Controlli essenziali di sicurezza informatica (ECC) dell'Arabia Saudita

Controlli essenziali di sicurezza informatica

I controlli essenziali di sicurezza informatica sono stati creati pensando alle esigenze di sicurezza informatica di tutte le aziende e i settori dell'Arabia Saudita. Ci sono requisiti minimi di sicurezza informatica a cui le aziende devono necessariamente conformarsi.

I controlli sono progettati per assicurare la riservatezza, l'integrità e la disponibilità delle informazioni e dei beni tecnologici di un'azienda. I controlli gravitano attorno a quattro pilastri: persone, tecnologia, processi e strategia.

I controlli essenziali di sicurezza informatica si dividono in cinque ambiti principali:

• Governance
• Difesa
• Resilienza
• Elaborazione di dati da parte di terzi e del cloud, e
• Sicurezza informatica ICS.

Ecco alcuni punti e sfide salienti dei controlli:

• I controlli di sicurezza informatica rappresentano gli standard minimi a cui "tutte le aziende e i settori dell'Arabia Saudita" devono conformarsi.
• Non tutti i controlli sono applicabili a tutte le aziende. L'applicabilità di questo quadro dipende dalla natura delle attività commerciali svolte dall'azienda. Per esempio, un'azienda che utilizza una soluzione cloud-hosted sarebbe soggetta al sottodominio 4.2, Cloud Computing e Hosting Cybersecurity. Si consiglia quindi alle aziende di eseguire una valutazione nel caso siano soggette alle disposizioni dei controlli ECC.

Guida Thales sui controlli ECC dell'Arabia Saudita

Lo sviluppo degli ECC è un passo cruciale e vitale per aumentare la posizione di sicurezza informatica dell'Arabia Saudita. Le aziende soggette ai controlli possono trarre vantaggio dalle soluzioni di alto livello dell'industria e utilizzare quadri esistenti come il Framework per la Cybersecurity NIST come linee guida.

Thales, leader globale nelle soluzioni e nei servizi di sicurezza informatica, può aiutare le aziende dell'Arabia Saudita a conformarsi ai controlli essenziali di sicurezza informatica.

Settore della governance della sicurezza informatica

Thales offre una varietà di servizi professionali di protezione dei dati progettati per aiutarvi a intraprendere in maniera efficace il vostro investimento e metterlo in pratica con successo. Questi servizi includono:

• Best practice e workshop di sensibilizzazione per conoscere le ultime tendenze e pratiche di sicurezza, gestire il rischio relativo alla governance e alla conformità e implementare la protezione dei dati
• Strategia e design per identificare le parti interessate e assegnare ruoli e responsabilità
• Implementazione e operazioni come la formazione sui prodotti in loco, l'installazione e la personalizzazione dei prodotti Thales.
• Valutazione per aiutare la vostra azienda a prepararsi per i prossimi audit di sicurezza mentre esamina l'ambiente esistente e le esigenze aziendali.

Soluzioni best practice in materia di sicurezza

Gli strumenti migliori per proteggere l'integrità e la riservatezza dei dati sensibili da perdite, danni, distruzione non autorizzata e accessi non autorizzati sono: una solida gestione degli accessi e l'autenticazione combinata con la crittografia trasparente, la gestione integrata delle chiavi crittografiche e la Security Intelligence. Thales fornisce le seguenti soluzioni per aiutare le aziende a rispettare i controlli essenziali di sicurezza informati dell'Arabia Saudita.

Discovery e classificazione dei dati

Il primo passo nella protezione dei dati sensibili è trovare i dati ovunque si trovino nell’azienda, classificarli e registrarli come sensibili (ad es. informazioni di identificazione personale, finanziarie, proprietà intellettuale, HHI, riservate del cliente, ecc.) in modo da poter applicare le tecniche di protezione dei dati più appropriate. È anche importante monitorare e valutare regolarmente i dati per garantire che le nuove informazioni non vengano trascurate e che la vostra azienda continui a essere conforme alle normative.

