SAMA CSF Compliance

 

O que é CSF da SAMA?

A Autoridade Monetária da Arábia Saudita (SAMA), o banco central do Reino da Arábia Saudita, assume o papel de autoridade de supervisão sobre várias instituições financeiras no Reino. Uma parte significativa da responsabilidade da SAMA é o estabelecimento e manutenção da Estrutura de Segurança Cibernética (CSF). Esta estrutura foi criada para permitir que as instituições financeiras reguladas pela SAMA, doravante denominadas organizações-membro, identifiquem e abordem os riscos de segurança cibernética eficazmente, enquanto fornece orientações sobre os requisitos de segurança cibernética para organizações membros, suas subsidiárias, funcionários, terceiros e clientes. Isso serve como uma linha robusta de defesa contra ameaças à segurança cibernética.

A CSF da SAMA tem três objetivos principais:

  • Facilitar uma abordagem unificada para abordar questões de segurança cibernética nas organizações membros.
  • Garantir que as organizações membros atinjam um nível ideal de maturidade na implementação dos controles de segurança cibernética.
  • Garantir que os riscos de segurança cibernética sejam gerenciadas em todas as organizações membros de maneira eficaz.

Além de fornecer diretrizes, a CSF da SAMA avalia ativamente a efetividade dos controles de segurança cibernética para as organizações membros e norteia seus requisitos de segurança cibernética. Esta iniciativa proativa da SAMA promove a confiança das partes interessadas e garante a segurança do ecossistema financeiro na Arábia Saudita.

A CSF da SAMA está alinhada com as melhores práticas e requisitos de mandatos regulatórios, como o NIST, ISO, BASEL e PCI-DSS. Ela descreve os controles de segurança cibernética relativos a vários ativos de informação da organização membro, incluindo, entre outros, informações eletrônicas e físicas, aplicações de software, sistemas de computador e redes de comunicação.

Quem deve cumprir a CSF da SAMA?

A CSF da SAMA procura fornecer medidas de segurança robustas para reforçar a rede financeira global na Arábia Saudita. Compreender quem deve cumprir esta estrutura é extremamente importante. As entidades que devem cumpri-la incluem:

  • Bancos que operam nas fronteiras da Arábia Saudita.
  • Seguradoras e/ou resseguradoras estabelecidas e operando na Arábia Saudita.
  • Entidades financeiras que oferecem seus serviços na Arábia Saudita.
  • Agências de crédito ativas na Arábia Saudita.
  • Entidades de infraestrutura do mercado financeiro (por exemplo, empresas de registros de valores mobiliários, bolsas de valores, câmaras de compensação)

Especificamente, o setor bancário deve cumprir todas as áreas, ou domínios, desta estrutura, cobrindo vários requisitos, como segurança de aplicações, controle de acesso, segurança de infraestruturas etc. para estar em conformidade com os domínios selecionados. A CSF da SAMA existe para garantir que estas organizações estejam preparadas para as ameaças digitais.

Consequências do descumprimento da CSF da SAMA

O descumprimento da CSF da SAMA pode acarretar consequências graves, como:

  • Medidas punitivas: Caso uma organização não atenda aos padrões estabelecidos pela SAMA, diversas ações corretivas ou penalidades poderão ser impostas. Elas podem variar de advertências a sanções financeiras proporcionais ao nível de descumprimento.
  • Plano de ação corretivo: A SAMA poderá exigir que uma entidade apresente um plano de ação para corrigir a não conformidade.
  • Censura pública: O descumprimento poderá resultar em uma declaração pública contra a organização, manchando sua reputação.
  • Alterações de licenças: A SAMA tem autoridade para alterar, restringir, suspender ou até mesmo revogar a licença da organização, prejudicando efetivamente suas operações.
  • Recursos legais: Em casos mais graves, a SAMA poderá recorrer a ações judiciais nos tribunais competentes, resultando potencialmente em sanções adicionais e complicações legais.

O cumprimento da CSF da SAMA não é apenas obrigatório — também é de interesse da organização proteger sua estabilidade financeira, reputação e operações de negócios. Isso reforça o cenário mais amplo da segurança cibernética, estabelecendo um alto padrão de segurança, incentivando a diligência e dissuadindo qualquer não conformidade potencial.

