Safetica > Resources > Cyber Security Framework da SAMA: âmbito, propósito e como cumprir

Cyber Security Framework da SAMA: âmbito, propósito e como cumprir

abr 8, 2024

Com as empresas a dependerem fortemente da tecnologia para impulsionar a inovação e a eficiência, a importância de práticas robustas de cibersegurança não pode ser sobrevalorizada. Reconhecendo este imperativo, a Saudi Arabian Monetary Authority (SAMA) introduziu uma Cyber Security Framework concebida para fortalecer os sistemas financeiros e as indústrias críticas do país contra as ciberameaças.

Ao longo deste guia, exploraremos os componentes-chave, os domínios de controlo e os níveis de maturidade da framework da SAMA, fornecendo também dicas e perspetivas sobre como alcançar a conformidade com os seus requisitos.

 

O que é a Cyber Security Framework da SAMA

A Cyber Security Framework, estabelecida pela Saudi Arabia Monetary Authority em 2017, serve como uma orientação abrangente para as instituições financeiras a operar na Arábia Saudita reforçarem a sua ciber-resiliência e mitigarem eficazmente os riscos de cibersegurança. Esta framework define princípios, objetivos e boas práticas que as organizações membros têm de cumprir para manter a integridade do setor financeiro e proteger os dados sensíveis que detêm.

Estes são os componentes-chave da framework:

  1. Níveis de maturidade: a framework categoriza a maturidade de cibersegurança em seis níveis, do inexistente ao adaptativo. Cada nível representa uma fase de desenvolvimento na implementação de controlos de cibersegurança, desde práticas básicas ad-hoc até medidas proativas e adaptativas. Iremos abordar estes níveis em maior detalhe abaixo.
  2. Domínios e princípios de controlo: a framework define 4 categorias de domínios de controlo. Os princípios subjacentes e os objetivos explicativos servem como pilares para estabelecer uma postura robusta de cibersegurança em cada organização membro da SAMA. Os domínios de controlo, com os seus princípios e objetivos, são abordados mais à frente.

SAMA Cyber Security Framework

Propósito da Cyber Security Framework da SAMA

A Cyber Security Framework da SAMA serve múltiplos propósitos, incluindo:

  • Criar uma abordagem comum à cibersegurança: no seu cerne, a Cyber Security Framework da SAMA visa proteger as infraestruturas críticas e os dados sensíveis no domínio financeiro, garantindo que todos os membros o fazem da mesma forma. É como erguer uma fortaleza de controlos e práticas de cibersegurança para repelir acessos não autorizados, violações de dados e outras ciberameaças incómodas que possam comprometer a integridade da infraestrutura e da informação valiosa das organizações.
  • Prevenir a perda de dados e mitigar ciberameaças: a Cyber Security Framework da SAMA intervém para impedir que os dados se percam pelas frinchas e para repelir ciberameaças como malware, phishing e ransomware. Ao seguirem os princípios da framework, as organizações conseguem identificar e corrigir melhor — e de forma uniforme — pontos fracos nas suas ciberdefesas, reduzindo as hipóteses de violações de dados.
  • Reforçar a resiliência contra ciberataques: com uma abordagem estruturada de cibersegurança em vigor, as organizações estarão prontas para detetar, responder e recuperar de incidentes de segurança. Isto significa menos disrupções nas operações e uma travessia mais tranquila pela tempestade das ciberameaças.
  • Cumprir a lei e os padrões globais: a framework da SAMA garante que as organizações cumprem os padrões e regulamentos internacionais de cibersegurança. Ao seguirem as orientações e os requisitos de controlo da framework, as organizações demonstram seriedade em cumprir os padrões da indústria e as regras regulamentares, evitando o risco de penalizações e contratempos de conformidade.

Âmbito: a quem se aplica a Cyber Security Framework da SAMA?

A Cyber Security Framework da SAMA abrange todas as instituições financeiras a operar dentro das fronteiras da Arábia Saudita. Isto inclui bancos, companhias de seguros, sociedades de investimento e outras entidades fortemente envolvidas em atividades financeiras reguladas pela SAMA. Ao impor a conformidade com as orientações da framework, estas organizações têm a tarefa de reforçar as suas ciberdefesas e mitigar eficazmente os riscos.

As entidades a operar fora da Arábia Saudita podem não sentir o domínio regulamentar da framework, exceto se exercerem atividades financeiras dentro do reino.

 

How to comply with the SAMA

 

Os 6 níveis de maturidade da Cyber Security Framework da SAMA

A Cyber Security Framework da SAMA opera com base numa abordagem orientada pelo risco. Isto significa que define princípios e objetivos-chave de cibersegurança que as Organizações Membros devem alcançar. Embora ofereça uma lista de considerações de controlo obrigatórias, as organizações são incentivadas a adaptar estes controlos ao seu contexto específico.

As organizações membros têm de realizar autoavaliações periódicas com base num questionário fornecido pela SAMA. Os resultados são revistos e auditados pela SAMA para avaliar a conformidade com a framework e o nível de maturidade de cibersegurança da organização.

