La Agencia de Ciberseguridad de Singapur (CSA) ha publicado los Códigos de Prácticas o Estándares de Desempeño emitidos por el Comisionado de Ciberseguridad para la regulación de los propietarios de Infraestructuras Críticas de Información (ICI), de conformidad con la Ley de Ciberseguridad. La segunda edición del Código de Buenas Prácticas de Ciberseguridad para Infraestructuras Críticas de Información (CCoP 2.0) entró en vigor el 4 de julio de 2022, sustituyendo a las versiones anteriores.
Descripción general del Código de Buenas Prácticas de Ciberseguridad para las Infraestructuras Críticas de Información (CCoP) - Finalidad del CCoP 2.0
La CCoP 2.0 tiene por objeto especificar los requisitos mínimos que el propietario de una infraestructura crítica de información (CIIO) deberá cumplir para garantizar la ciberseguridad de la ICI. Se espera que el propietario de la infraestructura crítica de información (CIIO) implemente medidas más allá de las estipuladas en este Código para reforzar aún más la ciberseguridad de la ICI, basándose en el perfil de riesgo de ciberseguridad de dicha infraestructura.
- Reforzar las defensas de ciberseguridad de la ICI frente a ciberataques avanzados y sofisticados.
- Proporcionar un marco para que la ICI haga frente a los nuevos desafíos derivados de tecnologías como la computación en la nube, la inteligencia artificial y el 5G.
- Incrementar la capacidad de las ICI para dar respuesta a los riesgos e incidentes de ciberseguridad en rápida evolución.
- Promover una mejor colaboración e intercambio de información entre la Administración pública y el sector privado para identificar y responder rápidamente a las ciberamenazas.
- Mejorar la resiliencia general de las ICI de Singapur frente a ciberataques disruptivos.
La Ley de Ciberseguridad establece un marco para la designación de las Infraestructuras Críticas de Información (ICI), y los propietarios de ICI de los 11 sectores críticos están obligados a cumplir las prácticas obligatorias de higiene cibernética del CCoP 2.0 para garantizar una base sólida de ciberseguridad en los sectores de ICI.
- 11 sectores críticos: energía, infocomunicaciones, suministro de agua, sanidad, banca y finanzas, seguridad y servicios de emergencia, aviación, transporte terrestre, marítimo, Administración pública y medios de comunicación.
- Se ha introducido un conjunto de prácticas obligatorias de ciberseguridad específicas de la tecnología operativa como anexo a CCoP 2.0 con el objetivo de elevar el estado de la ciberseguridad para las ICI de tecnologías operativas.
Documento de cumplimiento
Cumplimiento del Código de Buenas Prácticas de Ciberseguridad para las Infraestructuras Críticas de Información (CCoP 2.0) en Singapur
Descubra cómo las infraestructuras críticas de información (ICI) cumplen el CCoP 2.0 gracias a nuestras soluciones integrales de ciberseguridad y conozca mejor los requisitos.
Cómo Thales puede ayudar con el CCoP 2.0 en Singapur
Las soluciones de Thales pueden ayudar a las ICI a abordar los requisitos del CCoP 2.0, centrándose en las cláusulas de protección y detección. Al simplificar el cumplimiento y automatizar la seguridad con visibilidad y control, reducen la carga de los equipos de seguridad y cumplimiento normativo.
Soluciones de cumplimiento del CCoP 2.0 en Singapur
Seguridad de las aplicaciones
Proteja las aplicaciones y las API a escala en la nube, en entornos locales o en un modelo híbrido. Nuestra cartera de productos líder en el mercado incluye un cortafuegos para aplicaciones web (WAF), protección frente a ataques de denegación de servicio distribuido (DDoS) y ataques de bots maliciosos, seguridad para API y una red de distribución de contenidos (CDN) segura.
Gestor de seguridad
Descubrir y clasificar los datos sensibles en entornos de TI híbridos y protegerlos automáticamente en cualquier lugar —ya sea en reposo, en tránsito o en uso— mediante cifrado, tokenización y gestión de claves. Las soluciones de Thales también identifican, evalúan y priorizan los riesgos potenciales para una evaluación del riesgo precisa, además de identificar comportamientos anómalos y supervisar la actividad para verificar el cumplimiento normativo, lo que permite a las organizaciones priorizar en qué concentrar sus esfuerzos.
