Pesquisa de site

Como cumprir o CPS 234 (atualizado para 2023)

Padrão Prudencial CPS 234 Segurança da Informação (CPS 234) é um padrão prudencial da APRA que foi lançado em resposta ao aumento dos ataques cibernéticos no setor financeiro.

A missão da Autoridade de Regulamentação Prudencial Australiana (APRA) é estabelecer e aplicar padrões de segurança prudencial projetados para garantir que, em todas as circunstâncias razoáveis, as promessas financeiras feitas por suas entidades regulamentadas sejam cumpridas em um setor de serviços financeiros estável, eficiente e competitivo.

O Padrão Prudencial da APRA CPS 234 é um desses padrões com o objetivo de garantir que uma entidade regulamentada pela APRA tome medidas para ser resiliente contra incidentes de segurança da informação (incluindo ataques cibernéticos), mantendo uma capacidade de segurança da informação compatível com vulnerabilidades e ameaças à segurança da informação.

O objetivo é minimizar a probabilidade e o impacto de incidentes de segurança da informação na confidencialidade, integridade ou disponibilidade dos ativos de informação, incluindo aqueles gerenciados por partes relacionadas ou provedores de serviços terceirizados, introduzindo requisitos de segurança (e testando a implementação de controles) para ativos de tecnologia da informação.

Saiba como o UpGuard simplifica o gerenciamento de riscos do fornecedor >

Por que o APRA CPS 234 é importante?

O CPS 234 é uma importante estrutura de segurança cibernética para empresas australianas porque foi projetado para garantir que as entidades regulamentadas pela APRA sejam resilientes a ataques cibernéticos e outros riscos de segurança. Além disso, exige que as entidades respondam em tempo hábil caso ocorra uma violação de dados notificável ou outro incidente de segurança.

Os ataques cibernéticos estão aumentando em frequência, sofisticação e impacto, com os perpetradores refinando continuamente seus esforços para comprometer sistemas, redes e informações.

As instituições financeiras são alguns dos alvos mais proeminentes devido à possível recompensa financeira (a APRA atualmente supervisiona instituições que detêm US$6,5 trilhões em ativos) e acesso às informações de identificação pessoal (PII) e informações de saúde protegidas (PHI) que possuem sobre os cidadãos australianos.

Um acelerador dessa tendência é o uso crescente de tecnologia e fornecedores terceirizados por empresas de aposentadoria, bancos e seguros que desejam melhorar a experiência do cliente e impulsionar a eficiência operacional.

Consequentemente, as partes interessadas, incluindo conselhos de administração, alta administração, acionistas, clientes e reguladores, aumentaram as expectativas para a proteção eficaz dos ativos de informação sustentados por uma cultura que promove a segurança da informação.

O CPS 234 visa reduzir o risco cibernético e melhorar a segurança cibernética, exigindo que as entidades regulamentadas pela APRA mantenham uma capacidade de segurança da informação compatível com suas vulnerabilidades e ameaças à segurança da informação e empreguem práticas de gerenciamento de risco do fornecedor para reduzir a probabilidade e o impacto de incidentes envolvendo partes relacionadas ou de terceiros.

Quem precisa cumprir o CPS 234?

O CPS 234 se aplica a todas as entidades regulamentadas pela APRA, a saber:

  • Instituições autorizadas a receber depósitos (ADIs), incluindo ADIs estrangeiras, cooperativas de crédito, bancos e holdings não operacionais autorizadas pela Lei Bancária
  • Seguradoras gerais, incluindo seguradoras da Categoria C, holdings não operacionais autorizadas pela Lei de Seguros e entidades-mãe de grupos seguradores de Nível 2
  • Empresas de vida, incluindo sociedades amigas, companhias de seguros de vida estrangeiras elegíveis e holdings não operacionais registradas sob a Lei de Seguro de Vida
  • Seguradoras de saúde privadas registradas sob a Lei PHIPS
  • Seguradoras gerais
  • Licenciados RSE sob a Lei SIS em relação às suas operações comerciais
  • Fundos de aposentadoria

Além disso, quando os ativos de informação de uma entidade regulamentada pela APRA são gerenciados por terceiros, os requisitos do CPS 234 também se aplicam a esses ativos de informação.

