As Diretrizes de Gestão do Risco de Tecnologia da Informação (แนวปฏิบัติในการบริหารความเสี่ยงด้านเทคโนโลยี สารสนเทศ) do Banco da Tailândia (BOT) foram atualizadas em novembro de 2023 para abordar a evolução das ameaças à cibersegurança, os riscos da transformação digital e os requisitos de conformidade regulamentar para as instituições financeiras na Tailândia. As diretrizes revistas incluem a manutenção de sistemas que suportam canais de mobile banking, o envio de autoavaliações de risco de TI ao BOT no prazo de 30 dias e a apresentação de diretrizes para a implementação da gestão de riscos de TI e da gestão de riscos de terceiros.
Visão geral das Diretrizes de Gestão do Risco de TI do BOT
- O objetivo principal é garantir que as instituições financeiras sob a sua supervisão conseguem identificar, avaliar, mitigar e monitorizar eficazmente os riscos relacionados com TI num cenário digital em rápida evolução.
- As diretrizes revistas em 2023 visam reforçar a resiliência da cibersegurança para combater as crescentes ameaças cibernéticas que visam as instituições financeiras, bem como a dependência acrescida de serviços na nuvem e de fornecedores terceiros.
Os bancos, as instituições financeiras não bancárias e os fornecedores de serviços de pagamento são supervisionados pelo BOT (Banco da Tailândia).
Resumo de Conformidade
Conformidade com as Diretrizes de Gestão de Risco de TI do Banco da Tailândia (BOT)
Descubra como as instituições financeiras cumprem as Diretrizes de Gestão do Risco de Tecnologia da Informação através das nossas soluções abrangentes e saiba mais sobre os requisitos.
Como a Thales ajuda no cumprimento das Diretrizes de Gestão do Risco de TI do Banco da Tailândia (BOT)
As soluções de cibersegurança da Thales ajudam as instituições financeiras a cumprir 8 requisitos do Capítulo 2 – Segurança da Tecnologia da Informação, simplificando a conformidade e automatizando a segurança com visibilidade e controlo, reduzindo a carga sobre as equipas de segurança e conformidade.
Soluções de conformidade para o BOT
Segurança de aplicações
Proteja aplicações e APIs em escala na nuvem, on-premises ou em um modelo híbrido. O nosso conjunto de produtos líder de mercado inclui Firewall de Aplicações Web (WAF, Web Application Firewall), proteção contra ataques de Negação de Serviço Distribuída (DDoS, Distributed Denial of Service) e ataques de bots maliciosos.
Segurança dos dados
Descubra e classifique dados confidenciais em toda a TI híbrida e proteja-os automaticamente em qualquer lugar, seja em repouso, em movimento ou em uso, usando tokenização de criptografia e gestão de chaves. As soluções da Thales também identificam, avaliam e priorizam riscos potenciais para uma avaliação de risco precisa, bem como identificam comportamentos anômalos e monitoram a atividade para verificar a conformidade, permitindo que as organizações priorizem onde gastar seus esforços.
Gestão de identidade e acesso
Forneça acesso contínuo, seguro e fiável a aplicações e serviços digitais para clientes, colaboradores e parceiros. As nossas soluções limitam o acesso de utilizadores internos e externos com base nas suas funções e contexto, com políticas de acesso granulares e autenticação multi-fator que ajudam a garantir que o utilizador certo tem acesso ao recurso certo no momento certo.
Abordar as Diretrizes de Gestão de Risco de TI do BOT
Como é que a Thales ajuda:
- Classifique e atribua níveis de sensibilidade específicos aos dados ao definir os seus repositórios de dados e os seus perfis de classificação para diferentes tipos de conjuntos de dados.
- Identifique o estado atual de conformidade e documente as lacunas.
- Descubra e classifique o risco potencial para todas as APIs públicas, privadas e obscuras.