Gestión de identidades y accesos
Proporcione un acceso fluido, seguro y de confianza a las aplicaciones y servicios digitales para clientes, empleados y socios. Nuestras soluciones limitan el acceso de usuarios internos y externos basándose en sus funciones y en el contexto, mediante políticas de acceso granulares y autenticación multifactor, lo que ayuda a garantizar que el usuario adecuado acceda al recurso adecuado en el momento adecuado.
Abordar la Cláusula del CCoP 2.0
Cómo puede ayudar Thales:
- Limitar el acceso de usuarios internos y externos a los sistemas y a los datos según las funciones asignadas y el contexto, aplicando políticas definidas.
- Aplicar medidas de seguridad contextuales basadas en la puntuación de riesgos.
- Centralizar las políticas de acceso y su aplicación en múltiples entornos híbridos desde una vista unificada.
- Unificar las operaciones de gestión de claves mediante control de acceso basado en funciones.
- Proteger y automatizar el acceso a los secretos a través de herramientas DevOps.
- Ofrecer autenticación multifactor (MFA) para garantizar que quienes acceden al sistema están autorizados correctamente.
- Emplear el inicio de sesión único (SSO) para permitir a los usuarios acceder de forma segura a varios sistemas con una única autenticación.
- Establecer políticas de acceso basadas en las funciones, responsabilidades y los riesgos de los usuarios.
Soluciones:
Seguridad de los datos
Supervisión de la actividad de los datos
Supervisión de la actividad de los archivos
Gestión de identidades y accesos
Cómo puede ayudar Thales:
- Ofrecer una visibilidad completa de la actividad sobre los datos sensibles que permita controlar quién tiene acceso, auditar sus acciones y mantener la debida documentación.
- Proporcionar opciones de autenticación flexibles para flujos de trabajo automatizados con el fin de mitigar la dependencia de las contraseñas.
- Ampliar la autenticación de inicio de sesión único a las aplicaciones en la nube, permitiendo un acceso centralizado y seguro mediante una identidad protegida.
- Aplicar el control de acceso privilegiado a los datos sensibles.
- Permitir una gestión integral de secretos —incluidos credenciales, certificados y claves— abarcando secretos estáticos, secretos dinámicos, claves SSH, claves de API y tokens que habilitan el acceso just-in-time (secretos dinámicos) en lugar de secretos estáticos para las cuentas con privilegios en toda la pila tecnológica.
Soluciones:
Gestión de identidades y accesos
Gestión de acceso del personal
Seguridad de los datos
Cómo puede ayudar Thales:
- Descubrir y clasificar los riesgos potenciales de todas las API públicas, privadas y ocultas.
- Proteger los activos críticos de la red frente a ataques DDoS y bots maliciosos, sin interrumpir el tráfico legítimo.
- Supervisar el tráfico de datos para detectar el riesgo de filtraciones de datos.
- Proteger frente a ataques contra la lógica de negocio y frente a muchas otras amenazas incluidas en el OWASP API Top Ten.
- Detectar y prevenir las ciberamenazas con cortafuegos para aplicaciones web.
- Cifrar los datos sensibles una vez creados y garantizar que los datos en texto sin formato no puedan ser procesados o almacenados por aplicaciones y personal no autorizados.
- Proteger y automatizar el acceso a los secretos a través de herramientas DevOps.
Soluciones:
Seguridad de las aplicaciones
Protección contra ataques DDoS
Cortafuegos para aplicaciones web
Seguridad de los datos
Cómo puede ayudar Thales:
- Permitir el control de acceso de usuarios con privilegios a los datos sensibles y restringir el acceso no autorizado aplicando un diseño de mínimos privilegios.
- Ofrecer tokenización y cifrado masivos de alta velocidad, por ejemplo de información de identificación personal (PII) a nivel de columna, desde el origen hasta el destino.
- Unificar la gestión de claves y certificados para los conectores y dispositivos de terceros, incluyendo una variedad de clientes KMIP, agentes TDE, entre otros.
- Ofrecer una visibilidad completa de la actividad sobre los datos sensibles que permita controlar quién tiene acceso, auditar sus acciones y mantener la debida documentación.
- Alertar o bloquear en tiempo real los ataques a las bases de datos y las solicitudes de acceso anómalas.