O CPS 234 exige que fornecedores terceirizados que processam dados de entidades regulamentadas pela APRA também cumpram o regulamento

Saiba como o recurso de relatórios do UpGuard ajuda você a rastrear a conformidade >

Quem é responsável pela conformidade com o CPS 234?

O Conselho de uma entidade regulamentada pela APRA é o responsável final pela conformidade com o CPS 234. O Conselho deve garantir que a entidade mantenha a segurança da informação de maneira proporcional ao tamanho e à extensão das ameaças aos seus ativos de informação e que permita a operação contínua da entidade.

Dito isso, o Conselho pode delegar funções e responsabilidades de segurança a subcomitês do Conselho, comitês de gerenciamento ou indivíduos. Desde que o Conselho possa delinear claramente como espera se envolver com relação à segurança da informação, incluindo escalonamento de riscos, problemas e relatórios.

Além disso, as entidades devem ter funções e responsabilidades relacionadas à segurança da informação claramente definidas do Conselho, alta administração, órgãos de governo e indivíduos responsáveis pela tomada de decisões, aprovação, supervisão, operações e outras funções de segurança da informação.

Isso normalmente é alcançado por meio de uma combinação de declarações de função, declarações de políticas, linhas de subordinação e estatutos de órgãos governamentais. Órgãos governamentais comuns e indivíduos com tomada de decisão, aprovação, supervisão, operações e outras funções e responsabilidades de segurança da informação incluem:

  • Comitê de direção/supervisão de segurança da informação
  • Comitê de gerenciamento de riscos (níveis de diretoria e gestão)
  • Comitê de auditoria do conselho
  • Comitê de gestão executiva
  • Diretor de Informações (CIO)
  • Diretor de Segurança da Informação (CISO)
  • Gerente de TI
  • Gerente de Segurança de TI
  • Operações de segurança da informação/equipe de administração
  • Gestão (negócios e TI)

Esses comitês e indivíduos geralmente estão localizados em unidades de negócios separadas, dentro da função de TI e em partes relacionadas e de terceiros. Isso pode resultar em falta de propriedade, responsabilidades pouco claras, supervisão ineficaz e fragmentação das práticas.

Para resolver essas questões, deve-se empregar uma delimitação clara das responsabilidades de cada área e medidas de segurança compensatórias.

Além disso, o Conselho, os órgãos diretivos e os indivíduos devem definir seus requisitos de informação (por exemplo, cronograma, formato, escopo e conteúdo) para garantir que recebam informações suficientes e oportunas para desempenhar efetivamente suas funções e responsabilidades.

Isso deve incluir conteúdo quantitativo e qualitativo. Para públicos não técnicos, as informações e métricas técnicas devem ser complementadas com análises temáticas apropriadas e comentários sobre as implicações comerciais.

Isso deve ser apoiado por caminhos e limites de escalonamento definidos, juntamente com um processo para revisar periodicamente a relevância e a adequação do público para uso.

Para obter orientações adicionais além deste guia, recomendamos a leitura do Guia de Práticas Prudenciais CPG 234 Segurança da Informação.

Quais são os principais requisitos do CPS 234?

