Controles Esenciales de Ciberseguridad de Arabia Saudita (ECC)

Controles Esenciales de Ciberseguridad

Los Controles Esenciales de Cibereguridad se crearon contemplando las necesidades de ciberseguridad de todas las organizaciones y de todos los sectores del Reino de Arabia Saudita. Hay requisitos mínimos de ciberseguridad que debe cumplir cada organización.

Los controles están diseñados para garantizar la confidencialidad, integridad, y disponibilidad de los activos de información y tecnología de una organización. A su vez, los controles giran en torno a cuatro pilares: personas, tecnología, procesos y estrategia.

Los Controles Esenciales de Ciberseguridad están organizados en cinco dominios principales:

• Gobernanza
• Defensa
• Resiliencia
• Terceros y computación en la nube, y
• Cibersecuridad de ICS

Entre los aspectos destacados y los desafíos de los Controles se encuentran:

• Los controles de ciberseguridad representan los estándares mínimos que deben cumplir "todas las organizaciones y sectores del Reino de Arabia Saudita".
• No todos los controles son aplicables a todas las organizaciones. La aplicabilidad de este marco depende de la naturaleza de las actividades empresariales que desempeña la organización. Por ejemplo, una organización que usa una solución alojada en la nube estaría sujeta al Subdominio 4.2, Ciberseguridad de la computación y el alojamiento en la nube. Por lo tanto, se aconseja a las organizaciones que realicen una evaluación si están sujetas a las disposiciones de los controles ECC.

Guía de Thales para los ECC de Arabia Saudita

El desarrollo de los ECC es un paso clave y vital para aumentar la adopción de medidas de ciberseguridad del Reino de Arabia Saudita. Las organizaciones sujetas a los Controles pueden aprovechar las soluciones de primer nivel de la industria y usar marcos existentes, como el Marco de Ciberseguridad del NIST, como guía.

Thales, una empres líder en soluciones y servicios de ciberseguridad, puede ayudar a las organizaciones de Arabia Saudita a comenzar a cumplir con los Controles Esenciales de Ciberseguridad.

Dominio de gobernanza de ciberseguridad

Thales ofrece una variedad de servicios profesionales de protección de datos diseñados para ayudarle a llevar eficazmente su inversión y garantizar una implementación exitosa. Los servicios de Thales incluyen:

• Talleres de buenas prácticas y concienciación para aprender acerca de las últimas tendencias y prácticas de seguridad, gestionar el riesgo de gobernanza y el cumplimiento, e implementar la protección de datos
• Estrategia y diseño para identificar las parte interesadas y asignar roles y responsabilidades
• Implementación y operaciones, como capacitación de producto en el lugar, instalación y personalización de los productos de Thales
• Evaluación para ayudar a su organización a prepararse para auditorías de seguridad venideras mientras se revisan el entorno y las necesidades empresarias actuales

Soluciones de seguridad de mejores prácticas

La mejor práctica asegurar la integridad y confidencialidad de la información confidencial ante posibles pérdidas, daños, destrucciones no autorizadas y acceso ilegítimo es una sólida administración de acceso y autenticación combinada con cifrado transparente, administración integrada de claves criptográficas e inteligencia de seguridad. Thales proporciona las siguientes soluciones para ayudar a las organizaciones a cumplir con los Controles Esenciales de Ciberseguridad de Arabia Saudita.

Descubrimiento y clasificación de datos

El primer paso en la protección de datos confidenciales es hallar los datos donde sea que se encuentren en la organización, clasificarlos como confidenciales y tipificarlos (por ej., datos de identificación personal o PII, por sus siglas en inglés; financieros; PI; IHH; confidencialidad del cliente, etc.), para poder aplicar las técnicas de protección de datos más adecuadas. También es importante monitorear y evaluar los datos regularmente para asegurarse de no omitir datos nuevos y de que su organización no caiga en incumplimiento.

CipherTrust Data Discovery and Classification de Thales identifica eficazmente los datos confidenciales estructurados y no estructurados en las instalaciones y en la nube. La solución es compatible con modelos de implementación sin agentes y con agentes, y proporciona plantillas integradas que permiten la rápida identificación de datos regulados, resaltan riesgos de seguridad y le ayudan a desvelar deficiencias de cumplimiento. Un flujo de trabajo optimizado expone puntos ciegos de seguridad y reduce el tiempo de corrección. Los informes detallados incluyen los programas de cumplimiento y facilitan la comunicación ejecutiva.

Protección de datos confidenciales en reposo

Separación de usuarios con privilegios y datos confidenciales de los usuarios.

Con CipherTrust Data Security Platform, los administradores pueden crear una separación fuerte de tareas entre administradores con privilegios y propietarios de datos. CipherTrust Transparent Encryption cifra archivos y deja sus metadatos sin cifrar al mismo tiempo. De esta forma, los administradores de TI, que incluyen hipervisor, administradores de red, nube y almacenamiento, pueden llevar a cabo tareas de administración de sistemas sin tener que obtener acceso privilegiado a los datos confidenciales que residen en los sistemas que administran.

Separación de tareas administrativas.

Se puede aplicar una separación robusta de políticas de tareas para garantizar que un administrador no tenga control completo de los datos sobre actividades de seguridad, claves de cifrado o administración. Además, CipherTrust Manager es compatible con la autenticación de dos factores para acceso administrativo.

Controles de acceso granular privilegiado

CipherTrust Data Security Platform puede aplicar políticas de gestión de acceso muy granulares para usuarios menos privilegiados que impidan el mal uso en la protección de datos de parte de usuarios con privilegios, así como ataques de APT. Las políticas de gestión de acceso de usuarios con privilegios se pueden aplicar por usuario, proceso, tipo de archivo, hora y otros parámetros. Las opciones de aplicación pueden controlar no solo el permiso para acceder a datos en formato de texto común; pero además, cuáles comandos del sistema están disponibles para un usuario.

Gestión de accesos y autenticación robustas

Las soluciones de autenticación y administración de acceso de Thales brindan los mecanismos de seguridad y las capacidades de generación de informes que necesitan las organizaciones para cumplir con las regulaciones en materia de seguridad de datos. Nuestras soluciones protegen los datos confidenciales mediante la aplicación de los controles de acceso adecuados, cuando los usuarios inician sesión en aplicaciones que almacenan datos confidenciales. Al admitir una amplia gama de métodos de autenticación y acceso basado en roles impulsado por políticas, nuestras soluciones ayudan a las empresas a mitigar el riesgo de filtraciones de datos debido a credenciales comprometidas o robadas, o mediante el abuso de credenciales internas.

La compatibilidad con el inicio de sesión único inteligente y la autenticación intensificada permiten a las organizaciones optimizar la comodidad para los usuarios finales, asegurando que solo tengan que autenticarse cuando sea necesario. Los informes extensos permiten a las empresas producir un registro de auditoría detallado de todos los eventos de acceso y autenticación, lo que garantiza que puedan demostrar el cumplimiento de una amplia gama de regulaciones.

Protección de datos confidenciales en movimiento

Los cifradores de alta velocidad (HSE) de Thales ofrecen cifrado de datos en movimiento independiente de la red (Capas 2, 3 y 4) garantizando que los datos estén protegidos conforme se trasladan de un centro a otro, o desde las instalaciones a la nube o viceversa. Nuestras soluciones de HSE les permiten a los clientes proteger mejor los datos, el video, la voz y los metadatos de la interceptación, la vigilancia y la intercepción abierta y encubierta, todo a un costo asequible y sin comprometer el rendimiento.