- Supervisar continuamente los procesos para detectar actividad anómala de E/S y alertar o bloquear la actividad maliciosa.
- Supervisar los procesos activos para detectar ransomware, identificando actividades como el acceso excesivo a datos, la exfiltración, el cifrado no autorizado o la suplantación maliciosa de un usuario, y alertar o bloquear cuando se detecte dicha actividad.
Cómo puede ayudar Thales:
- Llevar a cabo pruebas de evaluación en repositorios de datos como MySQL o similares para buscar vulnerabilidades conocidas.
- Analizar las bases de datos con más de 1500 pruebas de vulnerabilidad predefinidas basadas en los benchmarks del CIS para ayudar a mantenerlas protegidas frente a las amenazas más recientes.
Cómo puede ayudar Thales:
- Proteger las claves criptográficas en un entorno conforme a FIPS 140-3 de nivel 3.
- Agilizar la gestión de claves en entornos locales y en la nube mediante la gestión del ciclo de vida de las claves.
- Admitir una lista creciente de proveedores de IaaS, PaaS y SaaS para la gestión de claves en la nube. Las soluciones SaaS incluyen Microsoft Office 365, Salesforce.com y Salesforce Sandbox, así como SAP Data Custodian. Las soluciones IaaS/PaaS compatibles incluyen Microsoft Azure, Microsoft Azure China National Cloud, Microsoft Azure Stack, IBM Cloud, Google Cloud Platform y Amazon Web Services.
- Gestionar y proteger todos los secretos y las credenciales sensibles.
- Almacenar los datos cifrados y su clave de cifrado en lugares diferentes en virtud del principio de separación de responsabilidades.
- Adoptar la agilidad poscuántica para hacer frente a las amenazas de la informática cuántica.
- Compatibilidad con metodologías BYOK y HYOK con una gestión completa del ciclo de vida de las claves nativas de la nube, así como de las claves generadas por sus propias fuentes de claves.
Cómo puede ayudar Thales:
- Utilizar análisis de firmas, comportamientos y reputación para bloquear todos los ataques de inyección de malware.
- Detectar y prevenir las ciberamenazas con cortafuegos para aplicaciones web.
- Obtener visibilidad mediante la supervisión y la auditoría de toda la actividad de las bases de datos en sistemas en la nube y en entornos locales.
- Proteger los datos con alertas en tiempo real o mediante el bloqueo del acceso de los usuarios en caso de infracción de las políticas.
- Aportar perspectivas basadas en la síntesis de los comportamientos de los usuarios, los patrones de acceso a las aplicaciones y las API, y el contexto de las fuentes de datos.
- Supervisar el acceso a los datos no estructurados en tiempo real a través de los servidores, la nube y los archivos compartidos.
- Detectar las amenazas y los riesgos internos con una visibilidad profunda y conocimientos basados en IA con análisis inteligentes y contextualizados.
Soluciones:
Seguridad de las aplicaciones
Cortafuegos para aplicaciones web
Seguridad de los datos
Supervisión de la actividad de los datos
Análisis de riesgos de los datos
Recursos relacionados
Otras normativas clave en materia de protección de datos y seguridad
PCI HSM
MANDATO | EN VIGOR
La especificación PCI HSM define un conjunto de estándares de cumplimiento de seguridad lógica y física para los HSM, específicamente orientados al sector de los pagos. La certificación de cumplimiento PCI HSM depende del cumplimiento de dichos estándares.
DORA
REGLAMENTO | EN VIGOR
DORA tiene como objetivo reforzar la seguridad informática de las entidades financieras para garantizar que el sector financiero en Europa sea resiliente frente al creciente volumen y gravedad de los ciberataques.
Leyes de notificación de brechas de datos
REGLAMENTO | EN VIGOR
Los requisitos de notificación de brechas de datos tras la pérdida de información personal han sido promulgados por países de todo el mundo. Varían según la jurisdicción, pero casi universalmente incluyen una cláusula de «puerto seguro».
GLBA
REGLAMENTO | EN VIGOR
La Ley Gramm-Leach-Bliley (GLBA), también conocida como la Ley de Modernización de los Servicios Financieros de 1999, exige que las instituciones financieras expliquen a sus clientes sus prácticas de intercambio de información y protejan los datos sensibles.