O CPS 234 exige que as entidades regulamentadas pela APRA:

  • Defina claramente as funções e responsabilidades relacionadas à segurança da informação do Conselho, da alta administração, dos órgãos de governo e dos indivíduos
  • Manter uma capacidade de segurança da informação proporcional ao tamanho e à extensão das ameaças aos seus ativos de informação e que permita a operação contínua da entidade
  • Implementar controles para proteger seus ativos de informação proporcionais à criticidade e confidencialidade desses ativos de informação e realizar testes sistemáticos e garantia sobre a eficácia desses controles
  • Notifique a APRA sobre incidentes materiais de segurança da informação
>

Esses requisitos principais podem ser divididos em oito categorias, a saber:

  1. Capacidade de segurança da informação
  2. Quadro político
  3. Identificação e classificação de ativos de informação
  4. Implementação de controles de segurança da informação
  5. Gerenciamento de incidentes
  6. Testando a eficácia do controle
  7. Auditoria interna
  8. Notificação APRA

Os requisitos do CPS 234 foram projetados para se alinhar aos padrões de segurança da ISO 27001, portanto, se você já implementou a ISO 27001, a conformidade com o CPS 234 deve ser mais fácil.

Como cumprir os principais requisitos do CPS 234

O UpGuard capacita as organizações a definir claramente as funções e responsabilidades de toda a equipe de segurança para garantir a implantação eficiente de esforços de correção para todos os ativos de informação.

Com a funcionalidade de relatórios executivos do UpGuard, um relatório abrangente pode ser gerado instantaneamente para a APRA para mantê-los informados sobre todos os seus esforços de melhoria da postura de segurança.

Obtenha uma avaliação gratuita do UpGuard >

Quais são os requisitos de capacidade de segurança da informação do CPS 234?

O CPS 234 exige que as entidades regulamentadas pela APRA:

  • Manter uma capacidade de segurança da informação proporcional ao tamanho e extensão das ameaças aos seus ativos de informação, o que permite a operação contínua da entidade
  • Avaliar as capacidades de segurança da informação de empresas relacionadas ou de terceiros que gerenciam ativos de informação em nome da entidade, de acordo com as possíveis consequências de um incidente de segurança da informação que afete esses ativos
  • Manter ativamente sua capacidade de segurança da informação com relação a mudanças em vulnerabilidades e ameaças à segurança, incluindo aquelas resultantes de alterações nos ativos de informação ou no ambiente de negócios

Para atender a esses requisitos, as entidades regulamentadas pela APRA normalmente revisariam a adequação dos recursos, incluindo financiamento e pessoal, acesso oportuno aos conjuntos de habilidades necessários e a abrangência do ambiente de controle.

Os controles típicos podem incluir:

  • Gerenciamento de vulnerabilidades e ameaças, incluindo consciência situacional e inteligência
  • Operações e administração de segurança da informação
  • Design, arquitetura e consultoria seguros
  • Testes de segurança, incluindo testes de penetração
  • Relatórios e análises de segurança da informação
  • Detecção e resposta a incidentes, incluindo recuperação, notificação e comunicação
  • Investigação de segurança da informação, incluindo preservação de evidências e análise forense
  • Garantia de segurança da informação

Além disso, as entidades também devem entender a suficiência de recursos, habilidades e controles de terceiros e partes relacionadas, incluindo a consideração de acordos de subcontratação e terceirização (risco de quarta parte).

Isso pode ser alcançado por meio de uma combinação de entrevista, relatórios de serviço, testes de controle, certificações, atestados (por exemplo, SOC 2), encaminhamentos e avaliações de garantia independentes.

Como o CPS 234 exige que as entidades mantenham ativamente sua capacidade de segurança da informação, as entidades devem adotar uma abordagem adaptativa e voltada para o futuro, incluindo investimento contínuo em recursos, habilidades e controles. Isso pode ser informado por vulnerabilidades e ameaças de segurança da informação existentes e emergentes, práticas contemporâneas do setor, incidentes de segurança da informação (internos e externos) e problemas conhecidos de segurança da informação.

Como cumprir os requisitos de capacidade de segurança da informação do CPS 234

O UpGuard monitora continuamente toda a superfície de ataque, tanto interna quanto em toda a rede do fornecedor, para ajudar as organizações a gerenciar ameaças e corrigir vulnerabilidades com eficiência.

O UpGuard também mitiga os riscos de terceiros e de terceiros com avaliações de risco direcionadas, juntamente com a detecção e correção de vazamento de dados do fornecedor.