Soluções:
Segurança de aplicações
Segurança dos dados
Como é que a Thales ajuda:
- Detete e evite ciberameaças com a firewall de aplicações Web, garantindo operações sem falhas e paz de espírito.
- Proteja os activos de rede críticos contra ataques DDoS e Bad Bots, continuando a permitir o tráfego legítimo.
- Forneça proteção unificada, com deteção e resposta integradas para API obsoletas, não autenticadas e vulneráveis a BOLA e muitas outras ameaças do Top Ten API OWASP, travando o abuso da lógica de negócio e as ameaças a API em tempo real.
- Forneça proteção contínua a todas as API utilizando deteção e classificação aprofundadas para detetar todas as API públicas, privadas e shadow.
- Encripte dados em repouso (data-at-rest) em ambientes on-premises, em múltiplas clouds, e em ambientes de big data ou contentores.
- Pseudonimize informações sensíveis em bases de dados.
- Proteja a raiz de confiança de um sistema criptográfico num ambiente altamente seguro.
- Proteja os dados em movimento com encriptação de alta velocidade.
- Proteja os dados em utilização tirando partido da computação confidencial.
- Obtenha visibilidade total da atividade dos dados sensíveis, acompanhe quem tem acesso, audite o que estão a fazer e documente.
Soluções:
Segurança de aplicações
Segurança dos dados
Monitorização da atividade de dados
Descoberta e classificação de dados
Monitorização de atividades de ficheiros
Encriptação de alta velocidade
Como é que a Thales ajuda:
- Garanta a eliminação segura removendo as chaves do CipherTrust Manager, fragmentando digitalmente todas as instâncias dos dados.
Como é que a Thales ajuda:
- Centralize as tarefas de gestão do ciclo de vida das chaves, incluindo a geração, rotação, destruição, importação e exportação.
- Proteja chaves criptográficas num ambiente FIPS 140-2 de nível 3.
- Suporta algoritmos de criptografia como Norma de Encriptação Avançada (AES, Advanced Encryption Standard) de 256 bits, RSA de 3072 bits e foi concebido para uma atualização pós-quântica para manter a agilidade criptográfica.
- Implemente a encriptação transparente para protocolos de encriptação fortes e baseados em normas.
- Efetue a gestão e proteja todos os segredos e credenciais sensíveis.
Como é que a Thales ajuda:
- Utilize protocolos de encriptação fortes e baseados em normas, como a Norma de Encriptação Avançada (AES, Advanced Encryption Standard) para encriptação de dados e a Criptografia de Curva Elíptica (ECC, Elliptic Curve Cryptography) para troca de chaves.
- Proteja as chaves criptográficas em hardware validado por FIPS e à prova de adulteração.
Como é que a Thales ajuda:
- Centralize as tarefas de gestão do ciclo de vida das chaves, incluindo a geração, rotação, destruição, importação e exportação.
- Efetue a gestão de chaves de encriptação, forneça controlo de acesso granular e configure políticas de segurança.
- Garanta a eliminação segura removendo as chaves do CipherTrust Manager, fragmentando digitalmente todas as instâncias dos dados.
- Suporta algoritmos de criptografia como a Norma de Encriptação Avançada (AES, Advanced Encryption Standard) de 256 bits e RSA de 3072 bits.
- Ofereça protocolos de troca de chaves seguros, como TLS/SSL (Autenticação Mútua), PKCS#11, KMIP, API REST (sobre TLS), Elliptic Curve Diffie-Hellman (ECDH), Key Wrapping (AES-KW, RSA-KW).
- Garanta o controlo rigoroso do HSM com autenticação multifatorial forte.
- Proteja chaves criptográficas num ambiente de Nível 3 da FIPS 140-3.
- Faça cópias de segurança e duplique facilmente chaves criptográficas sensíveis de forma segura para o HSM de cópia de segurança com certificação FIPS 140-3 de Nível 3.
- Efetue a gestão e proteja todos os segredos e credenciais sensíveis.