Requisitos da CSF da SAMA para o cumprimento

Para cumprir a CSF da SAMA, as organizações devem entender e implementar vários requisitos principais, divididos em quatro grandes categorias:

1. Liderança e governança em segurança cibernética: Concentra na criação de uma base robusta para a segurança cibernética na organização.

  • Governança da segurança cibernética: A organização deve definir e implementar uma estrutura de governança da segurança cibernética que seja endossada pelo conselho da organização. Esta estrutura norteia a abordagem à segurança cibernética, garantindo um gerenciamento completo e “de cima para baixo” das questões de segurança cibernética.
  • Estratégia de segurança cibernética: Uma estratégia de segurança cibernética clara deve ser estabelecida e alinhada com os objetivos de segurança da organização. Isso garante que as iniciativas de segurança cibernética contribuam efetivamente para a postura geral de segurança da organização.
  • Política de segurança cibernética: Uma política definitiva de segurança cibernética deve ser definida, aprovada e comunicada em toda a organização. Esta política documenta o compromisso da organização com a segurança cibernética e comunica eficazmente os objetivos de segurança cibernética às partes interessadas relevantes.
  • Funções e responsabilidades de segurança cibernética: As responsabilidades pela implementação, manutenção, apoio e promoção da segurança cibernética devem ser claramente definidas. Ao fazer isso, todas as partes interessadas relevantes ficam cientes das suas responsabilidades e podem contribuir para os controles globais de segurança cibernética.
  • Segurança cibernética no gerenciamento de projetos: Os requisitos de segurança cibernética devem ser incorporados no gerenciamento e governança de projetos. Isso garante que todos os projetos realizados pela organização cumpram os requisitos necessários de segurança cibernética, promovendo um ambiente de projeto seguro.

2. Gerenciamento e conformidade de riscos de segurança cibernética: Esta área centra-se na identificação, análise, resposta, monitoramento e revisão dos riscos de segurança cibernética.

  • Gerenciamento de riscos de segurança cibernética: A organização deve estabelecer um processo de gerenciamento de riscos de segurança cibernética definido, aprovado e implementado, alinhado com o processo de gerenciamento de riscos corporativos. Isso assegura um gerenciamento adequado dos riscos de segurança cibernética, protegendo a confidencialidade, integridade e disponibilidade dos ativos de informação da organização.
  • RConformidade regulatória: Um processo estabelecido é necessário para identificar, comunicar e cumprir outras regulamentações aplicáveis, como o PCI-DSS, o padrão técnico EMV e o SWIFT Customer Security Controls Framework (CSCF).
  • Cumprimento dos padrões internacionais do setor: A organização deve cumprir os padrões internacionais obrigatórios do setor. A conformidade garante que as melhores práticas serão cumpridas e reforça o compromisso da organização em manter os mais altos padrões de segurança cibernética.

3. Operações e tecnologia de segurança cibernética: Isso envolve garantir a proteção dos ativos e processos de informação da organização.

  • Recursos humanos: Os requisitos de segurança cibernética devem ser integrados nos processos de recursos humanos. Isso garante que as responsabilidades de segurança cibernética sejam incorporadas nos termos de contratação e que os funcionários sejam triados adequadamente ao longo do seu ciclo de vida profissional.
  • Gerenciamento de ativos: Um processo de gerenciamento de ativos deve ser definido, aprovado, implementado, comunicado e monitorado. Este processo garantirá um registro de ativos preciso, atualizado e unificado, apoiando assim os processos organizacionais.
  • Arquitetura de segurança cibernética: A organização deve definir, cumprir e revisar uma arquitetura de segurança cibernética que descreva os requisitos de segurança e princípios de projeto para o desenvolvimento das capacidades de segurança cibernética. Isso garante uma estrutura de segurança cibernética estratégica, consistente, econômica e completa.
  • Gerenciamento de identidades e acesso: O acesso aos ativos de informação deve ser restringido de acordo com os requisitos do negócio, com base nos princípios da necessidade de conhecimento. Isso assegura que apenas usuários aprovados com privilégios adequados possam acessar os ativos de informações pertinentes.
  • Segurança de aplicações: Os padrões de segurança cibernética para sistemas de aplicações devem ser definidos, aprovados e implementados. O cumprimento desses padrões deve ser monitorado e sua eficácia mensurada e avaliada periodicamente para garantir uma segurança robusta no nível da aplicação.
  • Segurança da infraestrutura: Os padrões de segurança cibernética nos componentes da infraestrutura devem ser definidos, aprovados e implementados. Estes padrões, juntamente com o seu cumprimento e eficácia, devem ser monitorados e avaliados regularmente para garantir uma infraestrutura segura.
  • Sistemas de pagamento: Um padrão de segurança cibernética para sistemas de pagamento deve ser definido, aprovado, implementado e monitorado. A efetividade deste padrão deve ser mensurada e avaliada periodicamente para garantir a confidencialidade e integridade dos sistemas de transações.

