A Agência de Cibersegurança de Singapura (CSA) publicou os Códigos de Práticas ou Normas de Desempenho emitidos pelo Comissário da Cibersegurança para a regulamentação dos proprietários de infraestruturas críticas da informação (CII), em conformidade com a Lei da Cibersegurança. O Código de Práticas de Cibersegurança para Infraestruturas de Informação Críticas – Segunda Edição (CCoP2.0) entra em vigor a 4 de julho de 2022, substituindo as versões anteriores do Código.
Visão geral do Código de Práticas de Cibersegurança para Infraestruturas Críticas da Informação (CCoP) Objetivo do CCoP2.0
O CCoP2.0 destina-se a especificar os requisitos mínimos que o proprietário da infraestrutura crítica de informação (CIIO) deve implementar para garantir a cibersegurança da CII. Espera-se que o CIIO implemente medidas para além das estipuladas neste Código para reforçar ainda mais a cibersegurança da CII, com base no perfil de risco de cibersegurança da CII.
- Reforce as defesas de cibersegurança das Infraestruturas Críticas de Informação (CII) contra ciberataques avançados e sofisticados.
- Forneça uma estrutura para que as Infraestruturas Críticas da Informação (CII) possam lidar com os novos desafios apresentados por tecnologias como a computação em nuvem, a Inteligência Artificial (IA) e o 5G.
- Aumente a capacidade da CII para responder a riscos e incidentes de cibersegurança em rápida evolução.
- Promova uma melhor colaboração e partilha de informações entre o governo e o setor privado para identificar e responder rapidamente às ciberameaças.
- Melhore a resiliência geral da Infraestrutura Crítica de Informação (CII) de Singapura contra eventos cibernéticos disruptivos.
A Lei da Cibersegurança fornece uma estrutura para a designação de Infraestruturas Críticas da Informação (CII), e os Proprietários de CII nos 11 setores críticos são obrigados a cumprir as práticas obrigatórias de higiene cibernética no âmbito do CCoP2.0 para garantir uma base sólida de cibersegurança para os setores de CII.
- 11 setores críticos: energia, infocomunicações, água, saúde, banca e finanças, segurança e serviços de emergência, aviação, transportes terrestres, marítimo, governo e meios de comunicação.
- Foi introduzido um conjunto de práticas obrigatórias de cibersegurança específicas para a Tecnologia Operacional (TO) como uma adenda ao CCoP2.0, com o objetivo de elevar o estado da cibersegurança para as CII de TO.
Resumo de Conformidade
Em conformidade com o Código de Práticas de Cibersegurança para Infraestruturas Críticas da Informação (CCoP2.0) em Singapura
Descubra como a CII cumpre o CCoP2.0 através das nossas soluções abrangentes de cibersegurança e saiba mais sobre os requisitos.
Como a Thales ajuda com o CCoP2.0 em Singapura
As soluções da Thales podem ajudar os proprietários de Infraestruturas Críticas da Informação (CII) a cumprir os requisitos do CCoP2.0, focando-se nas Cláusulas de Proteção e Deteção, simplificando a conformidade e automatizando a segurança com visibilidade e controlo, reduzindo assim a carga sobre as equipas de segurança e conformidade.
Soluções de Conformidade com o CCoP2.0 em Singapura
Segurança de aplicações
Proteja aplicações e APIs em escala na nuvem, on-premises ou em um modelo híbrido. O nosso conjunto de produtos líder de mercado inclui Firewall de Aplicações Web (WAF, Web Application Firewall), proteção contra ataques de Negação de Serviço Distribuída (DDoS, Distributed Denial of Service) e ataques de bots maliciosos.
Segurança dos dados
Descubra e classifique dados confidenciais em toda a TI híbrida e proteja-os automaticamente em qualquer lugar, seja em repouso, em movimento ou em uso, usando tokenização de criptografia e gestão de chaves. As soluções da Thales também identificam, avaliam e priorizam riscos potenciais para uma avaliação de risco precisa, bem como identificam comportamentos anômalos e monitoram a atividade para verificar a conformidade, permitindo que as organizações priorizem onde gastar seus esforços.
