Cyber Security Framework da SAMA: âmbito, propósito e como cumprir

Com as empresas a dependerem fortemente da tecnologia para impulsionar a inovação e a eficiência, a importância de práticas robustas de cibersegurança não pode ser sobrevalorizada. Reconhecendo este imperativo, a Saudi Arabian Monetary Authority (SAMA) introduziu uma Cyber Security Framework concebida para fortalecer os sistemas financeiros e as indústrias críticas do país contra as ciberameaças.

Ao longo deste guia, exploraremos os componentes-chave, os domínios de controlo e os níveis de maturidade da framework da SAMA, fornecendo também dicas e perspetivas sobre como alcançar a conformidade com os seus requisitos.

O que é a Cyber Security Framework da SAMA

A Cyber Security Framework, estabelecida pela Saudi Arabia Monetary Authority em 2017, serve como uma orientação abrangente para as instituições financeiras a operar na Arábia Saudita reforçarem a sua ciber-resiliência e mitigarem eficazmente os riscos de cibersegurança. Esta framework define princípios, objetivos e boas práticas que as organizações membros têm de cumprir para manter a integridade do setor financeiro e proteger os dados sensíveis que detêm.

Estes são os componentes-chave da framework:

1. Níveis de maturidade: a framework categoriza a maturidade de cibersegurança em seis níveis, do inexistente ao adaptativo. Cada nível representa uma fase de desenvolvimento na implementação de controlos de cibersegurança, desde práticas básicas ad-hoc até medidas proativas e adaptativas. Iremos abordar estes níveis em maior detalhe abaixo.
2. Domínios e princípios de controlo: a framework define 4 categorias de domínios de controlo. Os princípios subjacentes e os objetivos explicativos servem como pilares para estabelecer uma postura robusta de cibersegurança em cada organização membro da SAMA. Os domínios de controlo, com os seus princípios e objetivos, são abordados mais à frente.

Propósito da Cyber Security Framework da SAMA

A Cyber Security Framework da SAMA serve múltiplos propósitos, incluindo:

• Criar uma abordagem comum à cibersegurança: no seu cerne, a Cyber Security Framework da SAMA visa proteger as infraestruturas críticas e os dados sensíveis no domínio financeiro, garantindo que todos os membros o fazem da mesma forma. É como erguer uma fortaleza de controlos e práticas de cibersegurança para repelir acessos não autorizados, violações de dados e outras ciberameaças incómodas que possam comprometer a integridade da infraestrutura e da informação valiosa das organizações.
• Prevenir a perda de dados e mitigar ciberameaças: a Cyber Security Framework da SAMA intervém para impedir que os dados se percam pelas frinchas e para repelir ciberameaças como malware, phishing e ransomware. Ao seguirem os princípios da framework, as organizações conseguem identificar e corrigir melhor — e de forma uniforme — pontos fracos nas suas ciberdefesas, reduzindo as hipóteses de violações de dados.
• Reforçar a resiliência contra ciberataques: com uma abordagem estruturada de cibersegurança em vigor, as organizações estarão prontas para detetar, responder e recuperar de incidentes de segurança. Isto significa menos disrupções nas operações e uma travessia mais tranquila pela tempestade das ciberameaças.
• Cumprir a lei e os padrões globais: a framework da SAMA garante que as organizações cumprem os padrões e regulamentos internacionais de cibersegurança. Ao seguirem as orientações e os requisitos de controlo da framework, as organizações demonstram seriedade em cumprir os padrões da indústria e as regras regulamentares, evitando o risco de penalizações e contratempos de conformidade.

Âmbito: a quem se aplica a Cyber Security Framework da SAMA?

A Cyber Security Framework da SAMA abrange todas as instituições financeiras a operar dentro das fronteiras da Arábia Saudita. Isto inclui bancos, companhias de seguros, sociedades de investimento e outras entidades fortemente envolvidas em atividades financeiras reguladas pela SAMA. Ao impor a conformidade com as orientações da framework, estas organizações têm a tarefa de reforçar as suas ciberdefesas e mitigar eficazmente os riscos.

As entidades a operar fora da Arábia Saudita podem não sentir o domínio regulamentar da framework, exceto se exercerem atividades financeiras dentro do reino.

Os 6 níveis de maturidade da Cyber Security Framework da SAMA

A Cyber Security Framework da SAMA opera com base numa abordagem orientada pelo risco. Isto significa que define princípios e objetivos-chave de cibersegurança que as Organizações Membros devem alcançar. Embora ofereça uma lista de considerações de controlo obrigatórias, as organizações são incentivadas a adaptar estes controlos ao seu contexto específico.

As organizações membros têm de realizar autoavaliações periódicas com base num questionário fornecido pela SAMA. Os resultados são revistos e auditados pela SAMA para avaliar a conformidade com a framework e o nível de maturidade de cibersegurança da organização.

O nível de maturidade das organizações membros é medido com um modelo predefinido de seis níveis: 0 a 5. Estes níveis representam uma progressão nas capacidades de cibersegurança, com níveis mais elevados a indicarem maior maturidade e resiliência. A SAMA sublinha a importância de atingir, no mínimo, o nível 3 de maturidade.