4. Segurança cibernética de terceiros: Ao trabalhar com terceiros, o mesmo nível de proteção da segurança cibernética deve ser garantido.

  • Gerenciamento de contratos e fornecedores: A organização deve definir, aprovar, implementar e monitorar os controles de segurança cibernética necessários nos processos de gerenciamento de contratos e fornecedores.
  • Terceirização: A organização deve definir, implementar e monitorar os controles de segurança cibernética necessários na política e processo de terceirização.

Roteiro de CSF da SAMA

O roteiro para cumprir a CSF da SAMA envolve as seguintes etapas:

  • Entender a estrutura: Entender o objetivo da CSF da SAMA é fundamental para gerenciar os riscos de segurança cibernética no setor financeiro e implementar a estrutura. Isso também é a base para as autoavaliações regulares que as organizações devem realizar. A SAMA audita essas avaliações para garantir o nível de cumprimento da estrutura e progressão da maturidade da segurança cibernética.
  • Identificar o escopo e implementação: O diretor de segurança da informação da organização deve avaliar se é necessário cumprir a CSF da SAMA. Em caso afirmativo, ele deve determinar, implementar e documentar todos os controles obrigatórios, incluindo o seu escopo e exclusões.
  • Autoavaliação e auditoria: As organizações devem realizar autoavaliações anualmente para avaliar seu cumprimento da estrutura e maturidade da segurança cibernética. Essas avaliações são então auditadas pela SAMA para fins de validação.
  • Conformidade contínua: Manter o cumprimento contínuo da estrutura é fundamental. Isso envolve revisões, auditorias e atualizações consistentes, bem como garantir a conscientização e treinamento dos funcionários em segurança cibernética.

Em essência, atingir o cumprimento da CSF da SAMA exige um entendimento profundo da estrutura, atendimento estrito aos requisitos descritos e autoavaliação e melhoria contínuas dos controles de segurança cibernética.

Thank you for reaching out to us.

We will get back to you shortly.

Olá,

Eu sei a importância dos relatórios de conformidade pré-construídos. Você pode me ajudar a entender como automatizar o processo com uma ferramenta de gerenciamento da conformidade?
Eu sou do     e você pode entrar em contato comigo pelo e-mail
  .

Ao clicar em “Agende uma demonstração”, você concorda com o processamento de dados pessoais de acordo com a Política de Privacidade.

Melhores práticas da CSF da SAMA: Uma lista de verificação

  • Estabelecer um comitê de segurança cibernética com um gerente sênior independente no comando e criar uma função de segurança cibernética independente, com suas auditorias realizadas pela função de auditoria interna.
  • Tornar obrigatório que os funcionários cumpram a política, padrões e procedimentos de segurança cibernética e incluir responsabilidades de segurança cibernética nos contratos dos funcionários.
  • Realizar avaliações regulares de riscos de segurança cibernética considerando ativos, ameaças, controles e vulnerabilidades, documentando todos os riscos identificados em um registro central.
  • Realizar revisões e auditorias regulares nos ativos de informação da organização, incluindo revisões anuais e testes de penetração para serviços voltados para o cliente e para a Internet.
  • Formular e aplicar uma política de gerenciamento de identidades e acesso, avaliando sua eficácia periodicamente por meio de análises ou logs de sistemas.
  • Definir e implementar uma estratégia robusta de segurança cibernética, revendo-a e mantendo-a periodicamente de acordo com um processo predefinido.
  • Fornecer treinamento inicial e contínuo de conscientização sobre segurança cibernética aos funcionários.
  • Criar um processo estruturado para identificar, comunicar e cumprir as regulamentações relevantes e padrões internacionais do setor, como o PCI-DSS, EMV e SWIFT CSCF.
  • Garantir a segurança física utilizando medidas como controles de entrada, monitoramento, proteção de data centers, salas de dados e ativos de informação durante o ciclo de vida.
  • Desenvolver e implementar padrões para a segurança de aplicações e infraestrutura, gerenciamento de mudanças e descarte seguro, avaliando e monitorando o cumprimento e eficácia desses padrões regularmente.

