ISO 27799:2016

Resumen de la normativa

Entre las mejores prácticas solicitadas por el ISO 27799 se encuentran:

• Controles de acceso a datos que incluye la gestión de acceso privilegiado.
• Control criptográfico de datos confidenciales.
• Administración y protección de las claves de cifrado.
• Registrar y archivar "todos los eventos importantes relacionados con el uso y la gestión de las identidades de los usuarios, así como la información secreta de autenticación" y proteger esos registros de "alteraciones y accesos no autorizados".

Resumen del cumplimiento

Thales puede ayudarle a cumplir con los estándares de ISO 27799:2016 a través de:

• Descubrimiento y clasificación de datos confidenciales.
• Control de acceso para garantizar que solamente usuarios con credenciales puedan recuperar datos.
• Cifrar o tokenizar datos para que, en caso de que sean robados, no tengan sentido y, por lo tanto, sean inútiles para los ciberdelincuentes.
• Administrar de forma centralizada y almacenar de forma segura las claves de cifrado de toda su organización.
• Registros de inteligencia de seguridad protegidos para identificar patrones de acceso no autorizado y brechas en progreso.

Descubrimiento y clasificación de datos.

El primer paso en la protección de datos confidenciales consiste en hallar los datos donde sea que se encuentren en la organización, clasificarlos como confidenciales y tipificarlos (por ej., datos de identificación personal o PII, por sus siglas en inglés; financieros; PI; IHH; confidencialidad del cliente, etc.), para poder aplicar las técnicas de protección de datos más adecuadas. También es importante monitorear y evaluar los datos de forma regular para asegurarse de no omitir datos nuevos y de que su organización no caiga en el incumplimiento.

CipherTrust Data Discovery and Classification de Thales identifica eficazmente los datos confidenciales estructurados y no estructurados en las instalaciones y en la nube. La solución es compatible con modelos de implementación sin agentes y con agentes, y proporciona plantillas integradas que permiten la rápida identificación de datos regulados, resaltan riesgos de seguridad y le ayudan a desvelar deficiencias de cumplimiento. Un flujo de trabajo optimizado expone puntos ciegos de seguridad y reduce el tiempo de corrección. Los informes detallados incluyen los programas de cumplimiento y facilitan la comunicación ejecutiva.

Gestión de accesos y autenticación robustas

Las soluciones de autenticación y administración de acceso de Thales brindan los mecanismos de seguridad y las capacidades de generación de informes que necesitan las organizaciones para cumplir con las regulaciones en materia de seguridad de datos. Nuestras soluciones protegen los datos confidenciales mediante la aplicación de los controles de acceso adecuados cuando los usuarios inician sesión en aplicaciones que almacenan datos confidenciales. Al admitir una amplia gama de métodos de autenticación y acceso basado en roles impulsado por políticas, nuestras soluciones ayudan a las empresas a mitigar el riesgo de brechas de datos debido a credenciales comprometidas o robadas, o mediante el abuso de credenciales internas.

La compatibilidad con el inicio de sesión único inteligente y la autenticación intensificada permiten a las organizaciones optimizar la comodidad para los usuarios finales, garantizando que solo tengan necesidad de autenticarse cuando sea necesario. Los informes extensos permiten a las empresas producir un registro de auditoría detallado de todos los eventos de acceso y autenticación, de modo que puedan demostrar el cumplimiento de una amplia gama de regulaciones.

Protección de datos confidenciales en reposo

La plataforma de seguridad de datos CipherTrust Data Security Platform es un conjunto integrado de productos y soluciones de seguridad centrados en los datos que unifican el descubrimiento, la protección, el control y la vigilacia en el acceso a los datos en una misma plataforma.

• Descubra: una organización debe ser capaz de descubrir datos dondequiera que residan y clasificarlos. Estos datos pueden tener muchas formas: archivos, bases de datos y macrodatos, y pueden permanecer almacenados en las instalaciones, en las nubes y en las copias de seguridad. La seguridad y el cumplimiento de los datos comienzan con la búsqueda de datos confidenciales expuestos ante los piratas informáticos y los auditores. CipherTrust Data Security Platform les permite a las organizaciones obtener una visibilidad completa de los datos confidenciales en las instalaciones y en la nube con el descubrimiento, la clasificación y el análisis de riesgos de datos eficientes.
• Proteger: una vez que una organización sabe dónde se encuentran sus datos confidenciales, se pueden aplicar medidas de protección como el cifrado o la tokenización. Para que el cifrado y la tokenización aseguren con éxito los datos confidenciales, la organización debe asegurar, administrar y controlar las propias claves criptográficas. CipherTrust Platform proporciona capacidades integrales de seguridad de datos que incluyen cifrado a nivel de archivo con controles de acceso, cifrado de capas de aplicación, cifrado de base de datos, enmascaramiento de datos estáticos, tokenización sin bóveda con enmascaramiento dinámico de datos basado en políticas y tokenización con bóveda, para ser compatible una amplia gama de usos de protección de datos.
• Control: finalmente, la organización necesita controlar el acceso a sus datos y centralizar la administración de claves. Cada regulación y mandato de seguridad de datos requiere que las organizaciones puedan monitorear, detectar, controlar e informar sobre el acceso autorizado y no autorizado a datos y claves de cifrado. CipherTrust Data Security Platform ofrece una sólida administración de claves empresariales a través de múltiples proveedores de servicios en la nube (CSP) y entornos de nube híbrida para administrar de manera centralizada las claves de cifrado y configurar políticas de seguridad para que las organizaciones puedan controlar y proteger los datos confidenciales en la nube, en las instalaciones y en entornos híbridos.
• Supervisar: Por último, la empresa necesita supervisar el acceso a los datos confidenciales para identificar los ataques en curso o recientes de personas internas malintencionadas, usuarios con acceso a información privilegiada, APT y otras ciberamenazas. Con CipherTrust Security Intelligence los registros y los informes optimizan los informes de cumplimiento y aceleran la detección de amenazas mediante los principales sistemas de Gestión de eventos e información de seguridad (SIEM). La solución permite una escalación automatizada inmediata, así como respuesta a intentos de acceso no autorizados y proporcionan todos los datos necesarios para desarrollar patrones de comportamiento necesarios para identificar el uso sospechoso por usuarios autorizados.

Protección de datos confidenciales en movimiento

Los cifradores de alta velocidad (HSE) de Thales ofrecen cifrado de datos en movimiento independiente de la red (capas 2, 3 y 4), lo que garantiza que los datos estén protegidos conforme se trasladan de un centro a otro, o desde las instalaciones a la nube y viceversa. Nuestras soluciones de HSE les permiten a los clientes proteger mejor los datos, el video, la voz y los metadatos de la interceptación, la vigilancia y la intercepción abierta y encubierta, todo a un costo asequible y sin comprometer el rendimiento.

Protección de claves criptográficas

LosHSMs Luna de Thales ofrecen un entorno fortalecido y resistente a manipulaciones indebidas para un procesamiento criptográfico seguro, generación y protección de claves, cifrado y más. Disponible en tres factores de forma con certificación FIPS 140-2, los HSM Luna son compatibles con variedad de escenarios de implementación.

Adicionalmente, los HSM Luna:

• Generan y protegen las claves de autoridad de raíz y certificación (AC), prestando apoyo para las PKI en una variedad de casos de uso.
• Firman su código de solicitud de manera que pueda asegurarse de que sus programas se mantengan seguros, sin alteraciones y auténticos.
• Elaboran certificados digitales para otorgar credenciales y autenticar dispositivos electrónicos patentados para aplicaciones de IoT y otras implementaciones de la red.