Aplicar la Gestión de Riesgos de los Datos y la Nube en la Tecnología de BNM (RMiT) de Malasia

Descripción general de la regulación

La política de Gestión de Riesgos en la Tecnología (RMiT) del Banco Negara Malaysia (BNM) pretende formalizar los programas de gestión de riesgos utilizados al adoptar la nube y otras innovaciones tecnológicas en las instituciones financieras (IF) malasias.

El BNM emitió un nuevo Documento de Política (DP) actualizado sobre la Gestión de Riesgos en la Tecnología el 1 de junio de 2023. Todas las instituciones financieras aplicarán controles sólidos de gestión de riesgos por encima de las normas reglamentarias mínimas para prestar servicios financieros eficientes de forma segura y evitar la explotación de los eslabones débiles de las redes y sistemas interconectados con una sólida fortificación cibernética para preservar la confianza del público en el sistema financiero.

Las principales actualizaciones del DP de la RMiT son las siguientes:

• Directrices adicionales para reforzar la capacidad de gestión del riesgo de la nube de las entidades financieras
• Un cambio hacia un enfoque basado en el riesgo en el proceso de consulta y notificación de la nube con las correspondientes actualizaciones en el requisito de evaluación y presentación de riesgos, el uso del control de seguridad de autenticación multifactor (AMF) se denota como un requisito estándar.
• Se ha revisado el documento de preguntas frecuentes para facilitar la aplicación de los requisitos políticos revisados.

El Documento de Política de RMiT del BNM entró en vigor el 1 de enero de 2020. El DP actualizado se publicó y entró en vigor el 1 de junio de 2023 y sustituye al documento normativo anterior del 1 de enero de 2020, excepto los apartados 10.49, 10.50, 10.51 y 10.52, que seguirán siendo aplicables hasta el 31 de mayo de 2024.

Como líder en seguridad digital e identidad, Thales puede ayudar a las organizaciones a abordar y cumplir con los respectivos mandatos de la política RMiT de BNM con nuestras integraciones con proveedores de servicios en la nube, como Microsoft Azure, Amazon Web Services (AWS); Google Cloud Platform (GCP), y más.

Nuestras soluciones son compatibles con las categorías de políticas de RMiT en los siguientes ámbitos:

Desarrollo y adquisición de sistemas:

• CipherTrust Tokenization anonimiza la información sensible de los datos de prueba para que los proveedores menos privilegiados o terceros puedan tratarlos sin riesgo de pérdida de datos.
• Para proteger datos estructurados y no estructurados, como los códigos fuente, CipherTrust Transparent Encryption puede cifrar todo el código fuente para salvaguardarlo de accesos no autorizados.

Criptografía:

• CipherTrust Data Security Platform ofrece el uso de algoritmos basados en estándares de la industria, hashing y firma con RNG en una plataforma centralizada y segura.
• Ciphertrust Manager (CM) en CipherTrust Data Security Platform proporciona la gestión completa del ciclo de vida de las claves, así como CipherTrust Cloud Key Management, la solución centralizada de gestión de claves multinube. CM ofrece rotación de claves que puede ayudar en caso de recuperación cuando las claves criptográficas están en riesgo. También ofrece sólidas funciones de separación de funciones. Esto puede llevarse aún más lejos con los dominios de gestión de seguridad, que combinan esta administración basada en funciones con la capacidad de compartimentar la gestión de políticas, claves de cifrado de datos, configuraciones de agentes y registros de auditoría para un grupo empresarial concreto.
• CipherTrust Transparent Encryption permite la rotación automática de claves sin tiempo de inactividad de la aplicación, lo que permite a los clientes migrar fácilmente a estándares criptográficos más recientes siempre y cuando sea necesario.
• Thales es el principal proveedor de Hardware Security Modules (HSM) a escala mundial y entre los bancos de Malasia. Los HSM de Thales están certificados conforme a normas de seguridad internacionales como FIPS-140-2 nivel 3, Common Criteria, EIDAS y PCI-PTS.