O nível de maturidade das organizações membros é medido com um modelo predefinido de seis níveis: 0 a 5. Estes níveis representam uma progressão nas capacidades de cibersegurança, com níveis mais elevados a indicarem maior maturidade e resiliência. A SAMA sublinha a importância de atingir, no mínimo, o nível 3 de maturidade.

 

Resumo dos níveis de maturidade da SAMA

Nível 0Inexistente

  • Sem documentação ou consciência dos controlos de cibersegurança.


Nível 1Ad-hoc

  • Controlos de cibersegurança parcialmente definidos com execução inconsistente.


Nível 2Repetível mas informal

  • Execução de controlos de cibersegurança padronizados que não foram formalmente definidos ou aprovados.


Nível 3Estruturado e formalizado

  • Implementação definida, aprovada e estruturada dos controlos de cibersegurança.
  • Monitorização da conformidade com a documentação de cibersegurança.
  • Estabelecimento de políticas, padrões e procedimentos de cibersegurança.


Nível 4Gerido e mensurável

  • Avaliação e melhoria periódicas dos controlos de cibersegurança.
  • Utilização de indicadores-chave de risco (KRI) para medir a eficácia.
  • Documentação dos resultados de medição e avaliação para melhoria contínua.


Nível 5Adaptativo

  • Melhoria contínua dos controlos de cibersegurança.
  • Integração com práticas de gestão de risco empresarial.
  • Avaliação do desempenho dos controlos de cibersegurança usando dados de pares e do setor.

 

Avançar para além do nível 3 exige um compromisso firme com a excelência e uma abordagem proativa à cibersegurança. Ao adotar práticas de cibersegurança geridas e mensuráveis e ao promover uma cultura de melhoria contínua, as organizações podem reforçar a sua resiliência face às ciberameaças e à perda de dados, contribuindo para a segurança global do setor financeiro na Arábia Saudita.

Domínios de controlo na Cyber Security Framework da SAMA

A Cyber Security Framework da SAMA delineia um conjunto abrangente de domínios de controlo, cada um dirigido a aspetos específicos da cibersegurança nas instituições financeiras.

Vamos aprofundar os principais domínios de controlo descritos na framework:

 

Liderança e supervisão da cibersegurança

Este domínio centra-se em estabelecer estruturas eficazes de governance e mecanismos de supervisão para garantir o alinhamento das iniciativas de cibersegurança com os objetivos do negócio e os requisitos regulamentares. Os componentes-chave incluem:

  • Supervisão das políticas e estratégias de cibersegurança pelo conselho de administração.
  • Estabelecimento de papéis, responsabilidades e responsabilização claros para a cibersegurança.
  • Implementação de frameworks de governance para orientar a tomada de decisão e os processos de gestão de risco.
  • Definir e realizar formação e ações de consciencialização em cibersegurança para colaboradores, terceiros e clientes. Leitura adicionalComo educar os colaboradores sobre cibersegurança.


Gestão de risco e conformidade em cibersegurança

A gestão de risco é um processo contínuo de identificação, análise, resposta e monitorização dos riscos de cibersegurança. O objetivo é salvaguardar a confidencialidade, integridade e disponibilidade dos ativos de informação.

Este domínio abrange os aspetos operacionais da cibersegurança, incluindo resposta a incidentes, deteção de ameaças e monitorização de segurança. Os componentes-chave incluem:

  • Desenvolver planos e procedimentos de resposta a incidentes para responder eficazmente a incidentes de cibersegurança.
  • Implementar ferramentas e tecnologias de monitorização de segurança para detetar e responder a ameaças em tempo real. Dica: Software dedicado de prevenção de perda de dados com estas capacidades, como o Safetica, é um divisor de águas em cibersegurança que poupará tempo e dinheiro à sua organização.
  • Realizar avaliações e auditorias de segurança regulares para avaliar a eficácia dos controlos.
  • Garantir a conformidade com padrões obrigatórios da indústria, como PCI-DSSGDPRHIPAA.

Operações e segurança em cibersegurança

O controlo de acesso e a gestão de identidade são essenciais para proteger dados sensíveis e garantir que apenas utilizadores autorizados acedem aos recursos críticos. Os componentes-chave incluem:

  • Implementar políticas e procedimentos de controlo de acesso para gerir privilégios e permissões dos utilizadores, incluindo no pós-emprego. Leitura adicional: O que é a abordagem Zero Trust? | Colaboradores em saída: como definir processos de offboarding
  • Implementar mecanismos de autenticação, como autenticação multifator, para verificar a identidade dos utilizadores.
  • Monitorizar a atividade dos utilizadores e aplicar políticas de controlo de acesso para evitar acessos não autorizados.
  • Definir padrões para o uso de dispositivos pessoais, abrangendo as responsabilidades do utilizador, o isolamento da informação do negócio e a gestão de dispositivos móveis. Leitura adicional: Boas práticas para a política de segurança BYOD.