Gestão de identidade e acesso
Forneça acesso contínuo, seguro e fiável a aplicações e serviços digitais para clientes, colaboradores e parceiros. As nossas soluções limitam o acesso de utilizadores internos e externos com base nas suas funções e contexto, com políticas de acesso granulares e autenticação multi-fator que ajudam a garantir que o utilizador certo tem acesso ao recurso certo no momento certo.
Gerir a cláusula CCoP2.0
Como é que a Thales ajuda:
- Limite o acesso dos utilizadores internos e externos aos sistemas e dados com base nas funções e no contexto das políticas.
- Aplique medidas de segurança contextuais com base na classificação dos riscos.
- Centralize as políticas de acesso e a sua aplicação em múltiplos ambientes híbridos num único painel de controlo.
- Unifique as operações de gestão de chaves com o controlo de acesso baseado em funções.
- Proteja e automatize o acesso a segredos em todas as ferramentas DevOps.
- Oferecer autenticação multifatorial (MFA) para garantir que quem acede ao sistema está realmente autorizado.
- Implemente o Início de Sessão Único (SSO, Single Sign-On) para permitir que os utilizadores acedam a vários sistemas de forma segura com uma única autenticação.
- Configure políticas de acesso com base nas funções, responsabilidades e riscos dos utilizadores.
Soluções:
Segurança dos dados
Monitorização da atividade de dados
Monitorização de atividades de ficheiros
Gestão de identidade e acesso
Como é que a Thales ajuda:
- Obtenha visibilidade total da atividade dos dados sensíveis, acompanhe quem tem acesso, audite o que estão a fazer e documente.
- Ofereça opções flexíveis de autenticação para fluxos de trabalho automatizados, a fim de reduzir a dependência de palavras-passe.
- Amplie a autenticação de início de sessão único para aplicações na nuvem, permitindo o acesso centralizado e seguro com uma identidade protegida.
- Aplique o controlo de acesso privilegiado a dados sensíveis.
- Ative a gestão abrangente de segredos de credenciais, certificados e chaves, incluindo segredos estáticos, segredos dinâmicos, chaves SSH, chaves de API e tokens que suportam o acesso just-in-time (segredos dinâmicos) em vez de estáticos para contas privilegiadas em todas as pilhas de tecnologia.
Soluções:
Gestão de identidade e acesso
Gestão do acesso dos trabalhadores
Segurança dos dados
Como é que a Thales ajuda:
- Descubra e classifique o risco potencial para todas as APIs públicas, privadas e obscuras.
- Proteja os activos de rede críticos contra ataques DDoS e Bad Bots, continuando a permitir o tráfego legítimo.
- Monitorize o tráfego de dados para identificar riscos de fuga de dados.
- Proteja-se de ataques à lógica de negócio e muitas outras das ameaças do Top 10 de API da OWASP.
- Detete e previna ciberameaças com a firewall de aplicações web.
- Encripte os dados sensíveis assim que são criados e garantir que os dados em texto simples não são processados ou armazenados por aplicações e pessoal não autorizados.
- Proteja e automatize o acesso a segredos em todas as ferramentas DevOps.
Como é que a Thales ajuda:
- Ative o controlo de acesso de utilizadores privilegiados a dados sensíveis e restringir o acesso não autorizado com o princípio do menor privilégio.
- Ofereça tokenização/encriptação em massa de alta velocidade, tal como IPI (informação pessoal identificável) ao nível da coluna, da origem ao destino.
- Unifique a gestão de chaves e certificados para os conectores e dispositivos de terceiros, incluindo uma variedade de Clientes KMIP, Agentes TDE e muito mais.
- Obtenha visibilidade total da atividade dos dados sensíveis, acompanhe quem tem acesso, audite o que estão a fazer e documente.
- Alerte ou bloqueie ataques a bases de dados e pedidos de acesso anormais em tempo real.
