Marco de Ciberseguridad y Ciberresiliencia (CSCRF) de la SEBI
El 20 de agosto de 2024, la SEBI (Junta de Valores y Bolsa de la India) publicó el Marco de Ciberseguridad y Resiliencia Cibernética (CSCRF) para las entidades reguladas por la SEBI, con el fin de reforzar las medidas actuales de ciberseguridad en el mercado de valores de la India y fortalecer los mecanismos para hacer frente a los riesgos o amenazas cibernéticas.
El CSCRF tiene como objetivo ofrecer normas y directrices para reforzar la resiliencia cibernética y mantener una ciberseguridad sólida en las entidades reguladas por la SEBI. El marco CSCRF sustituirá a las circulares, directrices, avisos y cartas sobre ciberseguridad emitidos previamente por la SEBI.
El CSCRF se basa en normas y abarca de forma amplia los 5 objetivos de resiliencia cibernética adoptados del Plan de Gestión de Crisis Cibernéticas (CCMP) del Equipo de Respuesta a Emergencias Informáticas de la India (CERT-In): anticipar, resistir, contener, recuperar y evolucionar. Estos objetivos de resiliencia cibernética se han vinculado con las siguientes funciones de ciberseguridad: gobernanza, identificar, proteger, detectar, responder y recuperar.
El CSCRF está estructurado en cuatro partes:
- Parte I: Objetivos y normas
- Parte II: Directrices
- Parte III: Formatos estructurados para el cumplimiento normativo
- Parte IV: Anexos y referencias
El marco se aplicará a las siguientes entidades reguladas y, además, las subdivide en distintas categorías en función de su escala operativa, número de clientes, volumen de operaciones y activos bajo gestión, estableciendo requisitos de cumplimiento específicos para cada categoría.
- Para las entidades reguladas en las que ya exista una circular sobre ciberseguridad y ciberresiliencia: antes del 1 de enero de 2025.
- Para otras entidades reguladas en las que se emita el CSCRF por primera vez: antes del 1 de abril de 2025.
Documento de cumplimiento
Marco de Ciberseguridad y Ciberresiliencia (CSCRF)
Explore soluciones para cumplir el CSCRF abordando las directrices de las funciones de ciberseguridad de Gobernanza, Identidad y Protección incluidas en el marco.
Cómo Thales puede ayudar a cumplir el marco CSCRF
Thales puede ayudar a las entidades reguladas a cumplir el CSCRF abordando las directrices de las funciones de ciberseguridad de Gobernanza, Identidad y Protección incluidas en el marco.
Ofrecemos soluciones en tres áreas clave de la ciberseguridad: seguridad de aplicaciones, seguridad de datos y gestión de identidades y accesos.
Soluciones de cumplimiento del marco CSCRF
Seguridad de las aplicaciones
Proteja las aplicaciones y las API a escala en la nube, en entornos locales o en un modelo híbrido. Nuestra gama de productos líder en el mercado incluye un cortafuegos para aplicaciones web (WAF), protección contra ataques de denegación de servicio distribuido (DDoS) y contra ataques de bots maliciosos, seguridad para API, una red de distribución de contenidos (CDN) segura y autoprotección de aplicaciones en tiempo de ejecución (RASP).
Gestor de seguridad
Descubrir y clasificar los datos sensibles en entornos de TI híbridos y protegerlos automáticamente en cualquier lugar —ya sea en reposo, en tránsito o en uso— mediante cifrado, tokenización y gestión de claves. Las soluciones de Thales también identifican, evalúan y priorizan los riesgos potenciales para una evaluación del riesgo precisa, además de identificar comportamientos anómalos y supervisar la actividad para verificar el cumplimiento normativo, lo que permite a las organizaciones priorizar en qué concentrar sus esfuerzos.
Gestión de identidades y accesos
Proporcione un acceso fluido, seguro y de confianza a las aplicaciones y servicios digitales para clientes, empleados y socios. Nuestras soluciones limitan el acceso de usuarios internos y externos basándose en sus funciones y en el contexto, mediante políticas de acceso granulares y autenticación multifactor, lo que ayuda a garantizar que el usuario adecuado acceda al recurso adecuado en el momento adecuado.
Abordar el Código y las Directrices del Estándar CSCRF
SafeNet Authentication Service Private Cloud Edition (PCE) es una plataforma de autenticación en entornos locales rentable y fácil de usar que ofrece más de 200 configuraciones preprobadas, es compatible con soluciones de terceros y admite diversos tipos de tokens.
CipherTrust Data Discovery & Classification (DDC) identifica y clasifica datos en diversos repositorios, mejorando la privacidad y seguridad de los datos mediante la gestión de activos en entornos locales, híbridos, en la nube y multinube.
Imperva Data Security Fabric Data Activity Monitoring (DAM) permite a las entidades reguladas identificar riesgos relacionados con datos críticos mediante la supervisión continua de la actividad en los repositorios de datos, proporcionando pistas de auditoría detalladas.