Obtenha uma avaliação gratuita do UpGuard >

Quais são os requisitos da política de segurança da informação do CPS 234?

De acordo com o CPS 234, as entidades regulamentadas pela APRA são obrigadas a manter uma estrutura de política de segurança da informação proporcional à sua exposição a vulnerabilidades e ameaças. Esta política deve fornecer orientação sobre as responsabilidades de todas as partes que têm a obrigação de manter a segurança da informação, incluindo órgãos governamentais, funcionários, contratados, consultores, partes relacionadas, terceiros e clientes.

Normalmente, essa estrutura é estruturada como uma hierarquia, com políticas de nível superior apoiadas por padrões, diretrizes e procedimentos subjacentes. As áreas comuns abordadas na estrutura política incluem:

  • Identificação, autorização e concessão de acesso a ativos de informação (controle de acesso)
  • O gerenciamento do ciclo de vida garante que os requisitos de segurança da informação sejam considerados em cada estágio, desde o descomissionamento e aquisição até o descomissionamento e destruição
  • Gerenciamento de soluções de tecnologia de segurança da informação, incluindo firewalls, software antimalware, software de detecção/prevenção de intrusão, sistemas criptográficos e ferramentas de monitoramento/análise de log
  • Definição de uma arquitetura abrangente de segurança da informação delineando a abordagem para projetar o ambiente de TI de uma perspectiva de segurança
  • Monitoramento e gerenciamento de incidentes para abordar a identificação e classificação de incidentes, diretrizes de relatórios e escalonamento, preservação de evidências e o processo de investigação
  • Expectativas com relação à manutenção da segurança da informação quando se utiliza de terceiros e partes relacionadas
  • Uso aceitável de ativos de informação que definem responsabilidades dos usuários finais, incluindo funcionários, terceiros, partes relacionadas e clientes
  • Recrutamento e verificação de funcionários e contratados
  • Funções e responsabilidades de segurança da informação
  • Controles físicos e ambientais
  • Mecanismos para avaliar a conformidade e a eficácia contínua da estrutura da política de segurança da informação.

Essa estrutura de política normalmente seria consistente com outras estruturas de entidade, como gerenciamento de risco, gerenciamento de provedor de serviços e gerenciamento de projetos.

Além disso, as entidades devem incluir uma política de isenção que defina os requisitos de registro, autorização e duração. Normalmente, tratar-se-ia de um registo que detalha a natureza, a fundamentação e a data de expiração das isenções.

Isso permite que as entidades revisem e avaliem a adequação dos controles de compensação tanto inicialmente quanto continuamente.

Finalmente, a política deve ser avaliada periodicamente para determinar sua eficácia e integridade, e ajustes devem ser feitos para garantir sua eficácia contínua quando necessário.

Como cumprir os requisitos da política de segurança da informação do CPS 234

O UpGuard é uma solução completa de gerenciamento de ameaças de ponta a ponta que permite que as empresas detectem e resolvam instantaneamente vulnerabilidades que podem ser exploradas por cibercriminosos.

Com o criador de questionários personalizados do UpGuard, as organizações podem criar avaliações contextualizadas para avaliar a conformidade com a estrutura da política de segurança da informação.

Obtenha uma avaliação gratuita do UpGuard >

Quais são os requisitos de identificação e classificação de ativos de informação do CPS 234?

As entidades regulamentadas pela APRA devem classificar os ativos de informação, incluindo aqueles gerenciados por partes relacionadas e terceiros por criticidade e sensibilidade.

Isso inclui infraestrutura, sistemas auxiliares, como sistemas de controle ambiental e sistemas de controle de acesso físico, bem como ativos de informação gerenciados por terceiros e partes relacionadas.

As inter-relações entre ativos de informação, incluindo aqueles que não são intrinsecamente críticos ou sensíveis, mas podem ser usados para comprometer ativos de informação críticos ou sensíveis.