- Monitorize continuamente os processos para detetar atividade de E/S anómala e alertar ou bloquear atividade maliciosa.
- Monitorize processos ativos para detetar ransomware – identificando atividades como acesso excessivo a dados, exfiltração, encriptação não autorizada ou representação maliciosa de um utilizador, e alerta/bloqueia quando tal atividade é detetada.
Como é que a Thales ajuda:
- Execute testes de avaliação em repositórios de dados como o MySQL, por exemplo, para procurar vulnerabilidades conhecidas.
- Analise as suas bases de dados com mais de 1500 testes de vulnerabilidade predefinidos, baseados nos referenciais CIS, para ajudar a manter as suas bases de dados protegidas contra as ameaças mais recentes.
Como é que a Thales ajuda:
- Proteja chaves criptográficas num ambiente de Nível 3 da FIPS 140-3.
- Simplifique a gestão de chaves em ambientes na nuvem e locais com a gestão do ciclo de vida das chaves.
- Suporte uma lista crescente de fornecedores IaaS, PaaS e SaaS para a Gestão de Chaves na Nuvem. As soluções SaaS incluem o Microsoft Office 365, o Salesforce.com e a Salesforce Sandbox, bem como o SAP Data Custodian. As soluções IaaS/PaaS suportadas incluem o Microsoft Azure, o Microsoft Azure China National Cloud, o Microsoft Azure Stack, o IBM Cloud, o Google Cloud Platform e o Amazon Web Services.
- Efetue a gestão e proteja todos os segredos e credenciais sensíveis.
- Armazene os dados encriptados e a sua chave de encriptação em locais diferentes para o princípio da separação de funções.
- Adote a Agilidade Pós-Quântica para lidar com as ameaças da computação quântica.
- Suporte para BYOK e HYOK com gestão completa do ciclo de vida de chaves nativas da nuvem, bem como de chaves geradas pelas suas fontes.
Como é que a Thales ajuda:
- Utilize análises de assinatura, comportamentais e de reputação para bloquear todos os ataques de injeção de malware.
- Detete e previna ciberameaças com a firewall de aplicações web.
- Obtenha visibilidade ao monitorizar e auditar toda a atividade das bases de dados em sistemas na nuvem e locais.
- Proteja os dados com alertas em tempo real ou bloqueio de acesso de utilizadores em caso de violação das políticas.
- Forneça informações com base na síntese dos comportamentos do utilizador, padrões de acesso a aplicações e API e contexto da fonte de dados.
- Monitorize o acesso a dados não estruturados em tempo real em servidores, na nuvem e em partilhas de ficheiros.
- Detete ameaças e riscos internos com visibilidade profunda e informações baseadas em IA, através de análises inteligentes e ricas em contexto.
Soluções:
Segurança de aplicações
Segurança dos dados
Monitorização da atividade de dados
Recursos relacionados
Outros regulamentos importantes em matéria de segurança e proteção de dados
PCI HSM
MANDATO | EM VIGOR
A especificação PCI HSM define um conjunto de normas de conformidade lógica e física de segurança para HSMs especificamente para o setor de pagamentos. A certificação de conformidade com o PCI HSM depende do cumprimento dessas normas.
DORA
REGULAMENTO | EM VIGOR
O DORA visa reforçar a segurança informática das entidades financeiras para garantir que o sector financeiro na Europa seja resiliente face ao crescente volume e gravidade dos ciberataques.
Leis de notificação de violação de dados
REGULAMENTO | EM VIGOR
Os requisitos de notificação de violação de dados na sequência da perda de informações pessoais foram adoptados por países de todo o mundo. Estes variam consoante à jurisdição, mas quase sempre incluem uma cláusula de "porto seguro".
GLBA
REGULAMENTO | EM VIGOR
A Lei Gramm-Leach-Bliley (GLBA) — também conhecida como a Lei de Modernização dos Serviços Financeiros de 1999 — exige que as instituições financeiras expliquem aos seus clientes as suas práticas de partilha de informações e salvaguardem dados confidenciais.