reforzar la gestión de los riesgos de TI en el sector de los seguros de vida.
¿Qué son las Directrices para la Supervisión y Gestión de los Riesgos de TI de la OIC?
- Garantizar unas operaciones de TI seguras y estables en las entidades aseguradoras de pólizas de vida
- Mitigar los riesgos derivados de las ciberamenazas, las brechas de datos y los fallos de los sistemas
- Alinear sus prácticas con los estándares internacionales
- Reforzar el cumplimiento normativo y la protección del consumidor
- Todas las entidades aseguradoras de pólizas de vida registradas en Tailandia
- Proveedores de servicios de terceros (que gestionan sistemas de TI o datos para las entidades aseguradoras)
Seis categorías: gobernanza de TI, gestión de proyectos de TI, seguridad de TI, gestión de riesgos de TI, cumplimiento de TI, auditoría de TI, gobernanza y gestión de riesgos de ciberseguridad, y notificación de incidentes de ciberamenazas.
DOCUMENTO DE CUMPLIMIENTO
Cumplimiento de las Directrices sobre Supervisión y Gestión de los Riesgos de TI de la OIC en Tailandia
Descubra cómo las entidades aseguradoras cumplen las Directrices para la Supervisión y Gestión de los Riesgos de las Tecnologías de la Información mediante nuestras soluciones integrales de ciberseguridad y conozca mejor cuáles son los requisitos.
Cómo Thales puede ayudar a cumplir las Directrices para la Supervisión y Gestión de los Riesgos de TI de la OIC de Tailandia
Las soluciones de ciberseguridad de Thales ayudan a las organizaciones a abordar dos categorías: seguridad de TI, y gobernanza y gestión de riesgos de ciberseguridad. Al simplificar el cumplimiento y automatizar la seguridad con visibilidad y control, reducen la carga de los equipos de seguridad y cumplimiento normativo.
Soluciones de cumplimiento de la OIC
Seguridad de las aplicaciones
Proteja las aplicaciones y las API a escala en la nube, en entornos locales o en un modelo híbrido. Nuestra gama de productos líder en el mercado incluye un cortafuegos para aplicaciones web (WAF), protección contra ataques de denegación de servicio distribuido (DDoS) y contra ataques de bots maliciosos.
Gestor de seguridad
Descubrir y clasificar los datos sensibles en entornos de TI híbridos y protegerlos automáticamente en cualquier lugar —ya sea en reposo, en tránsito o en uso— mediante cifrado, tokenización y gestión de claves. Las soluciones de Thales también identifican, evalúan y priorizan los riesgos potenciales para una evaluación del riesgo precisa, además de identificar comportamientos anómalos y supervisar la actividad para verificar el cumplimiento normativo, lo que permite a las organizaciones priorizar en qué concentrar sus esfuerzos.
Gestión de identidades y accesos
Proporcione un acceso fluido, seguro y de confianza a las aplicaciones y servicios digitales para clientes, empleados y socios. Nuestras soluciones limitan el acceso de usuarios internos y externos basándose en sus funciones y en el contexto, mediante políticas de acceso granulares y autenticación multifactor, lo que ayuda a garantizar que el usuario adecuado acceda al recurso adecuado en el momento adecuado.
Abordar las Directrices de la OIC para la Supervisión y Gestión de los Riesgos de TI
Cómo puede ayudar Thales:
- Identificar los datos sensibles estructurados y no estructurados que están en riesgo en entornos de TI híbridos.
- Identificar el estado actual de cumplimiento normativo y documentar las brechas existentes.
- Descubrir y clasificar los riesgos potenciales de todas las API públicas, privadas y ocultas.
- Clasificar y asignar niveles específicos de sensibilidad a los datos al definir los repositorios de datos y los perfiles de clasificación para los distintos tipos de conjuntos de datos.
Soluciones:
Seguridad de las aplicaciones
Seguridad de los datos
Cómo puede ayudar Thales:
- Limitar el acceso de usuarios internos y externos a los sistemas y a los datos según las funciones asignadas y el contexto, aplicando políticas definidas.
- Aplicar medidas de seguridad contextuales basadas en la puntuación de riesgos.
- Centralizar las políticas de acceso y su aplicación en múltiples entornos híbridos desde una vista unificada.
- Unificar las operaciones de gestión de claves mediante control de acceso basado en funciones.
- Ofrecer autenticación multifactor (MFA) para garantizar que quienes acceden al sistema están autorizados correctamente.
- Emplear el inicio de sesión único (SSO) para permitir a los usuarios acceder de forma segura a varios sistemas con una única autenticación.
- Definir políticas de acceso basadas en las funciones, responsabilidades y riesgos de los usuarios (control de acceso basado en políticas).
- Almacenar los registros de acceso como respaldo a las auditorías retrospectivas.
- Cifrar los datos tanto en reposo como en tránsito (cifrado en reposo y en tránsito) para evitar accesos no autorizados.