Além disso, tal deve refletir o grau em que os incidentes de segurança da informação têm o potencial de afetar, financeira ou não financeiramente, a entidade ou os interesses dos depositantes, tomadores de seguros, beneficiários ou outros clientes.

Para fornecer clareza às partes interessadas internas e externas, as entidades devem manter uma metodologia de classificação que forneça contexto sobre o que constitui ativos de informação, considerações de granularidade e o método para classificar a criticidade e a sensibilidade. É importante observar que os ativos podem ter uma classificação diferente para criticidade e sensibilidade.

Cabe à entidade determinar se deve avaliar os ativos de informação em um nível granular ou agregado caso a caso. Dito isto, quando uma entidade optou por agregar uma série de componentes subjacentes num único ativo, a notação de criticidade e sensibilidade desse ativo herdaria normalmente a notação de criticidade e sensibilidade dos componentes constituintes com a notação mais elevada.

Para ajudar com isso, as entidades geralmente empregam um repositório de inventário de ativos de informações, como um banco de dados de gerenciamento de configuração (CMBD) para registrar e mapear inter-relações com outros ativos.

Por fim, é comum que as entidades aproveitem suas análises de impacto de continuidade de negócios existentes para avaliar a criticidade e outros processos para avaliar a sensibilidade.

Como cumprir os requisitos de identificação e classificação de ativos de informação do CPS 234

O UpGuard classifica instantaneamente a criticidade de todas as vulnerabilidades descobertas para que os esforços de correção possam ser distribuídos com eficiência. Esse recurso se estende a todos os fornecedores terceirizados e seus ativos de informação.

Obtenha uma avaliação gratuita do UpGuard >

Quais são os requisitos de controle de segurança da informação do CPS 234?

De acordo com o CPS 234, as entidades regulamentadas pela APRA devem implementar controles de segurança da informação para proteger os ativos de informação, incluindo aqueles gerenciados por terceiros ou relacionados, em tempo hábil e proporcional a:

  • Vulnerabilidades e ameaças existentes e emergentes a ativos de informações críticas e confidenciais
  • Estágio do ciclo de vida dos ativos de informação
  • Possíveis consequências de um incidente de segurança da informação

Como cumprir os requisitos de controle de segurança da informação do CPS 234

O UpGuard monitora ativos de informações internas e de terceiros para detectar e corrigir vulnerabilidades críticas que podem expor dados confidenciais.

Esse nível de proteção de dados se estende por todo o ciclo de vida dos ativos de informação para evitar exposições negligenciadas em todos os estágios do desenvolvimento dos negócios.

Obtenha uma avaliação gratuita do UpGuard >

Tipos de controles de segurança da informação

Controles de Vulnerabilidades e Ameaças

As entidades regulamentadas pela APRA devem garantir que as vulnerabilidades de segurança e ameaças cibernéticas existentes e emergentes, especialmente aquelas relacionadas a ativos de informações críticas e confidenciais, sejam identificadas, avaliadas e corrigidas em tempo hábil.

Isso inclui aqueles que não são críticos ou confidenciais, mas podem ser usados para expor ativos de informações críticas ou confidenciais.

Para fazer isso, as entidades normalmente:

  • Implementar mecanismos que acessam e analisam feeds de inteligência de ameaças em relação a vulnerabilidades, ameaças, métodos de ataque e contramedidas
  • Envolver-se com as partes interessadas (incluindo governo, colegas do setor e clientes) em relação a ameaças e contramedidas
  • Desenvolver atividades de correção tática e estratégica proporcionais à ameaça
  • Implemente mecanismos para interromper as transições entre as fases do ataque

Um aspecto importante, mas muitas vezes negligenciado, do gerenciamento de vulnerabilidades é minimizar as vulnerabilidades e, ao mesmo tempo, manter a capacidade de suporte. Muitas vulnerabilidades exploráveis surgem de hardware e software desatualizados ou com suporte limitado ou inexistente (seja gerenciado internamente ou por terceiros ou partes relacionadas).