Imperva Data Security Fabric Data Activity Monitoring (DAM) optimiza las tareas de auditoría en diversas plataformas, incluidas las relacionales, NoSQL, mainframe, big data y «data warehouses», y es compatible con Microsoft Azure y AWS, capturando automáticamente actividad detallada sobre los datos.
Los HSM Luna de Thales y los cifradores de alta velocidad proporcionan un enfoque de agilidad criptográfica que permite garantizar la preparación poscuántica de las entidades reguladas.
- Refuerce sus claves de cifrado con los HSM Luna de Thales resistentes a la computación cuántica, disponibles comercialmente con los algoritmos finalistas resistentes a la computación cuántica del NIST incorporados.
- Algoritmos resistentes a la computación cuántica (QRA) con PQC FM con firma basada en hash (SP 800-208)
- Criptografía poscuántica integrada o personalizada: implemente su propia criptografía poscuántica utilizando el Módulo de Funcionalidad (FM) de Luna o mediante los distintos FM o integraciones de socios tecnológicos.
- QRNG: inyecte entropía cuántica con QRNG y el almacenamiento seguro de claves de los HSM Luna
- Las soluciones de cifrado de red High Speed Encryption (HSE) de Thales ofrecen protección segura de los datos en tránsito, son compatibles con la criptografía poscuántica mediante una arquitectura con agilidad criptográfica basada en FPGA, proporcionan protección a largo plazo frente a ataques cuánticos y permiten cifrar en cualquier entorno.
El kit de inicio de criptografía poscuántica permite a las entidades reguladas probar de forma segura soluciones resistentes a la computación cuántica en un entorno de confianza, en colaboración con Quantinuum para configurar un HSM Luna con claves preparadas para la criptografía poscuántica.
El cortafuegos para aplicaciones web (WAF) de Imperva ofrece una seguridad integral para las aplicaciones web, detectando y evitando amenazas de ciberseguridad. Bloquea los ataques en tiempo real y actualiza las reglas a diario.
Imperva Data Security Fabric Data Risk Analytics supervisa el acceso y la actividad de los datos, proporcionando visibilidad a todos los usuarios. Utiliza una amplia experiencia en seguridad especializada y aprendizaje automático para identificar comportamientos sospechosos.
SafeNet Authentication Service Private Cloud Edition (PCE) permite a las organizaciones limitar el acceso a recursos confidenciales y es compatible con soluciones de terceros a través de SAML, RADIUS, agentes o API.
El cortafuegos para aplicaciones web (WAF) de Imperva ofrece una seguridad integral para las aplicaciones web, detectando y evitando amenazas de ciberseguridad como el cross-site scripting (XSS) y el acceso no autorizado a recursos. Bloquea los ataques en tiempo real, con actualizaciones diarias del equipo de investigación de amenazas.
Imperva API Security aporta una visibilidad completa de las API, descubriendo automáticamente los puntos finales y evaluando los riesgos. Clasifica las API sensibles utilizando datos de llamadas, lo que permite aplicar medidas de seguridad proactivas. La supervisión continua favorece lanzamientos de software más rápidos y seguros, disponible como complemento o como parte de la oferta API «Security Anywhere».
CipherTrust Transparent Encryption ofrece cifrado continuo a nivel de archivo, gestión centralizada de claves y control del acceso de usuarios con privilegios, evitando el acceso no autorizado en entornos físicos, virtuales y en la nube, y garantizando una implementación transparente.
CipherTrust Enterprise Key Management mejora la gestión de claves en entornos empresariales y en la nube, proporcionando alta seguridad y centralización tanto para cifrado propio como para aplicaciones de terceros, mediante dispositivos virtuales o hardware compatibles con FIPS 140-2.
SafeNet Authentication Service Private Cloud Edition (PCE) proporciona acceso centralizado y seguro a las aplicaciones empresariales mediante diversos métodos de autenticación, como contraseñas de un solo uso, credenciales de infraestructura de clave pública, Kerberos y distintos factores de forma.
Las soluciones de gestión de identidades y accesos OneWelcome de Thales ofrecen medidas de seguridad integrales y capacidades de generación de informes para las organizaciones, utilizando dispositivos de autenticación multifactor para múltiples aplicaciones.
El módulo OneWelcome de Gestión de Consentimientos y Preferencias de Thales permite a las entidades financieras recopilar el consentimiento de los consumidores, gestionar el acceso a los datos y gestionar la delegación B2B según las funciones y responsabilidades de los usuarios.
CipherTrust Manager simplifica la gestión del ciclo de vida de las claves, incluyendo actividades como la generación, copia de seguridad y restauración, desactivación y eliminación. Sus fases de destrucción de claves permiten a las organizaciones lograr la trituración digital de los datos.
Imperva API Security brinda a los equipos de seguridad visibilidad completa de las API, lo que permite ciclos de lanzamiento de software más rápidos y seguros, y evita flujos de trabajo que consuman muchos recursos, garantizando así que se mantengan actualizados frente a los nuevos riesgos.
Datos en reposo
Thales ofrece múltiples soluciones para los datos en reposo que pueden coexistir con el cifrado nativo proporcionado por el proveedor de servicios en la nube (CSP).
