El Cyber Security Framework de SAMA: alcance, propósito y cómo cumplir

Con las empresas dependiendo en gran medida de la tecnología para impulsar la innovación y la eficiencia, la importancia de prácticas sólidas de ciberseguridad no puede ser subestimada. Reconociendo este imperativo, la Saudi Arabian Monetary Authority (SAMA) ha introducido un Cyber Security Framework diseñado para fortalecer los sistemas financieros e industrias críticas del país frente a las ciberamenazas.

A lo largo de esta guía exploraremos los componentes clave, los dominios de control y los niveles de madurez del framework de SAMA, al tiempo que ofrecemos consejos e información sobre cómo lograr el cumplimiento de sus requisitos.

¿Qué es el Cyber Security Framework de SAMA?

El Cyber Security Framework, establecido por la Saudi Arabia Monetary Authority en 2017, sirve como una guía integral para que las instituciones financieras que operan en Arabia Saudita mejoren su resiliencia cibernética y mitiguen eficazmente los riesgos de ciberseguridad. Este marco define principios, objetivos y mejores prácticas que las organizaciones miembro deben cumplir para mantener la integridad del sector financiero y proteger los datos sensibles que estas organizaciones manejan.

Estos son los componentes clave del framework:

1. Niveles de madurez: el framework clasifica la madurez de la ciberseguridad en seis niveles, que van desde inexistente hasta adaptativo. Cada nivel representa una etapa de desarrollo en la implementación de controles de ciberseguridad, desde prácticas básicas ad-hoc hasta medidas proactivas y adaptativas. Entraremos en más detalle a continuación.
2. Dominios de control y principios: el framework define 4 categorías de dominios de control. Los principios subyacentes y los objetivos explicativos sirven como pilares para establecer una postura sólida de ciberseguridad para cada organización miembro de SAMA. Los dominios de control con sus principios y objetivos se discuten más adelante.

Propósito del Cyber Security Framework de SAMA

El Cyber Security Framework de SAMA cumple múltiples propósitos, entre ellos:

• Crear un enfoque común para abordar la ciberseguridad: en su esencia, el Cyber Security Framework de SAMA tiene como objetivo proteger la infraestructura crítica y los datos sensibles dentro del ámbito financiero, asegurándose de que todos los miembros lo aborden de la misma manera. Es como levantar una fortaleza de controles y prácticas de ciberseguridad para repeler accesos no autorizados, brechas de datos y otras molestas ciberamenazas que podrían comprometer la integridad de la infraestructura y la información valiosa de las organizaciones.
• Prevenir la pérdida de datos y mitigar las ciberamenazas: el Cyber Security Framework de SAMA interviene para evitar que los datos se filtren y para repeler ciberamenazas como malware, phishing y ransomware. Al seguir los principios del framework, las organizaciones pueden identificar y reparar mejor —y de manera uniforme— los puntos débiles en sus defensas cibernéticas, reduciendo las posibilidades de brechas de datos.
• Aumentar la resiliencia frente a los ciberataques: con un enfoque estructurado de ciberseguridad implementado, las organizaciones estarán listas para detectar, responder y recuperarse de los incidentes de seguridad. Esto significa menos interrupciones a las operaciones y una navegación más tranquila en medio de la tormenta de ciberamenazas.
• Mantenerse del lado correcto de la ley y cumplir con los estándares globales: el framework de SAMA garantiza que las organizaciones se ajusten a los estándares y regulaciones internacionales de ciberseguridad. Al seguir las directrices y los requisitos de control del framework, las organizaciones demuestran que se toman en serio el cumplimiento de los estándares de la industria y las reglas regulatorias, evitando el riesgo de sanciones y problemas de cumplimiento.

Alcance: ¿a quién aplica el Cyber Security Framework de SAMA?

El Cyber Security Framework de SAMA abarca a todas las instituciones financieras que operan dentro de las fronteras de Arabia Saudita. Esto incluye bancos, compañías de seguros, firmas de inversión y otras entidades involucradas en actividades financieras reguladas por SAMA. Al exigir el cumplimiento de las directrices del framework, estas organizaciones tienen la tarea de fortalecer sus defensas de ciberseguridad y reducir los riesgos de manera eficaz.

Las entidades que operan más allá de las fronteras de Arabia Saudita pueden no sentir el alcance regulatorio del framework, a menos que estén involucradas en actividades financieras dentro del reino.

Los 6 niveles de madurez del Cyber Security Framework de SAMA

El Cyber Security Framework de SAMA opera con un enfoque basado en riesgos. Esto significa que describe los principios y objetivos clave de ciberseguridad que las organizaciones miembro deben alcanzar. Si bien ofrece una lista de consideraciones de control obligatorias, se anima a las organizaciones a adaptar estos controles a su contexto específico.

Las organizaciones miembro deben realizar autoevaluaciones periódicas con base en un cuestionario proporcionado por SAMA. Los resultados se revisan y auditan por SAMA para evaluar el cumplimiento del framework y valorar el nivel de madurez de ciberseguridad de la organización.

El nivel de madurez de las organizaciones miembro se mide utilizando un modelo predefinido con seis niveles: del 0 al 5. Estos niveles representan una progresión en las capacidades de ciberseguridad, donde los niveles más altos indican mayor madurez y resiliencia. SAMA enfatiza la importancia de alcanzar al menos un nivel 3 de madurez.