Como é que a Thales ajuda:
- Implemente a Autenticação Multifatorial (MFA, Multi-Factor Authentication) para garantir que apenas pessoas autorizadas acedem ao sistema.
- Implemente o Início de Sessão Único (SSO, Single Sign-On) para permitir que os utilizadores acedam a vários sistemas de forma segura com uma única autenticação.
- Defina políticas de controlo de acesso com base nas funções, responsabilidades e riscos do utilizador (Controlo de Acesso Adaptativo).
- Ofereça acesso de auditoria ao sistema e armazene dados de utilização (Registos de Acesso) para suportar a auditoria retrospetiva.
- Revoque os direitos de acesso automaticamente quando já não forem necessários (Gestão Delegada de Utilizadores e Desprovisionamento Automatizado).
Como é que a Thales ajuda:
- Ofereça autenticação multifatorial (MFA, Multi-Factor Authentication) para impedir o acesso não autorizado à rede.
- Crie políticas de controlo de acesso à rede com base nas funções do utilizador e nos riscos.
- Monitorize e analise o comportamento de utilização da rede para alertar caso sejam encontrados riscos.
- Gira as permissões de utilizadores externos que precisam de aceder à rede para fins de segurança.
Como é que a Thales ajuda:
- Monitorize a atividade da API, acompanhe a utilização, detete anomalias e identifique potenciais tentativas de acesso não autorizado.
- Ative a monitorização contínua para captar e analisar toda a atividade do armazenamento de dados, fornecendo trilhos de auditoria detalhados que mostram quem acede a que dados, quando e o que foi feito com os dados.
- Implemente a gestão de direitos de utilizador com base no tipo de dados e na função do utilizador e produza relatórios para trilhos de auditoria.
- Capte automaticamente a atividade de dados detalhada para fins de auditoria.
- Registe todas as alterações de permissões, juntamente com a identidade do autor e os detalhes da sessão.
Soluções:
Segurança de aplicações
Segurança dos dados
Monitorização da atividade de dados
Monitorização de atividades de ficheiros
Gestão de identidade e acesso
Como é que a Thales ajuda:
- Ajuste as permissões de acesso com base no comportamento do utilizador em tempo real ou quase real e em fatores contextuais.
- Centralize as políticas de acesso e a sua aplicação em múltiplos ambientes híbridos num único painel de controlo.
- Forneça registos de acesso e de atividade de utilizadores privilegiados (por exemplo, administrador de sistema) para revisão posterior.
- Analise o comportamento de utilizadores privilegiados e os registos de auditoria para encontrar anomalias, como o início de sessão de administradores fora do horário de trabalho ou modificações anormais de privilégios.
- Crie fluxos de trabalho para solicitar privilégios e registar aprovações para suportar a revisão.
Como é que a Thales ajuda:
- Monitorize a atividade da API, acompanhe a utilização, detete anomalias e identifique potenciais tentativas de acesso não autorizado.
- Proteja os activos de rede críticos contra ataques DDoS e Bad Bots, continuando a permitir o tráfego legítimo.
- Alerte ou bloqueie ataques a bases de dados e pedidos de acesso anormais em tempo real.
- Monitorize a atividade dos ficheiros ao longo do tempo para configurar alertas sobre atividades que possam colocar as instituições financeiras em risco.
- Monitorize continuamente os processos para detetar atividade de E/S anómala e alertar ou bloquear atividade maliciosa.
- Monitorize processos ativos para detetar ransomware – identificando atividades como acesso excessivo a dados, exfiltração, encriptação não autorizada ou representação maliciosa de um utilizador, e alerta/bloqueia quando tal atividade é detetada.
- Aplique medidas de segurança contextuais com base na classificação dos riscos.
- Centralize as políticas de acesso e a sua aplicação em múltiplos ambientes híbridos num único painel de controlo.
- Crie e implemente políticas de autenticação adaptáveis com base na sensibilidade dos dados/aplicação.
