Cumplimiento regulatorio de la NCUA

Administración de derechos de acceso

De acuerdo con FFIEC:

Las instituciones financieras deben tener un proceso eficaz para administrar los derechos de acceso. El proceso debe incluir:

• Asignar a los usuarios y dispositivos solo el acceso necesario para realizar sus funciones requeridas,
• Actualización de los derechos de acceso en función de cambios de personal o del sistema,
• Revisar periódicamente los derechos de acceso de los usuarios con una frecuencia adecuada en función del riesgo para la aplicación o el sistema ...

Cifrado y administración de claves

FFIEC señala también que:

• Cifrado
  Las instituciones financieras deben emplear una capacidad de cifrado suficiente para proteger la información de la divulgación hasta que la divulgación de la información no represente una amenaza importante. …. Las decisiones sobre qué datos cifrar y en qué puntos cifrar los datos se basan normalmente en el riesgo de divulgación ….El cifrado también se puede utilizar para proteger los datos almacenados. La implementación puede cifrar un archivo, un directorio, un volumen o un disco.
• Administración de las claves de cifrado
  Dado que la seguridad se basa principalmente en las claves de cifrado, la administración eficaz de las claves resulta fundamental. Los sistemas eficaces de administración de claves se basan en un conjunto establecido de estándares, procedimientos y métodos seguros que abordan la Fuente: ISO 17799, 10.3.5.2

Monitoreo de la seguridad

Además, FFIEC ofrece directrices para el control de la seguridad.

Las instituciones financieras deben asegurarse de la idoneidad de su estrategia e implementación de mitigación de riesgos mediante:

• Monitoreo de la red y la actividad del host para identificar brechas de políticas y comportamientos anómalos;
• Monitoreo de la condición del host y la red para identificar configuraciones no autorizadas y otras condiciones que aumentan el riesgo de intrusión u otros eventos de seguridad;
• Análisis de los resultados del monitoreo para identificar, clasificar, escalar, informar y orientar las respuestas a los eventos de seguridad de manera precisa y rápida; y
• Respuesta a intrusiones y otros eventos y debilidades de seguridad para mitigar adecuadamente el riesgo para la institución y sus clientes, así como restaurar los sistemas de la institución.

Limitar el acceso solo para aquellos que necesitan ver los datos para hacer su trabajo

La plataforma de Thales Vormetric Data Security Platform y SafeNet Multi-Factor Authentication proporciona control de acceso de usuario de última generación.

• Separación de usuarios con privilegios y datos confidenciales de los usuarios. Con Vormetric Data Security Platform, los administradores pueden crear una separación fuerte de tareas entre administradores con privilegios y propietarios de datos. La plataforma Vormetric Data Security Platform cifra archivos dejando sus metadatos en claro. De esta forma, los administradores de TI, que incluyen hipervisor, administradores de red, nube y almacenamiento pueden llevar a cabo tareas de administración de sistemas sin tener que obtener acceso privilegiado a los datos confidenciales que residen en los sistemas que manejan.
• Separación de tareas administrativas. Se puede aplicar una separación robusta de políticas de tareas para garantizar que un administrador no tenga control completo de los datos sobre actividades de seguridad, claves de cifrado o administración. Además, Vormetric Data Security Manager apoya la autenticación de dos factores para acceso administrativo.
• Controles de acceso granular privilegiados.Esta solución de Thales puede aplicar políticas de gestión de acceso muy granulares para usuarios menos privilegiados que impidan el mal uso en la protección de datos de parte de usuarios con acceso a información privilegiada, así como ataques de APTs. Las políticas de gestión de acceso de usuarios con privilegios se pueden aplicar por usuario, proceso, tipo de archivo, hora y otros parámetros. Las opciones de aplicación pueden controlar no solo el permiso para acceder a datos en formato de texto común; pero además, cuáles comandos del sistema están disponibles para un usuario.
• La autenticación de múltiples factores SafeNet  de Thales tiene una función vital dentro de cualquier organización: asegurar el acceso a las redes corporativas, proteger las identidades de los usuarios y garantizar que un usuario sea quien dice ser.

Proteja los datos en descanso

Thales protege los datos en sí por medio de Vormetric Transparent Encryption con administración de claves integrada para los datos en reposo, cifrado de aplicaciones, tokenización con enmascaramiento dinámico y más. Estas técnicas hacen que los datos se vuelvan insignificantes e inservibles sin las herramientas para descifrarlos.

Proteja los datos en movimiento

Los dispositivos de Thales SafeNet con cifrado de red con certificación FIPS , ofrecen seguridad de red comprobada de alto compromiso para sus datos confidenciales en movimiento, incluidos video en tiempo real y voz.

Supervisar el acceso a los datos

Thales le permite a la cooperativa de ahorro y crédito monitorear e identificar el acceso extraordinario a datos. Vormetric Security Intelligence para la inteligencia de la seguridad proporciona registros de gestión detallados que especifican cuáles procesos y usuarios han accedido a datos protegidos. Los registros de gestión detallados especifican cuándo los usuarios y procesos accedieron a datos, bajo cuáles políticas y si las solicitudes de acceso fueron permitidas o rechazadas. Los registros de gestión indicarán incluso cuándo un usuario con acceso a información privilegiada envía un comando como "cambiar de usuario" para tratar de imitar y potencialmente explotar las credenciales de otro usuario.

Compartir estos registros con una plataforma de información de seguridad y gestión de eventos (SIEM, por sus siglas en inglés), le ayuda a descubrir patrones anómalos en procesos y accesos de usuarios, lo que puede dar lugar a una investigación posterior. Por ejemplo, un administrador o proceso puede acceder a volúmenes más grandes de datos de lo normal en forma repentina, o intentar hacer una descarga de archivos no autorizada. Estos eventos pueden apuntar a un ataque de ATP anterior, o a actividades internas malintencionadas.