CSF da SAMA: Principais subcategorias a serem consideradas

Controle da CSF da SAMA Code definition Recomendações de conformidade
1.3.3 Gerenciamento de ativos A organização membro deve definir, aprovar, implementar, comunicar e monitorar um processo de gerenciamento de ativos que suporte um registro de ativos preciso, atualizado e unificado.
  • Um inventário completo de todos os ativos de informação deve ser mantido.
  • Utilize soluções de software, como ferramentas de gerenciamento de ativos de TI, para automatizar o processo de inventário e rastrear o ciclo de vida de cada ativo.
1.3.5 Gerenciamento de identidades e acesso A organização membro deve restringir o acesso aos seus ativos de informação de acordo com seus requisitos de negócio com base nos princípios da “necessidade de ter” ou “necessidade de saber”.
  • Implemente o controle de acesso baseado na função (RBAC), atribuindo as permissões mínimas necessárias e limitando a duração do acesso para melhorar a segurança cibernética e minimizar o impacto potencial da violação de dados.
  • Implemente o controle de acesso just in time (JIT), concedendo privilégios necessários apenas por um determinado período, quando necessário.
1.3.6 Segurança de aplicações A organização membro deve definir, aprovar e implementar padrões de segurança cibernética para sistemas de aplicações.
  • Padrões de segurança cibernética devem ser estabelecidos e implementados para todos os sistemas de aplicações.
  • Testes de penetração regulares devem ser realizados para identificar falhas de segurança potenciais.
1.3.8 Segurança da infraestrutura A organização membro deve definir, aprovar e implementar padrões de segurança cibernética para os seus componentes de infraestrutura.
  • Implemente uma criptografia completa de disco para todos os dispositivos de armazenamento visando proteger os dados em repouso.
  • Implemente a segmentação de rede para limitar o impacto de uma possível violação.
  • Use agentes de segurança de acesso à nuvem (CASBs) para impor políticas de segurança em componentes de infraestrutura baseados na nuvem
  • Estabeleça e implemente padrões de segurança cibernética especificamente para sistemas de pagamento.
1.3.12 Sistemas de pagamento A organização membro deve definir, aprovar, implementar e monitorar um padrão de segurança cibernética para sistemas de pagamento.
  • Integre sistemas de inteligência artificial (IA) e machine learning (ML) para detectar e prevenir fraudes em pagamentos.
  • Realize auditorias regulares para monitorar o cumprimento e mensurar a eficácia.
  • Implemente a tokenização ou criptografia para dados de pagamento confidenciais.
  • Implemente um processo definido de gerenciamento de eventos de segurança.
1.3.14 Gerenciamento de eventos de segurança cibernética A organização membro deve definir, aprovar e implementar um processo de gerenciamento de eventos de segurança para analisar logs operacionais e de segurança.
  • Utilize ferramentas de gerenciamento de informações e eventos de segurança (SIEM) para uma análise centralizada e correlação de eventos.
  • Estabeleça um centro de operações de segurança (SOC) para monitoramento de eventos de segurança 24x7.
  • Assegure uma geração de logs apropriada nos seus sistemas e aplicações usando ferramentas adequadas e armazene logs de uma maneira analisável rapidamente para responder efetivamente a incidentes de segurança.
1.3.16 Gerenciamento de ameaças A organização membro deve definir, aprovar e implementar um processo de gerenciamento de inteligência sobre ameaças para identificá-las, avaliá-las e entendê-las.
  • Utilize diversas fontes confiáveis para identificação e avaliação de ameaças.
  • Integre a inteligência contra ameaças a outros controles de segurança, como firewalls e IDS, para bloquear ameaças conhecidas automaticamente.
  • Implemente um processo de gerenciamento de vulnerabilidades para aplicações e infraestrutura.
  • Implemente sistemas avançados de detecção de ameaças, como análise do comportamento de usuários e entidades (UEBA), para detectar padrões de comportamento anormais.
1.3.17 Gerenciamento de vulnerabilidades A organização membro deve definir, aprovar e implementar um processo de gerenciamento de vulnerabilidades para identificar e mitigar vulnerabilidades.
  • Implemente um processo de gerenciamento de patches para aplicar os patches e atualizações necessários regularmente.
  • Realize exercícios da equipe vermelha para simular cenários de ataque do mundo real e testar a eficácia do seu processo de gerenciamento de vulnerabilidades.
Fonte: sama.gov.sa/en-US/RulesInstructions/CyberSecurity/Cyber%20Security%20Framework.pdf