CipherTrust Data Discovery and Classification di Thales individua efficacemente dati sensibili, strutturati e non, nel cloud e on-premise. Supportando modelli di deployment con o senza agenti, la soluzione fornisce modelli integrati che permettono un’identificazione rapida dei dati regolati, il rilevamento dei rischi per la sicurezza e l’individuazione di lacune relative alla conformità. Un flusso di lavoro efficiente rivela i punti ciechi relativi alla sicurezza e diminuisce i tempi di risanamento. Le relazioni dettagliate supportano i programmi di conformità e facilitano la comunicazione tra dirigenti.

Protezione dei dati sensibili a riposo

Separazione di utenti con accesso privilegiato e dati sensibili

Grazie alla CipherTrust Data Security Platform, gli amministratori possono garantire una separazione completa delle responsabilità tra gli amministratori privilegiati e i titolari dei dati. CipherTrust Transparent Encryption crittografa i file lasciando in chiaro i loro metadati. In questo modo gli amministratori IT (inclusi gli amministratori di hypervisor, cloud, archivi e server) possono eseguire le proprie attività di amministrazione del sistema senza ottenere l’accesso ai dati sensibili che si trovano nei sistemi che gestiscono.

Separazione delle responsabilità amministrative

È possibile implementare solidi criteri di separazione delle responsabilità per garantire che un unico amministratore non detenga il controllo completo su attività di sicurezza dei dati, chiavi di crittografia o amministrazione. Inoltre, CipherTrust Manager supporta l’autenticazione a due fattori per l'accesso amministrativo.

Controlli granulari degli accessi privilegiati

La CipherTrust Data Security Platform può implementare criteri di gestione degli accessi molto granulari secondo il principio del privilegio minimo, garantendo la protezione dei dati da utilizzi impropri da parte di utenti privilegiati e minacce persistenti avanzate. I criteri granulari di gestione degli accessi ai dati da parte degli utenti privilegiati possono essere implementati in base a utente, processo, tipo di file, ora del giorno e altri parametri. Le opzioni di implementazione possono controllare non solo il permesso di accesso a dati con testo in chiaro, ma anche i comandi a livello di file system disponibili all'utente.

Autenticazione e gestione degli accessi avanzate

Le soluzioni di Thales di autenticazione e gestione degli accessi garantiscono i meccanismi di sicurezza e le funzionalità di reportistica di cui le aziende hanno bisogno per rispettare i requisiti relativi alla messa in sicurezza dei dati. Le nostre soluzioni proteggono i dati sensibili applicando adeguati controlli degli accessi quando gli utenti accedono ad applicazioni contenenti informazioni riservate. Supportando un'ampia gamma di metodi di autenticazione e criteri di accesso basati sui ruoli, le nostre soluzioni aiutano le aziende a limitare i rischi di violazione dei dati causati dalla compromissione o sottrazione delle credenziali o da utilizzi impropri da parte di insider.

Il supporto per l'autenticazione Smart Single Sign-On e Step-Up permette alle aziende di ottimizzare la comodità per gli utenti finali, che devono autenticarsi soltanto quando ce n’è bisogno. I report approfonditi permettono alle aziende di produrre un audit trail dettagliato di tutti gli eventi di accesso e autenticazione, garantendo un rispetto comprovato degli obblighi previsti da un'ampia gamma di regolamenti.

Protezione dei dati sensibili in movimento

Gli HSE (High Speed Encryptor) di Thales offrono una crittografia di rete indipendente dei dati in movimento (livelli 2, 3 e 4) garantendo la sicurezza dei dati durante gli spostamenti tra siti oppure da ambienti on-premise al cloud e viceversa. Le nostre soluzioni HSE consentono ai clienti di proteggere meglio dati, video, file vocali e metadati da spionaggio, sorveglianza e intercettazione esplicita o sotto copertura, il tutto a un costo accessibile e senza compromettere le prestazioni.