El Cyber Security Framework de SAMA: alcance, propósito y cómo cumplir

Con las empresas dependiendo en gran medida de la tecnología para impulsar la innovación y la eficiencia, la importancia de prácticas sólidas de ciberseguridad no puede ser subestimada. Reconociendo este imperativo, la Saudi Arabian Monetary Authority (SAMA) ha introducido un Cyber Security Framework diseñado para fortalecer los sistemas financieros e industrias críticas del país frente a las ciberamenazas.

A lo largo de esta guía exploraremos los componentes clave, los dominios de control y los niveles de madurez del framework de SAMA, al tiempo que ofrecemos consejos e información sobre cómo lograr el cumplimiento de sus requisitos.

¿Qué es el Cyber Security Framework de SAMA?

El Cyber Security Framework, establecido por la Saudi Arabia Monetary Authority en 2017, sirve como una guía integral para que las instituciones financieras que operan en Arabia Saudita mejoren su resiliencia cibernética y mitiguen eficazmente los riesgos de ciberseguridad. Este marco define principios, objetivos y mejores prácticas que las organizaciones miembro deben cumplir para mantener la integridad del sector financiero y proteger los datos sensibles que estas organizaciones manejan.

Estos son los componentes clave del framework:

Niveles de madurez: el framework clasifica la madurez de la ciberseguridad en seis niveles, que van desde inexistente hasta adaptativo. Cada nivel representa una etapa de desarrollo en la implementación de controles de ciberseguridad, desde prácticas básicas ad-hoc hasta medidas proactivas y adaptativas. Entraremos en más detalle a continuación.
Dominios de control y principios: el framework define 4 categorías de dominios de control. Los principios subyacentes y los objetivos explicativos sirven como pilares para establecer una postura sólida de ciberseguridad para cada organización miembro de SAMA. Los dominios de control con sus principios y objetivos se discuten más adelante.

SAMA Cyber Security Framework

Propósito del Cyber Security Framework de SAMA

El Cyber Security Framework de SAMA cumple múltiples propósitos, entre ellos:

Crear un enfoque común para abordar la ciberseguridad: en su esencia, el Cyber Security Framework de SAMA tiene como objetivo proteger la infraestructura crítica y los datos sensibles dentro del ámbito financiero, asegurándose de que todos los miembros lo aborden de la misma manera. Es como levantar una fortaleza de controles y prácticas de ciberseguridad para repeler accesos no autorizados, brechas de datos y otras molestas ciberamenazas que podrían comprometer la integridad de la infraestructura y la información valiosa de las organizaciones.
Prevenir la pérdida de datos y mitigar las ciberamenazas: el Cyber Security Framework de SAMA interviene para evitar que los datos se filtren y para repeler ciberamenazas como malware, phishing y ransomware. Al seguir los principios del framework, las organizaciones pueden identificar y reparar mejor —y de manera uniforme— los puntos débiles en sus defensas cibernéticas, reduciendo las posibilidades de brechas de datos.
Aumentar la resiliencia frente a los ciberataques: con un enfoque estructurado de ciberseguridad implementado, las organizaciones estarán listas para detectar, responder y recuperarse de los incidentes de seguridad. Esto significa menos interrupciones a las operaciones y una navegación más tranquila en medio de la tormenta de ciberamenazas.
Mantenerse del lado correcto de la ley y cumplir con los estándares globales: el framework de SAMA garantiza que las organizaciones se ajusten a los estándares y regulaciones internacionales de ciberseguridad. Al seguir las directrices y los requisitos de control del framework, las organizaciones demuestran que se toman en serio el cumplimiento de los estándares de la industria y las reglas regulatorias, evitando el riesgo de sanciones y problemas de cumplimiento.

Alcance: ¿a quién aplica el Cyber Security Framework de SAMA?

El Cyber Security Framework de SAMA abarca a todas las instituciones financieras que operan dentro de las fronteras de Arabia Saudita. Esto incluye bancos, compañías de seguros, firmas de inversión y otras entidades involucradas en actividades financieras reguladas por SAMA. Al exigir el cumplimiento de las directrices del framework, estas organizaciones tienen la tarea de fortalecer sus defensas de ciberseguridad y reducir los riesgos de manera eficaz.

Las entidades que operan más allá de las fronteras de Arabia Saudita pueden no sentir el alcance regulatorio del framework, a menos que estén involucradas en actividades financieras dentro del reino.

How to comply with the SAMA

Los 6 niveles de madurez del Cyber Security Framework de SAMA

El Cyber Security Framework de SAMA opera con un enfoque basado en riesgos. Esto significa que describe los principios y objetivos clave de ciberseguridad que las organizaciones miembro deben alcanzar. Si bien ofrece una lista de consideraciones de control obligatorias, se anima a las organizaciones a adaptar estos controles a su contexto específico.

Las organizaciones miembro deben realizar autoevaluaciones periódicas con base en un cuestionario proporcionado por SAMA. Los resultados se revisan y auditan por SAMA para evaluar el cumplimiento del framework y valorar el nivel de madurez de ciberseguridad de la organización.