Soluciones:
Seguridad de las aplicaciones
Seguridad de los datos
Supervisión de la actividad de los datos
Supervisión de la actividad de los archivos
Gestión de identidades y accesos
Cómo puede ayudar Thales:
- Implementar un cifrado transparente y continuo que proteja contra los accesos no autorizados de usuarios y procesos en entornos físicos, virtuales y en la nube.
- Seudonimizar la información sensible en las bases de datos para evitar la exposición de datos reales en las pruebas.
- Proteger las claves criptográficas en hardware conforme a FIPS 140-3 de nivel 3 y con evidencia de manipulación.
- Cifrar las claves con una clave AES de 256 bits de un solo uso y enviarlas a través de una conexión TLS con autenticación mutua.
- Productos de seguridad diseñados para una actualización poscuántica que permita mantener la criptoagilidad.
Cómo puede ayudar Thales:
- Habilitar la autenticación multifactor (MFA) para los usuarios remotos con el fin de garantizar que los accesos están autorizados.
- Proporcionar la gestión de derechos de los usuarios para el sistema de red privada virtual (VPN) a fin de impedir el acceso desde dispositivos no autorizados.
- Ofrecer políticas de acceso remoto para controlar que solo los usuarios previamente aprobados puedan acceder.
- Almacenar los registros de acceso remoto como respaldo a las auditorías retrospectivas.
- Cifrar los datos enviados a través de conexiones remotas (cifrado de datos en tránsito) para evitar la interceptación de datos durante las comunicaciones.
Cómo puede ayudar Thales:
- Detectar y prevenir las ciberamenazas con un cortafuegos para aplicaciones web, garantizando la continuidad operativa y una mayor tranquilidad.
- Proteger los activos críticos de la red frente a ataques DDoS y bots maliciosos, sin interrumpir el tráfico legítimo.
- Garantizar la disponibilidad mediante una mitigación de DDoS rápida y eficaz y un SLA de 3 segundos para ataques de las capas 3 y 4.
- Proteger frente a ataques contra la lógica de negocio y frente a muchas otras amenazas incluidas en el OWASP API Top Ten.
- Proporcionar una protección continua de todas las API mediante un descubrimiento y una clasificación exhaustivos que permiten detectar todas las API públicas, privadas y ocultas.
- Ofrecer una visibilidad completa de la actividad sobre los datos sensibles que permita controlar quién tiene acceso, auditar sus acciones y mantener la debida documentación.
- Identificar la actividad de acceso a datos de riesgo de todos los usuarios, incluidos aquellos con privilegios.
- Proteger los datos con alertas en tiempo real o mediante el bloqueo del acceso de los usuarios en caso de infracción de las políticas.
- Ofrecer transparencia y contexto sobre el estado de riesgo de los datos mediante la consolidación de métricas de riesgo, la identificación de las áreas de riesgo y la provisión de puntuaciones de riesgo transparentes y personalizables.
Soluciones:
Seguridad de las aplicaciones
Protección contra ataques DDoS
Cortafuegos para aplicaciones web
Seguridad de los datos
Supervisión de la actividad de los datos
Análisis de riesgos de los datos
Cómo puede ayudar Thales:
- Llevar a cabo pruebas de evaluación en repositorios de datos como MySQL o similares para buscar vulnerabilidades conocidas.
- Escanear las bases de datos con más de 1500 pruebas de vulnerabilidad predefinidas basadas en los puntos de referencia CIS y PCI-DSS para mantenerlas protegidas frente a las amenazas más recientes.
Recursos relacionados
Documento de cumplimiento
Directrices de TI de la SEC de Tailandia (Securities and Exchange Commission)
Otras normativas clave en materia de protección de datos y seguridad
PCI HSM
MANDATO | EN VIGOR
La especificación PCI HSM define un conjunto de estándares de cumplimiento de seguridad lógica y física para los HSM, específicamente orientados al sector de los pagos. La certificación de cumplimiento PCI HSM depende del cumplimiento de dichos estándares.
DORA
REGLAMENTO | EN VIGOR
DORA tiene como objetivo reforzar la seguridad informática de las entidades financieras para garantizar que el sector financiero en Europa sea resiliente frente al creciente volumen y gravedad de los ciberataques.
Leyes de notificación de brechas de datos
REGLAMENTO | EN VIGOR
Los requisitos de notificación de brechas de datos tras la pérdida de información personal han sido promulgados por países de todo el mundo. Varían según la jurisdicción, pero casi universalmente incluyen una cláusula de «puerto seguro».
GLBA
REGLAMENTO | EN VIGOR
La Ley Gramm-Leach-Bliley (GLBA), también conocida como la Ley de Modernización de los Servicios Financieros de 1999, exige que las instituciones financieras expliquen a sus clientes sus prácticas de intercambio de información y protejan los datos sensibles.