Cibersegurança de terceiros

Quando as Organizações Membros recorrem a serviços de terceiros, garantir o mesmo nível de proteção de cibersegurança é crucial. Os terceiros incluem fornecedores de serviços de informação, fornecedores de outsourcing, fornecedores de cloud computing, vendedores, parceiros e agências governamentais. Considerações específicas incluem:

  • Garantir que os controlos de cibersegurança aprovados são incorporados nos contratos com terceiros e que estão a ser monitorizados e avaliados continuamente.
  • Definir, implementar e monitorizar controlos de cibersegurança nas políticas e processos de outsourcing.
  • As políticas e processos de cloud computing para serviços de cloud híbrida e pública têm de incluir controlos de cibersegurança aprovados. Leitura adicional: Segurança de Dados na Cloud: definições, riscos e boas práticas.

Como cumprir a Cyber Security Framework da SAMA

À medida que as organizações iniciam a jornada para cumprir a Cyber Security Framework da SAMA, é importante adotar uma abordagem metódica. A framework descreve uma série de boas práticas e medidas concebidas para proteger dados sensíveis, mitigar riscos de perda de dados e defender a segurança dos dados. Abaixo, aprofundamos os passos fundamentais que as organizações devem considerar na sua busca pela conformidade:

 

1. Realize uma avaliação de risco

  • Comece por identificar todos os ativos da sua organização, incluindo hardware, software, dados e pessoas.

  • Avalie potenciais ameaças a estes ativos, considerando fatores como ciberataques, desastres naturais e ameaças internas maliciosas e acidentais.

2. Implemente medidas de segurança

  • Utilize protocolos de segurança de rede e técnicas de encriptação para proteger os dados em trânsito e em repouso. Garanta que as chaves de encriptação são geridas em segurança e rotativas regularmente para mitigar o risco de comprometimento das chaves.

  • Implemente soluções de software DLP para monitorizar, detetar e impedir transferências ou fugas de dados não autorizadas (sejam maliciosas ou por erro humano).

  • Implemente controlos de acesso e sistemas de gestão de identidade para garantir que apenas indivíduos autorizados acedem a informação sensível.

  • Configure políticas de prevenção de perda de dados para aplicar encriptação, controlos de acesso e classificação de dados com base nos níveis de sensibilidade.

  • Segmente as redes com base nas funções de negócio e nos níveis de sensibilidade dos dados para limitar o impacto de potenciais violações.

  • Desenvolva e documente planos de resposta a incidentes e de recuperação para mitigar e recuperar eficazmente de incidentes de cibersegurança. Estabeleça uma equipa dedicada de resposta a incidentes com papéis e responsabilidades claramente definidos.

  • Implemente campanhas de consciencialização em segurança para educar os colaboradores sobre a importância da cibersegurança. Ofereça sessões de formação regulares sobre temas como consciencialização para o phishing, segurança de palavras-passe e prevenção de engenharia social.

3. Monitorize, avalie e atualize regularmente as medidas de segurança

  • Estabeleça um sistema de monitorização contínua dos sistemas e redes para detetar e responder a incidentes de segurança em tempo real.

  • Realize testes de penetração e avaliações de vulnerabilidades regulares para identificar pontos fracos nas suas ciberdefesas e tratá-los proativamente.

4. Reporte e verificação de conformidade

  • Mantenha documentação minuciosa dos seus esforços de conformidade, incluindo avaliações de risco, políticas de segurança e planos de resposta a incidentes.

  • Reporte quaisquer incidentes ou violações de cibersegurança às autoridades regulatórias conforme exigido pela Cyber Security Framework da SAMA, garantindo transparência e responsabilização nas suas práticas de segurança.

Como a Safetica pode ajudar na sua jornada de conformidade com a cibersegurança da SAMA

A interface intuitiva e as políticas personalizáveis da Safetica permitem às organizações ajustar as suas estratégias de DLP de forma a alinharem-se perfeitamente com os requisitos descritos na Cyber Security Framework da SAMA.

As funcionalidades da Safetica incluem:

  • Encriptar dados sensíveis em repouso e em trânsito, garantindo que, mesmo em caso de acesso não autorizado, os dados sensíveis permanecem protegidos.

  • Capacidades de monitorização e auditoria em tempo real, permitindo às organizações acompanhar o comportamento dos utilizadores, detetar comportamentos anómalos e ameaças internas, e aplicar políticas de segurança para impedir a exfiltração e utilização indevida de dados.

  • Visibilidade e controlo sem paralelo sobre informação sensível, conseguidos através da monitorização e controlo dos fluxos de dados.

  • Alertas e notificações em tempo real, permitindo às organizações responder rapidamente a potenciais incidentes de segurança, encurtando os tempos de reação e minimizando o impacto das violações de dados.

Para as organizações que procuram um parceiro fiável na sua jornada rumo à conformidade com a SAMA, a Safetica é um aliado de confiança, oferecendo soluções inovadoras e apoio especializado em cada passo do caminho.

Dê o primeiro passo rumo a uma forte proteção de dados e à conformidade regulamentar, explorando hoje as soluções DLP da Safetica. 

 


Agende uma chamada de demonstração com os nossos especialistas   hoje para experimentar o poder da Safetica em primeira mão.

Similar posts