bg-intro-1-banner

Cumplimiento de la DEFCON 658

Thales permite cumplir con las principales disposiciones de la DEFCON 658 del Ministerio de Defensa del Reino Unido.

DEFCON 658

Prueba

La DEFCON 658 del Ministerio de Defensa (MOD, por sus siglas en inglés) del Reino Unido tiene el objetivo de proteger la cadena de suministro de defensa de amenazas cibernéticas y se aplica a todas las organizaciones que sean proveedoras del Ministerio de Defensa o que deseen serlo, en relación con los contratos que manejan Información Identificativa del Ministerio de Defensa (MODII, por sus siglas en inglés).

Las soluciones de Thales brindan herramientas para ayudarle a cumplir con la DEFCON 658, entre las que se incluyen:

  • Descubrimiento y clasificación de datos confidenciales para encontrar los datos que usted necesita proteger
  • Control de acceso, lo que garantiza que solamente usuarios con credenciales pueden recuperar datos confidenciales
  • Registros de inteligencia de seguridad que identifican patrones de acceso no autorizado y fallos de serguridad en progreso
  • Cifrado y administración de claves fuertes, que inutilizan los datos confidenciales para los usuarios no autorizados
  • Regulación
  • Cumplimiento

Resumen

La DEFCON 658 es un protocolo de contratación sobre ciberseguridad. Exige que todos los proveedores del Ministerio de Defensa del Reino Unido que se presenten para nuevos contratos que necesiten la transferencia de MODII cumplan con la DEFCON 658 y respeten las normas establecidas en DEFSTAN 05-138. En particular, la adhesión a la DEFCON 658 abarca todas las cadenas de suministro (subcontratistas) de los mismos proveedores.

Incumplimiento

La DEFCON 658 aplica a todos los proveedores a lo largo de la cadena de suministro del MOD cuando se involucra la MODII, y las organizaciones que no cumplan sus requisitos no podrán celebrar contratos con el MOD.

Resumen del cumplimiento

La norma de Defensa DEF STAN 05-138, que detalla las medidas que deben alcanzar los proveedores de defensa en cada uno de los cinco niveles de riesgo de ciberseguridad que puede implicar un contrato, incluye varios controles relativos a la protección de información confidencial, según se describe a continuación.

Thales brinda soluciones de seguridad de datos que ayudan a abordar estos controles, según lo indicado. Es necesario notar que si bien los controles se definen sobre la base de los riesgos asociados con el contrato (bajo, mediano o alto), las soluciones de Thales son aplicables simultáneamente a controles similares y, por lo tanto, se agrupan a continuación.

Medidas de control

L.07 Definir e implementar una política para controlar el acceso a información y a instalaciones de procesamiento de información.
M.06 Verificar que la organización haya identificado a los propietarios de los activos y que los propietarios de los activos controlen el acceso a sus activos.
L.12 Definir e implementar una política para gestionar los derechos de acceso de las cuentas de usuarios.

Soluciones de Thales

Thales cuenta con un amplio conjunto de soluciones que pueden ayudar a las organizaciones a prepararse para la DEFCON 658 y a cumplir con ella en todas las áreas donde los datos necesitan protección –en reposo, en movimiento y en uso– lo cual incluye:

  • Descubrimiento y clasificación de datos confidenciales
  • Gestión de acceso y autenticación
  • Cifrado de datos en reposo y de datos en movimiento
  • Protección certificada de claves de cifrado
  • Tokenization con enmascaramiento dinámico

Descubrimiento y clasificación de datos confidenciales

El primer paso en la protección de datos confidenciales es hallar los datos donde sea que se encuentren en la organización, clasificarlos como confidenciales y tipificarlos (por ej., datos de identificación personal o PII, por sus siglas en inglés; financieros; PI; IHH; confidencialidad del cliente, etc.), para poder aplicar las técnicas de protección de datos más adecuadas. También es importante monitorear y evaluar los datos regularmente para asegurarse de no omitir datos nuevos y de que su organización no caiga en incumplimiento.

CipherTrust Data Discovery and Classification de Thales identifica eficazmente los datos confidenciales estructurados y no estructurados en las instalaciones y en la nube. La solución es compatible con modelos de implementación sin agentes y con agentes, y proporciona plantillas integradas que permiten la rápida identificación de datos regulados, resaltan riesgos de seguridad y le ayudan a desvelar deficiencias de cumplimiento. Un flujo de trabajo optimizado expone puntos ciegos de seguridad y reduce el tiempo de corrección. Los informes detallados son compatibles con los programas de cumplimiento y facilitan la comunicación ejecutiva.

