Abordar a Gestão do Risco da Nuvem e dos Dados em Tecnologias (RMiT) do BNM na Malásia

Resumo da norma

A política de Gestão de Riscos em Tecnologias (RMiT) do Bank Negara Malaysia (BNM) pretendia formalizar os programas de gestão de riscos utilizados na adoção da nuvem e de outras inovações tecnológicas nas instituições financeiras (FI) da Malásia.

Em 1 de junho de 2023, o BNM emitiu um novo documento de orientação (DO) atualizado sobre a gestão de riscos no domínio da tecnologia. Todas as instituições financeiras devem implementar controlos sólidos de gestão do risco, acima das normas regulamentares mínimas, para prestar serviços financeiros eficientes de forma segura e impedir a exploração de elos fracos em redes e sistemas interligados com uma ciberfortificação sólida, a fim de preservar a confiança do público no sistema financeiro.

As principais atualizações do documento de orientação da RMiT incluem:

• Orientações adicionais para reforçar as capacidades de gestão de riscos da nuvem das instituições financeiras
• Uma mudança para uma abordagem baseada no risco no processo de consulta e notificação da computação em nuvem, com as correspondentes atualizações na avaliação do risco e no requisito de apresentação. A utilização do controlo de segurança da autenticação multifator (MFA) é indicada como um requisito padrão.
• O documento de perguntas frequentes foi revisto para ajudar na implementação dos requisitos revistos da política.

O documento de orientação da RMiT do BNM entrou em vigor em 1 de janeiro de 2020. O documento de orientação atualizado é publicado e entra em vigor em 1 de junho de 2023 e substitui o anterior documento de orientação de 1 de janeiro de 2020, à exceção dos parágrafos 10.49, 10.50, 10.51 e 10.52, que continuarão a ser aplicáveis até 31 de maio de 2024.

Enquanto líder em segurança e identidade digital, a Thales pode ajudar as organizações a abordar e cumprir os respetivos requisitos da política RMiT do BNM com as nossas integrações com fornecedores de serviços cloud, como Microsoft Azure, Amazon Web Services (AWS); Google Cloud Platform (GCP) e muito mais.

As nossas soluções suportam as categorias de políticas RMiT nos seguintes domínios:

Desenvolvimento e aquisição de sistemas:

• O CipherTrust Tokenization anonimiza informações confidenciais em dados de teste para que prestadores com menos privilégios ou terceiros possam tratá-los sem o risco de perda de dados.
• Para proteger dados estruturados e não estruturados, tais como códigos fonte, o CipherTrust Transparent Encryption pode encriptar todo o código fonte para o proteger de acessos não autorizados.

Criptografia:

• A CipherTrust Data Security Platform oferece a utilização de algoritmos baseados na norma da indústria, hashing e assinatura com RNG numa plataforma centralizada e segura.
• O Ciphertrust Manager (CM) na CipherTrust Data Security Platform fornece toda a gestão do ciclo de vida das chaves, bem como o CipherTrust Cloud Key Management – a solução centralizada de gestão de chaves multi-nuvem. O CM oferece rotação de chaves que pode ser útil em caso de recuperação quando as chaves criptográficas são comprometidas. Além disso, oferece funcionalidades robustas de separação de funções. Isto pode ser ainda mais aprofundado com os Domínios de Gestão de Segurança que combinam esta administração baseada em funções com a capacidade de compartimentar a gestão de políticas, chaves de encriptação de dados, configurações de agentes e registos de auditoria para um determinado grupo empresarial.
• O CipherTrust Transparent Encryption permite a rotação automática de chaves sem tempo de inatividade da aplicação, permitindo aos clientes migrar facilmente para normas criptográficas mais recentes, se e quando necessário.
• A Thales é o fornecedor líder de Módulos de Segurança de Hardware (HSM) a nível mundial e entre os bancos na Malásia. Os HSM da Thales são certificados de acordo com normas de segurança internacionais, como FIPS-140-2 nível 3, Common Criteria, EIDAS e PCI-PTS.