El nivel de madurez de las organizaciones miembro se mide utilizando un modelo predefinido con seis niveles: del 0 al 5. Estos niveles representan una progresión en las capacidades de ciberseguridad, donde los niveles más altos indican mayor madurez y resiliencia. SAMA enfatiza la importancia de alcanzar al menos un nivel 3 de madurez.

Resumen de los niveles de madurez de SAMA

Nivel 0: Inexistente

Sin documentación ni conocimiento de los controles de ciberseguridad.

Nivel 1: Ad-hoc

Controles de ciberseguridad parcialmente definidos con ejecución inconsistente.

Nivel 2: Repetible pero informal

Ejecución de controles de ciberseguridad estandarizados que no han sido formalmente definidos ni aprobados.

Nivel 3: Estructurado y formalizado

Implementación definida, aprobada y estructurada de los controles de ciberseguridad.
Monitoreo del cumplimiento con la documentación de ciberseguridad.
Establecimiento de políticas, estándares y procedimientos de ciberseguridad.

Nivel 4: Gestionado y medible

Evaluación y mejora periódica de los controles de ciberseguridad.
Uso de indicadores clave de riesgo (KRIs) para medir la efectividad.
Documentación de los resultados de medición y evaluación para la mejora continua.

Nivel 5: Adaptativo

Mejora continua de los controles de ciberseguridad.
Integración con las prácticas de gestión de riesgos empresariales.
Evaluación del desempeño de los controles de ciberseguridad utilizando datos de pares y del sector.

Avanzar más allá del nivel 3 requiere un compromiso firme con la excelencia y un enfoque proactivo hacia la ciberseguridad. Al adoptar prácticas de ciberseguridad gestionadas y medibles y fomentar una cultura de mejora continua, las organizaciones pueden aumentar su resiliencia ante las ciberamenazas y la pérdida de datos, contribuyendo a la seguridad general del sector financiero en Arabia Saudita.

Dominios de control en el Cyber Security Framework de SAMA

El Cyber Security Framework de SAMA delinea un conjunto integral de dominios de control, cada uno de los cuales aborda aspectos específicos de la ciberseguridad dentro de las instituciones financieras.

Profundicemos en los principales dominios de control descritos en el framework:

Liderazgo y supervisión de la ciberseguridad

Este dominio se centra en establecer estructuras de gobernanza y mecanismos de supervisión eficaces para garantizar la alineación de las iniciativas de ciberseguridad con los objetivos comerciales y los requisitos regulatorios. Los componentes clave incluyen:

Supervisión por parte de la junta directiva de las políticas y estrategias de ciberseguridad.
Establecimiento de roles, responsabilidades y rendición de cuentas claros para la ciberseguridad.
Implementación de marcos de gobernanza para guiar los procesos de toma de decisiones y gestión de riesgos.
Definir y llevar a cabo programas de concientización y capacitación en ciberseguridad para personal, terceros y clientes. Lectura adicional: cómo educar a los empleados sobre ciberseguridad.

Gestión de riesgos y cumplimiento de ciberseguridad

La gestión de riesgos es un proceso continuo de identificación, análisis, respuesta y monitoreo de los riesgos de ciberseguridad. El objetivo es proteger la confidencialidad, integridad y disponibilidad de los activos de información.

Este dominio abarca los aspectos operativos de la ciberseguridad, incluyendo la respuesta a incidentes, la detección de amenazas y el monitoreo de seguridad. Los componentes clave incluyen:

Desarrollo de planes y procedimientos de respuesta a incidentes para abordar eficazmente los incidentes de ciberseguridad.
Implementación de herramientas y tecnologías de monitoreo de seguridad para detectar y responder a las amenazas en tiempo real. Consejo: el software dedicado de prevención de pérdida de datos con estas capacidades, como Safetica, es un cambio de juego en ciberseguridad que ahorrará tiempo y dinero a tu organización.
Realización de evaluaciones y auditorías de seguridad periódicas para evaluar la eficacia de los controles.
Garantizar el cumplimiento de los estándares obligatorios de la industria como PCI-DSS, GDPR y HIPAA.

Operaciones y seguridad de la ciberseguridad

El control de acceso y la gestión de identidades son esenciales para salvaguardar los datos sensibles y garantizar que solo los usuarios autorizados tengan acceso a recursos críticos. Los componentes clave incluyen:

Implementación de políticas y procedimientos de control de acceso para gestionar los privilegios y permisos de los usuarios, incluso después del empleo. Lectura adicional: ¿Qué es el enfoque Zero Trust? | Empleados que se van: cómo establecer procesos de offboarding
Implementación de mecanismos de autenticación, como autenticación multifactor, para verificar la identidad de los usuarios.
Monitoreo de la actividad del usuario y aplicación de políticas de control de acceso para evitar accesos no autorizados.
Definición de estándares para el uso de dispositivos personales, cubriendo las responsabilidades del usuario, el aislamiento de la información empresarial y la gestión de dispositivos móviles. Lectura adicional: Mejores prácticas de política de seguridad BYOD.