- Monitorize o comportamento do utilizador, como o início de sessão de um administrador a partir de uma nova localização/IP ou um padrão de acesso incorreto ao sistema, para alertar e impedir ataques.
- Utilize a Análise de Comportamento do Utilizador (UBA, User Behavior Analytics) e o contexto, como hora/dispositivo/rede, para adicionar autenticação ou bloquear o acesso.
- Crie um fluxo de trabalho para alertar, aprovar e verificar a gestão de incidentes das partes relacionadas.
Soluções:
Segurança de aplicações
Segurança dos dados
Monitorização da atividade de dados
Monitorização de atividades de ficheiros
Gestão de identidade e acesso
Como é que a Thales ajuda:
- Ofereça funcionalidades avançadas de verificação de API para fortalecer as suas defesas contra potenciais vulnerabilidades.
- Execute testes de avaliação em repositórios de dados como o MySQL, por exemplo, para procurar vulnerabilidades conhecidas.
- Analise as suas bases de dados com mais de 1500 testes de vulnerabilidade predefinidos, baseados nos referenciais CIS e PCI-DSS, para ajudar a manter as suas bases de dados protegidas contra as ameaças mais recentes.
Como é que a Thales ajuda:
- Faça a gestão do acesso ao sistema a partir de dispositivos empresariais e pessoais (BYOD) com Verificação de Identidade e Autenticação Multifatorial (MFA, Multi-Factor Authentication).
- Imponha políticas de acesso contextuais e controle os direitos de acesso a sistemas e dados com base nos riscos do dispositivo e da função do utilizador, como negar o acesso de dispositivos não registados ou de alto risco.
- Crie fluxos de trabalho para registar, renovar e terminar o BYOD.
- Verifique as identidades dos dispositivos com certificados digitais ou autoridades fidedignas antes de permitir as ligações.
- Detete dispositivos não autorizados, como dispositivos com acesso root/jailbreak, e bloqueie o acesso imediatamente.
Soluções:
Gestão de identidade e acesso
Como é que a Thales ajuda:
- Pseudonimize informações sensíveis em bases de dados para evitar a exposição de dados reais para testes.
Como é que a Thales ajuda:
- Efetue a gestão da identidade de fornecedores de serviços externos, verificando e confirmando as suas identidades antes de conceder acesso a sistemas ou dados sensíveis.
- Imponha políticas de acesso baseadas na função e no risco do fornecedor para limitar o acesso apenas ao âmbito de trabalho necessário.
- Efetue a gestão dos direitos de acesso e atribua direitos de gestão a administradores ou supervisores.
- Crie fluxos de trabalho para registar, verificar e revogar os direitos de fornecedores de serviços externos de acordo com o ciclo contratual.
- Rastreie e armazene registos das atividades de acesso de fornecedores de serviços externos para apoiar a auditoria retrospetiva.
Recursos relacionados
Outros regulamentos importantes em matéria de segurança e proteção de dados
PCI HSM
MANDATO | EM VIGOR
A especificação PCI HSM define um conjunto de normas de conformidade lógica e física de segurança para HSMs especificamente para o setor de pagamentos. A certificação de conformidade com o PCI HSM depende do cumprimento dessas normas.
DORA
REGULAMENTO | EM VIGOR
O DORA visa reforçar a segurança informática das entidades financeiras para garantir que o sector financeiro na Europa seja resiliente face ao crescente volume e gravidade dos ciberataques.
Leis de notificação de violação de dados
REGULAMENTO | EM VIGOR
Os requisitos de notificação de violação de dados na sequência da perda de informações pessoais foram adoptados por países de todo o mundo. Estes variam consoante à jurisdição, mas quase sempre incluem uma cláusula de "porto seguro".
GLBA
REGULAMENTO | EM VIGOR
A Lei Gramm-Leach-Bliley (GLBA) — também conhecida como a Lei de Modernização dos Serviços Financeiros de 1999 — exige que as instituições financeiras expliquem aos seus clientes as suas práticas de partilha de informações e salvaguardem dados confidenciais.