Protección de datos confidenciales en reposo

Separación de usuarios con privilegios y datos confidenciales de los usuarios

Con CipherTrust Data Security Platform, los administradores pueden crear una separación fuerte de tareas entre administradores con privilegios y propietarios de datos. CipherTrust Transparent Encryption cifra archivos y deja sus metadatos sin cifrar al mismo tiempo. De esta forma, los administradores de TI, que incluyen hipervisor, administradores de red, nube y almacenamiento, pueden llevar a cabo tareas de administración de sistemas sin tener que obtener acceso privilegiado a los datos confidenciales que residen en los sistemas que administran.

Separación de tareas administrativas

Se puede aplicar una separación robusta de políticas de tareas para garantizar que un administrador no tenga control completo de los datos sobre actividades de seguridad, claves de cifrado o administración. Además, CipherTrust Manager es compatible con la autenticación de dos factores para acceso administrativo.

Controles de acceso granular privilegiado

CipherTrust Data Security Platform puede aplicar políticas de gestión de acceso muy granulares para usuarios menos privilegiados que impidan el mal uso en la protección de datos de parte de usuarios con acceso a información privilegiada y ataques de APT. Las políticas de gestión de usuarios con acceso a información privilegiada se pueden aplicar por usuario, proceso, tipo de archivo, hora y otros parámetros. Las opciones de aplicación pueden controlar no solo el permiso para acceder a datos en formato de texto común, sino además qué comandos del sistema están disponibles para un usuario.

Gestión de accesos y autenticación robustas

Las soluciones de autenticación y administración de acceso de Thales brindan los mecanismos de seguridad y las capacidades de generación de informes que necesitan las organizaciones para cumplir con las regulaciones en materia de seguridad de datos. Nuestras soluciones protegen los datos confidenciales mediante la aplicación de los controles de acceso adecuados cuando los usuarios inician sesión en aplicaciones que almacenan datos confidenciales. Al admitir una amplia gama de métodos de autenticación y acceso basado en roles impulsado por políticas, nuestras soluciones ayudan a las empresas a mitigar el riesgo de brechas de datos debido a credenciales comprometidas o robadas, o mediante el abuso de credenciales internas.

La compatibilidad con el inicio de sesión único inteligente y la autenticación intensificada permiten a las organizaciones optimizar la comodidad para los usuarios finales, garantizando que solo tengan que autenticarse cuando sea necesario. Los informes extensos permiten a las empresas producir un registro de auditoría detallado de todos los eventos de acceso y autenticación, lo que garantiza que puedan demostrar el cumplimiento de una amplia gama de regulaciones.

Medidas de control

L.10 Definir e implementar una política de seguridad de la información, y los procesos y procedimientos relacionados.
M.04 Definir e implementar una política para almacenar, acceder y gestionar la información confidencial de modo seguro.

Soluciones de Thales

Políticas de seguridad detalladas. CipherTrust Data Security Platform proporciona controles centralizados que permiten la gestión consistente y repetible del cifrado, las políticas de acceso y la inteligencia de seguridad para todos sus datos estructurados y no estructurados. Está disponible como FIPS 140-2 y dispositivos físicos y virtuales certificados por Common Criteria.

Extensibilidad. CipherTrust Data Security Platform fue desarrollada en una infraestructura extensible y sus componentes se pueden desplegar individualmente ofreciendo al mismo tiempo una administración de claves y políticas eficiente y centralizada.

Seguridad robusta para datos confidenciales. Thales ayuda a proteger los datos confidenciales mediante CipherTrust Transparent Encryption con Administración de claves integrada para datos en reposo, Protección de datos de aplicaciones y Tokenization con enmascaramiento dinámico. Estas técnicas hacen que los datos se vuelvan insignificantes e inservibles sin las herramientas para descifrarlos.

Medidas de control

L.16 Definir e implementar una política de gestión de incidentes, la cual debe incluir detección, resolución y recuperación.

Soluciones de Thales

Inteligencia de seguridad. CipherTrust Data Security Platform proporciona registros de Inteligencia de seguridad que especifican qué procesos y usuarios han accedido a los datos protegidos, de acuerdo con qué políticas, y si los accesos requeridos fueron otorgados o denegados. Los registros de gestión indicarán incluso cuando un usuario con acceso a información privilegiada envía un comando como "cambiar de usuario" para tratar de imitar y potencialmente explotar las credenciales de otro usuario. Compartir estos registros con una plataforma de información de seguridad y gestión de eventos (SIEM), le ayuda a descubrir patrones anómalos en procesos y accesos de usuarios, lo que puede dar lugar a una investigación posterior. Por ejemplo, un administrador o proceso puede acceder a volúmenes de datos más grandes de lo normal en forma repentina o intentar hacer una descarga de archivos no autorizada. Estos eventos pueden apuntar a un ataque de ATP anterior o a actividades internas malintencionadas.