- CipherTrust Transparent Encryption ofrece un cifrado continuo a nivel de archivo para proteger contra los accesos no autorizados en entornos físicos, virtuales y en la nube. Utiliza protocolos sólidos basados en estándares como AES y ECC, y cuenta con la validación FIPS 140-2 de nivel 1.
- CipherTrust Tokenization proporciona tokenización, enmascaramiento dinámico de datos para la anonimización y desidentificación de los datos en la nube.
- CipherTrust Application Data Protection permite preservar el formato o el cifrado tradicional a las aplicaciones que utilizan API RESTful. Todas estas soluciones pueden emplearse para proteger los datos en reposo en la nube.
- CipherTrust Manager es el punto central de gestión de la plataforma CipherTrust Data Security Platform. Gestiona las tareas del ciclo de vida de las claves, incluida su generación, rotación, destrucción, importación y exportación; proporciona control de acceso basado en funciones a las claves y políticas; admite auditorías y elaboración de informes sólidas, y ofrece una API REST orientada a desarrolladores.
Datos en tránsito
- Las soluciones High Speed Network Encryption (HSE) de Thales protegen los datos en tránsito a medida que se desplazan por la red entre los centros de datos y la sede central, las oficinas sucursales y satélite, y los sitios de copia de seguridad y recuperación ante desastres, tanto en entornos locales como en la nube.
CipherTrust Data Discovery and Classification (DDC) simplifica el proceso de identificar y clasificar datos sensibles en diversos repositorios de datos, reduciendo así los riesgos de seguridad y permitiendo una mejor toma de decisiones para la transformación a la nube y las tareas de remediación.
Imperva API Security proporciona a los equipos de seguridad una visibilidad integral de las API al detectar automáticamente los puntos finales y determinar los riesgos asociados a los datos sensibles. Refuerza la protección frente a los 10 riesgos principales de seguridad de API del OWASP para las entidades reguladas, permitiendo a los desarrolladores crear microservicios y API en distintos entornos.
CipherTrust Secrets Management (CSM) automatiza el acceso a los secretos en las herramientas de DevOps y las cargas de trabajo en la nube, con tecnología de Akeyless Vault, e integra aplicaciones de terceros como GitHub y Kubernetes.
Los cifradores de alta velocidad (HSE) de Thales ofrecen cifrado de datos en tránsito independiente de la red, protegiendo datos, vídeo, voz y metadatos frente a escuchas, vigilancia e interceptación. Están disponibles como dispositivos físicos y virtuales, y son compatibles con una amplia gama de velocidades de red.
Marco para la adopción de servicios en la nube
CipherTrust Data Security Platform proporciona almacenamiento en la nube seguro para las entidades reguladas, mediante cifrado avanzado y una gestión centralizada de claves, garantizando la movilidad de los datos entre múltiples proveedores de servicios en la nube.
CipherTrust Cloud Key Manager (CCKM) es compatible con casos de uso BYOK («traiga su propia clave») en múltiples infraestructuras en la nube y aplicaciones SaaS. Proporciona salvaguardas sólidas para los datos empresariales, permitiendo el cumplimiento y el control sobre los ciclos de vida de las claves de cifrado.
CipherTrust Transparent Encryption proporciona cifrado transparente y control de accesos para los datos que se almacenan en Amazon S3, Azure Files y otros.
CipherTrust Tokenization tokeniza los datos antes de migrarlos a la nube en un formato ofuscado para protegerlos frente a cualquier brecha de datos.
Los módulos de seguridad de hardware (HSM) Luna de Thales proporcionan a las organizaciones hardware dedicado para el control de claves criptográficas, ofreciendo un entorno a prueba de manipulaciones para el procesamiento criptográfico seguro, la generación de claves y el cifrado.
Recursos relacionados
Documento de cumplimiento
Abordar los requisitos del Marco de Ciberseguridad y Ciberresiliencia (CSCRF) de la SEBI
Otras normativas clave en materia de protección de datos y seguridad
PCI HSM
MANDATO | EN VIGOR
La especificación PCI HSM define un conjunto de estándares de cumplimiento de seguridad lógica y física para los HSM, específicamente orientados al sector de los pagos. La certificación de cumplimiento PCI HSM depende del cumplimiento de dichos estándares.
DORA
REGLAMENTO | EN VIGOR
DORA tiene como objetivo reforzar la seguridad informática de las entidades financieras para garantizar que el sector financiero en Europa sea resiliente frente al creciente volumen y gravedad de los ciberataques.
Leyes de notificación de brechas de datos
REGLAMENTO | EN VIGOR
Los requisitos de notificación de brechas de datos tras la pérdida de información personal han sido promulgados por países de todo el mundo. Varían según la jurisdicción, pero casi universalmente incluyen una cláusula de «puerto seguro».
GLBA
REGLAMENTO | EN VIGOR
La Ley Gramm-Leach-Bliley (GLBA), también conocida como la Ley de Modernización de los Servicios Financieros de 1999, exige que las instituciones financieras expliquen a sus clientes sus prácticas de intercambio de información y protejan los datos sensibles.