Um exemplo bem conhecido é o exploit de dia zero Eternal Blue que resultou na disseminação do worm ransomware WannaCry.

Para reduzir esse risco, as entidades devem desativar os sistemas:

  • Isso não pode ser atualizado à medida que novas vulnerabilidades ou ameaças de segurança são identificadas
  • Onde o uso de controles de mitigação, como segregação, não é uma opção

Ao considerar a implementação de uma nova tecnologia, as entidades só devem autorizar seu uso em ambiente de produção quando a tecnologia tiver:

  • Um conjunto geralmente acordado de controles aceitos pelo setor para gerenciar sua segurança
  • Controles de compensação suficientes para reduzir o risco residual com seu apetite ao risco

Para facilitar isso, muitas entidades desenvolvem um processo de autorização de tecnologia e mantêm um registro de tecnologia aprovado.

Controles de gerenciamento do ciclo de vida

Isso geralmente significa alocar a responsabilidade e a prestação de contas de um ativo de informação a um proprietário de ativo de informação, normalmente um local individual dentro da função de negócios mais dependente do ativo.

Os controles de planejamento e design são a primeira fase do ciclo de vida do ativo de informação, normalmente em vigor para garantir que a segurança da informação seja incorporada desde o início e normalmente esteja em conformidade com a estrutura de política de segurança da informação da entidade.

Para evitar que a introdução de novos ativos de informação comprometa os ativos existentes, normalmente existem controles de aquisição e implementação. Normalmente, os controles contínuos de suporte e manutenção estão em vigor para garantir que os ativos continuem atendendo aos requisitos de segurança da informação, como:

  • Gerenciamento de mudanças: a segurança da informação faz parte dos processos de gerenciamento de mudanças e o inventário de ativos é mantido atualizado
  • Gerenciamento de configuração: a configuração dos ativos de informação minimiza as vulnerabilidades e é definida, avaliada, registrada, mantida, aplicada constantemente e, quando necessário, atualizada para mitigar novas vulnerabilidades e ameaças à medida que são descobertas
  • Gerenciamento de implantação e ambiente: os ambientes de desenvolvimento, teste e produção são segregados e a segregação de funções é imposta
  • Gerenciamento de acesso: somente usuários, software e hardware autorizados podem acessar ativos confidenciais
  • Ativos de hardware e software: a autorização apropriada é usada para evitar ataques de escalonamento de privilégios e comprometimentos de segurança de ativos de hardware e software não autorizados
  • Projeto de rede: apenas fluxos de tráfego de rede autorizados, reduzindo o impacto de comprometimentos de segurança
  • Gerenciamento de vulnerabilidades: as vulnerabilidades de segurança são identificadas e tratadas em tempo hábil
  • Gerenciamento de patches: a avaliação e a aplicação de patches e outras atualizações para vulnerabilidades conhecidas, como as listadas no CVE, são aplicadas em tempo hábil
  • Contratos de nível de serviço: ajudam a monitorar, gerenciar e alinhar a segurança das informações com os objetivos de negócios
  • Monitoramento contínuo: Para a detecção oportuna de comprometimentos à segurança da informação
  • Resposta: Os incidentes de segurança cibernética são respondidos e mecanismos de feedback estão em vigor para resolver as deficiências de controle
  • Gerenciamento de capacidade e desempenho: garante que a disponibilidade não seja comprometida pelo volume de negócios atual ou projetado
  • Gerenciamento de provedores de serviços: garante que os relacionados e terceiros atendam aos requisitos de segurança da informação da entidade

Por fim, os controles de descomissionamento e destruição garantem que a segurança das informações não seja comprometida quando os ativos chegam ao fim de sua vida útil. Os controles incluem estratégias de arquivamento e exclusão segura de dados de informações confidenciais antes do descarte de ativos físicos.

Tal como acontece com outras práticas de segurança da informação, as entidades devem avaliar regularmente a integridade de seus controles, comparando-se com seus pares e práticas contemporâneas do setor.