Medidas de control

M.16 Definir e implementar una política para asegurar los activos organizacionales cuando los individuos dejan de ser empleados de su organización.

Soluciones de Thales

Controles de acceso privilegiado y registros de inteligencia. Las políticas de gestión de acceso granular de CipherTrust Data Security Platform se pueden aplicar por usuario y se puede revocar el acceso de aquellas personas que ya no forman parte de la organización. Cualquier intento denegado de acceder a datos confidenciales será capturado por los registros de Inteligencia de Seguridad de CipherTrust.

Asegure sus activos digitales, cumpla con los estándares normativos y del sector, y proteja la reputación de su organización. Conozca cómo puede ayudarle Thales.

Data Security Compliance and Regulations - eBook

Data Security Compliance and Regulations - eBook

This ebook shows how Thales data security solutions enable you to meet global compliance and data privacy requirements including - GDPR, Schrems II, PCI-DSS and data breach notification laws.

Thales CipherTrust Data Discovery and Classification

Thales CipherTrust Data Discovery and Classification - Product Brief

The crucial first step in privacy and data protection regulatory compliance is to understand what constitutes sensitive data, where it is stored, and how it is used. If you don't know what sensitive data you have, where it is, and why you have it, you cannot apply effective...

SafeNet Trusted Access - Solution Brief

SafeNet Trusted Access - Solution Brief

More and more cloud-based services are becoming an integral part of the enterprise, as they lower costs and management overhead while increasing flexibility. Cloud-based authentication services, especially when part of a broader access management service, are no exception, and...

Guide to Authentication Technologies - White Paper

A Comprehensive Guide to Authentication Technologies and Methods - White Paper

Authentication solutions need to be frictionless. Adopting methods with a higher Authentication Assurance Level and Stronger authentication, can effectively reduce the risk of attacks. Explore authentication technologies to learn: • Selecting authentication methods • Analysis...

CipherTrust Transparent Encryption - White Paper

CipherTrust Transparent Encryption - White Paper

Enterprise digital transformation and increasingly sophisticated IT security threats have resulted in a progressively more dangerous environment for enterprises with sensitive data, even as compliance and regulatory requirements for sensitive data protection rise. With attacks...

CipherTrust Transparent Encryption - Product Brief

CipherTrust Transparent Encryption - Product Brief

CipherTrust Transparent Encryption delivers data-at-rest encryption with centralized key management, privileged user access control, and detailed data access audit logging that helps organizations meet compliance and best practice requirements for protecting data, wherever it...

The Key Pillars for Protecting Sensitive Data in Any Organization - White Paper

The Key Pillars for Protecting Sensitive Data in Any Organization - White Paper

Traditionally organizations have focused IT security primarily on perimeter defense, building walls to block external threats from entering the network. However, with today’s proliferation of data, evolving global and regional privacy regulations, growth of cloud adoption, and...

The Enterprise Encryption Blueprint - White Paper

The Enterprise Encryption Blueprint - White Paper

You’ve been tasked with setting and implementing an enterprise wide encryption strategy, one that will be used to guide and align each Line of Business, Application Owner, Database Administrator and Developer toward achieving the goals and security requirements that you define...

eBook – Cifrado total, Una guía práctica para proteger sus datos sensibles

eBook – Cifrado total, Una guía práctica para proteger sus datos sensibles

Como experto en seguridad de datos a nivel de toda la empresa, se le pide proteger los valiosos datos de su organización estableciendo y aplicando una estrategia de cifrado que abarque toda la empresa. Pero es muy difícil identificar dónde residan los datos sensibles: hay...

Otras normativas clave de protección de datos y seguridad

RGPD

REGLAMENTO
ACTIVA AHORA

El RGPD es tal vez la norma de privacidad de datos más completa hasta la fecha. Afecta a cualquier organización que procese los datos personales de los ciudadanos de la UE, independientemente de la ubicación de la sede de la organización.

PCI DSS

MANDATO
ACTIVA AHORA

Cualquier organización que desempeñe un papel en el procesamiento de pagos con tarjetas de crédito y débito debe cumplir con los estrictos requisitos de cumplimiento de PCI DSS para el procesamiento, el almacenamiento y la transmisión de datos de cuentas.

Leyes de notificación de brechas de datos

REGLAMENTO
ACTIVA AHORA

Los países de todo el mundo han promulgado requisitos de notificación de brechas de datos tras la pérdida de información personal. Varían según la jurisdicción, pero casi siempre incluyen una cláusula de "safe harbour".