Cumpra a CSF da SAMA usando o EventLog Analyzer

O EventLog Analyzer da ManageEngine, uma solução de conformidade de TI e gerenciamento de logs de eventos, está bem-preparado para oferecer suporte ao cumprimento da CSF da SAMA. O EventLog Analyzer oferece as capacidades necessárias para identificar, analisar, responder, monitorar e revisar riscos de segurança cibernética, fortalecendo assim a postura de segurança da organização de acordo com os regulamentos de CSF da SAMA

Sob o controle da CSF da SAMA, Gerenciamento de incidentes de segurança cibernética (3.3.15), o EventLog Analyzer garante efetivamente a identificação e tratamento oportunos de incidentes de segurança cibernética. Isso é feito fornecendo relatórios completas de login de dispositivos de rede e relatórios de ataques de dispositivos de rede, oferecendo insights sobre as atividades do sistema. Desta forma, é possível identificar eventos anômalos ou suspeitos rapidamente, reduzindo significativamente o impacto potencial nos negócios.

Além disso, para o Gerenciamento de ameaças (3.3.16), o EventLog Analyzer utiliza feeds de inteligência sobre ameaças de fornecedores confiáveis, como Symantec, FireEye, Malwarebytes e McAfee. Esses feeds fornecem um entendimento completo à organização membro da postura de ameaça emergente, fundamental para prevenir violações potenciais.

O EventLog Analyzer também oferece suporte à conformidade com outras áreas-chave da CSF da SAMA, como Gerenciamento de identidades e acesso (3.3.5), fornecendo relatórios de login detalhados para garantir que apenas privilégios de acesso autorizados e suficientes sejam fornecidos aos usuários aprovados. Para a Segurança de aplicações (3.3.6) e Gerenciamento de mudanças (3.3.7), ele permite o monitoramento e gerenciamento de mudanças em ativos de informação e aplicações na organização membro.

Além disso, a solução facilita o cumprimento da Segurança de infraestrutura (3.3.8), Sistemas de pagamento (3.3.12) e Gerenciamento de vulnerabilidades (3.3.17) utilizando relatórios completos de login, ataque e configuração. O EventLog Analyzer também possibilita a identificação oportuna e mitigação eficaz de vulnerabilidades de aplicações e infraestrutura utilizando uma integração com ferramentas avaliação de vulnerabilidades como Nessus, Nexpose, Qualys, Nmap e OpenVAS.

A utilização do EventLog Analyzer pode não somente ajudar a cumprir a CSF da SAMA, mas também fortalecer a postura geral de segurança cibernética de uma organização. Ele fornece uma solução simplificada, completa e fácil de usar para gerenciar riscos de segurança cibernética e garantir a conformidade regulatória.

Simplifique os relatórios de conformidade de TI com o EventLog Analyzer
  •  
     
  • -Selecione-
Ao clicar em 'Solicitar Demo', você concorda com o processamento de dados pessoais de acordo com o Privacidade Política.
Obrigado por entrar em contato conosco.

Entraremos em contato com você em breve.

Siga-nos:
       

ManageEngine is a division of Zoho corp.

Recursos
Relacionado

Zoho Corporation Pvt. Ltd. All rights reserved.

×

Baixe o guia de conformidade

Obrigado!

Obrigado por baixar o guia de conformidade. Se você tiver alguma dúvida, envie-nos um email para support@eventloganalyzer.com