Operações de centros de dados:

• Os dados sensíveis em suportes amovíveis podem ser protegidos com a CipherTrust Data Security Platform que garante que os dados são encriptados antes de serem armazenados e transportados. O CipherTrust Key Management integra-se com os principais fornecedores de soluções de cópias de segurança para gerir as chaves de encriptação da cópia de segurança e para separar os dados das chaves. Também protege os dados antes de serem copiados e armazenados no suporte amovível.

Serviços na nuvem:

• Com a tecnologia Hold-Your-Own-Key (HYOK) do CipherTrust Cloud Key Management, os clientes do fornecedor de serviços cloud mantêm o controlo total e a propriedade dos seus dados, controlando o acesso às chaves de encriptação, negando o risco de os dados serem divulgados a potências estrangeiras.
• A CipherTrust Data Security Platform ajuda as instituições financeiras (IF) a encriptar os seus dados armazenados em servidores de computação em nuvem para proteger contra a divulgação e o acesso não autorizados, até mesmo do fornecedor de serviços cloud, utilizando a tecnologia Hold-Your-Own-Key (HYOK).

Controlo do acesso:

• O CipherTrust Transparent Encryption (CTE) permite a separação de funções entre o administrador de segurança e o administrador de sistema dentro dos servidores, garantindo que os administradores de sistema ou contas com privilégios não têm acesso a chaves de encriptação confidenciais, enquanto os administradores de segurança não têm acesso aos dados. Regista todas as atividades de ficheiros dos utilizadores do SO para serem encaminhadas para um syslog ou SIEM.

Principais riscos e medidas de controlo para serviços cloud: CipherTrust Data Security Platform, soluções CipherTrust Tokenization, CipherTrust Transparent Encryption, CipherTrust Key Management, CipherTrust Cloud Key Management e HSM.

• A CipherTrust Data Security Platform (CDSP) tem vários módulos e abordagens para ajudar os clientes a proteger os seus dados armazenados na nuvem, tais como Bring-Your-Own-Encryption (BYOE), Hold-Your-Own-Key (HYOK), Bring-Your-Own-Key (BYOK) e também uma função centralizada de gestão de chaves multi-nuvem para fornecer uma solução de proteção de dados completa e abrangente para cobrir todos os tipos de dados e casos de utilização na nuvem. Permite a migração de dados encriptados entre diferentes nuvens, eliminando qualquer dependência de formatos específicos utilizados por diferentes fornecedores de cloud; os clientes não ficam presos a uma única nuvem. A CDSP oferece uma garantia total de destruição de dados à saída de uma nuvem através da utilização de trituração digital e fornece várias opções e métodos de encriptação para os dados armazenados na nuvem.
• Com o CipherTrust Transparent Encryption (CTE) e o CipherTrust Tokenization, as IF podem encriptar os dados antes de estes serem movidos para a nuvem, ou seja, anonimização de dados antes de entrarem em repositórios (data lakes) na nuvem. O CTE não só fornece encriptação, como também impõe um controlo de acesso granular (separado do controlo de acesso ao SO) para utilizadores com privilégios, a fim de evitar utilizações indevidas ou abusivas.
• Os HSM Luna da Thales oferecem proteção de hardware inviolável, o que é fundamental para as soluções de assinatura digital.
• O CipherTrust Key Management (CCKM) integra-se com a VMware para permitir a encriptação de imagens de MV e a encriptação VSAN, enquanto o CipherTrust Transparent Encryption permite que os dados dentro de MV e repositórios sejam protegidos através de encriptação e controlo de acesso de forma transparente, sem quaisquer alterações à aplicação. O CCKM permite o Hold-Your-Own-Key (HYOK) para ambientes de nuvem e multi-nuvem onde os clientes mantêm a propriedade da sua chave de encriptação e fornece uma abordagem abrangente e centralizada à gestão de chaves multi-nuvem, permitindo a geração, armazenamento e distribuição de chaves multi-nuvem de forma segura. Isto reduz a complexidade e os elevados custos administrativos atribuídos à utilização de várias nuvens.