Operaciones de centros de datos:

• Los datos confidenciales en soportes extraíbles pueden protegerse con CipherTrust Data Security Platform, que garantiza el cifrado de los datos antes de su almacenamiento y transporte. CipherTrust Key Management se integra con los principales proveedores de soluciones de copia de seguridad para gestionar las claves de cifrado de las copias de seguridad y separar los datos de las claves. También protege los datos antes de realizar la copia de seguridad y almacenarlos en el soporte extraíble.

Servicios en la nube:

• Con la tecnología Hold-Your-Own-Key (HYOK) de CipherTrust Cloud Key Management, los clientes de los proveedores de servicios en la nube conservan el pleno control y la propiedad de sus datos mediante el control del acceso a las claves de cifrado, lo que anula el riesgo de que los datos se pongan en manos de potencias extranjeras.
• CipherTrust Data Security Platform ayuda a las instituciones financieras (IF) a cifrar sus datos almacenados en servidores en la nube para protegerlos contra la divulgación y el acceso no autorizados, incluso desde el proveedor de servicios en la nube, utilizando la tecnología Hold-Your-Own-Key (HYOK).

Control de accesos:

• CipherTrust Transparent Encryption (CTE) permite la separación de funciones entre el administrador de seguridad y el administrador del sistema dentro de los servidores, garantizando que los administradores del sistema o las cuentas privilegiadas no tengan acceso a las claves sensibles de cifrado, mientras que los administradores de seguridad no tienen acceso a los datos. Registra toda la actividad de archivos de los usuarios del sistema operativo para reenviarla a un syslog o SIEM.

Riesgos clave y medidas de control para servicios en la nube: CipherTrust Data Security Platform, soluciones CipherTrust Tokenization, CipherTrust Transparent Encryption, CipherTrust Key Management, CipherTrust Cloud Key Management y HSM.

• CipherTrust Data Security Platform (CDSP) cuenta con varios módulos y enfoques para ayudar a los clientes a proteger sus datos almacenados en la nube, como Bring-Your-Own-Encryption (BYOE), Hold-Your-Own-Key (HYOK), Bring-Your-Own-Key (BYOK) y también una función centralizada de gestión de claves en múltiples nubes para ofrecer una solución completa y exhaustiva de protección de datos que cubra todo tipo de datos y casos de uso en la nube. Permite migrar datos cifrados entre distintas nubes, eliminando cualquier dependencia de formatos específicos utilizados por distintos proveedores de nubes; los clientes no están atados a una única nube. CDSP ofrece una garantía total de destrucción de datos al salir de una nube mediante el uso de la trituración digital y proporciona varias opciones y métodos de cifrado para los datos almacenados en la nube.
• Con CipherTrust Transparent Encryption (CTE) y CipherTrust Tokenization, las IF pueden cifrar los datos antes de trasladarlos a la nube, es decir. Anonimización de datos antes de su entrada en lagos de datos en la nube. CTE no solo proporciona cifrado, sino que también aplica un control de acceso granular (separado del control de acceso del sistema operativo) a los usuarios con privilegios para evitar usos indebidos o abusos.
• Thales Luna HSMs ofrecen una protección de hardware a prueba de manipulaciones, algo fundamental para las soluciones de firma digital.
• CipherTrust Key Management (CCKM) se integra con VMware para permitir el cifrado de imágenes de máquinas virtuales y el cifrado VSAN, mientras que CipherTrust Transparent Encryption permite proteger los datos dentro de máquinas virtuales y contenedores mediante el cifrado y el control de acceso de forma transparente, sin necesidad de realizar cambios en la aplicación. CCKM incorpora Hold-Your-Own-Key (HYOK) para entornos de nube y multinube en los que los clientes conservan la propiedad de su clave de cifrado y proporciona un enfoque integral y centralizado para la gestión de claves multinube, permitiendo la generación, almacenamiento y distribución de claves de forma segura. Esto reduce la complejidad y los elevados costes administrativos atribuidos al uso de múltiples nubes.