Ciberseguridad de terceros

Cuando las organizaciones miembro dependen de servicios de terceros, garantizar el mismo nivel de protección de ciberseguridad es crucial. Los terceros incluyen proveedores de servicios de información, proveedores de outsourcing, proveedores de cloud computing, proveedores, suministradores y agencias gubernamentales. Las consideraciones específicas incluyen:

Garantizar que los controles de ciberseguridad aprobados se estén implementando en los contratos con terceros y que se monitoreen y evalúen continuamente.
Definir, implementar y monitorear los controles de ciberseguridad dentro de las políticas y procesos de outsourcing.
Las políticas y procesos de cloud computing para servicios de nube híbrida y pública deben incluir controles de ciberseguridad aprobados. Lectura adicional: Seguridad de datos en la nube: definiciones, riesgos y mejores prácticas.

Cómo cumplir con el Cyber Security Framework de SAMA

A medida que las organizaciones emprenden el camino para cumplir con el Cyber Security Framework de SAMA, es importante adoptar un enfoque metódico. El framework describe una serie de mejores prácticas y medidas diseñadas para proteger los datos sensibles, mitigar los riesgos de pérdida de datos y mantener la seguridad de los datos. A continuación, profundizamos en los pasos fundamentales que las organizaciones deben considerar en su búsqueda del cumplimiento:

1. Realiza una evaluación de riesgos

Comienza identificando todos los activos dentro de tu organización, incluidos hardware, software, datos y personal.
Evalúa las posibles amenazas a estos activos, considerando factores como ciberataques, desastres naturales y amenazas internas maliciosas y accidentales.

2. Implementa medidas de seguridad

Utiliza protocolos de seguridad de red y técnicas de cifrado para proteger los datos en tránsito y en reposo. Asegúrate de que las claves de cifrado se gestionen de forma segura y se roten regularmente para mitigar el riesgo de compromiso.
Implementa soluciones de software DLP para monitorear, detectar y prevenir transferencias o fugas no autorizadas de datos (ya sea maliciosas o por error humano).
Implementa controles de acceso y sistemas de gestión de identidades para garantizar que solo las personas autorizadas puedan acceder a información sensible.
Configura políticas de prevención de pérdida de datos para hacer cumplir el cifrado, los controles de acceso y la clasificación de datos según los niveles de sensibilidad.
Segmenta las redes según las funciones de negocio y los niveles de sensibilidad de los datos para limitar el impacto de posibles brechas.
Desarrolla y documenta planes de respuesta y recuperación ante incidentes para mitigar y recuperarte eficazmente de los incidentes de ciberseguridad. Establece un equipo dedicado de respuesta a incidentes con roles y responsabilidades claramente definidos.
Implementa campañas de concientización en seguridad para educar a los empleados sobre la importancia de la ciberseguridad. Ofrece sesiones regulares de capacitación sobre temas como concientización sobre phishing, seguridad de contraseñas y prevención de la ingeniería social.

3. Monitorea y evalúa y actualiza regularmente las medidas de seguridad

Establece un sistema de monitoreo continuo de los sistemas y redes para detectar y responder a los incidentes de seguridad en tiempo real.
Realiza pruebas de penetración y evaluaciones de vulnerabilidades periódicas para identificar debilidades en tus defensas cibernéticas y abordarlas de manera proactiva.

4. Reporte y verificación del cumplimiento

Mantén una documentación exhaustiva de tus esfuerzos de cumplimiento, incluidas las evaluaciones de riesgos, las políticas de seguridad y los planes de respuesta a incidentes.
Reporta cualquier incidente o brecha de ciberseguridad a las autoridades regulatorias según lo requiera el Cyber Security Framework de SAMA, garantizando la transparencia y la rendición de cuentas en tus prácticas de seguridad.

Cómo Safetica puede ayudarte en tu camino hacia el cumplimiento de la ciberseguridad de SAMA

La interfaz fácil de usar de Safetica y sus políticas personalizables permiten a las organizaciones adaptar sus estrategias DLP para alinearse perfectamente con los requisitos descritos en el Cyber Security Framework de SAMA.

Las funcionalidades de Safetica incluyen:

Cifrado de datos sensibles en reposo y en tránsito, asegurando que incluso en caso de acceso no autorizado, los datos sensibles permanezcan protegidos.
Capacidades de monitoreo y auditoría en tiempo real, permitiendo a las organizaciones rastrear el comportamiento del usuario, detectar comportamientos anómalos y amenazas internas, y aplicar políticas de seguridad para evitar la exfiltración y el uso indebido de datos.
Visibilidad y control inigualables sobre la información sensible, logrados al monitorear y controlar los flujos de datos.
Alertas y notificaciones en tiempo real, permitiendo a las organizaciones responder rápidamente a posibles incidentes de seguridad, acortando los tiempos de reacción y minimizando el impacto de las brechas de datos.

Para las organizaciones que buscan un socio confiable en su camino hacia el cumplimiento de SAMA, Safetica se erige como un aliado de confianza, ofreciendo soluciones innovadoras y soporte experto en cada paso del camino.

Da el primer paso hacia una sólida protección de datos y cumplimiento normativo explorando las soluciones DLP de Safetica hoy mismo.