Os controles de gerenciamento do ciclo de vida são particularmente importantes para o software desenvolvido/configurado pelo usuário final que tem o objetivo de automatizar os processos de negócios do dia-a-dia ou facilitar a tomada de decisões. Como tal, as entidades devem introduzir processos para identificar e classificar o software desenvolvido pelo usuário final/configurar e avaliar as exposições ao risco.

Controles Físicos e Ambientais

A ausência de controles físicos e ambientais pode comprometer a eficácia de controles de segurança da informação bem informados. Como tal, as entidades regulamentadas pela APRA normalmente têm os seguintes controles físicos e ambientais em vigor:

  • Localização e instalações prediais que fornecem proteção contra ameaças naturais e artificiais, como diversidade de acesso a serviços públicos essenciais, como energia e Internet, bem como mecanismos de recurso em caso de falha (por exemplo, geradores e pontos de acesso sem fio)
  • Controles de acesso físico que protegem o perímetro do local, a sala de dados do edifício e os racks de computação, como portões, fechaduras e procedimentos para conceder e revisar o acesso de funcionários, provedores terceirizados e visitantes
  • Controles ambientais, como ventilação, ar condicionado e sistemas de supressão de incêndio
  • Mecanismos de monitoramento e alerta que detectam incidentes de segurança da informação onde os controles físicos e ambientais falharam, como sensores/alarmes de temperatura, umidade, água, fumaça, acesso não autorizado e alertas de disponibilidade de serviço

Controles de gerenciamento de mudanças

Os controles comuns de gerenciamento de mudanças incluem:

  • Testes de segurança para identificar vulnerabilidades e confirmar que os requisitos de segurança da informação foram atendidos
  • Aprovação de alterações antes da implantação em produção
  • Segregação de funções entre o pessoal que realiza uma mudança e aqueles que implementam a mudança
  • As alterações são desenvolvidas e verificadas em um ambiente de não produção para evitar comprometimento
  • Os requisitos de segurança da informação são validados antes da implantação
  • Os dados confidenciais de produção são dessensibilizados quando usados para fins de desenvolvimento e teste

Controles de segurança de software

As entidades regulamentadas pela APRA normalmente implementam técnicas seguras de desenvolvimento e aquisição de software para garantir que o software:

  • Funciona como pretendido, independentemente de circunstâncias imprevistas
  • Tem uma propensão reduzida a ser mal utilizado intencionalmente ou acidentalmente
  • Está em conformidade com a estrutura de política de segurança da informação da entidade

Controles de vazamento de dados

As entidades regulamentadas pela APRA normalmente têm controles de vazamento de dados proporcionais à confidencialidade dos dados, incluindo:

  • Autorização, registo e revisão periódica dos utilizadores e dos mecanismos e dispositivos de transferência associados, incluindo impressoras, dispositivos portáteis de armazenamento, dispositivos informáticos portáteis, mecanismos eletrónicos de transferência e equipamento de conferência
  • Bloqueio, filtragem e monitoramento adequados de mecanismos de transferência eletrônica, sites e impressão
  • Aumento do escrutínio de usuários com níveis mais altos de acesso
  • Criptografia, limpeza e auditoria apropriadas de dispositivos
  • Monitoramento de software e hardware não autorizados (por exemplo, spyware, software de quebra de senha, pontos de acesso sem fio)
  • Remoção apropriada de dados confidenciais após a conclusão dos testes de recuperação

Em suma, o acesso a dados sensíveis (por exemplo, bancos de dados de clientes ou propriedade intelectual) deve ser altamente restrito para reduzir o risco de vazamento de dados.

Os alvos comuns incluem:

  • Detalhes do cartão de crédito ou débito
  • Roubo de informações de identificação pessoal (PII) ou informações de saúde protegidas (PHI)
  • Mídia de backup não criptografada

Como cumprir os requisitos de controle de vazamento de dados

Ao contrário das soluções convencionais de gerenciamento de vazamento de dados, o UpGuard é capaz de detectar e remediar vazamentos de dados de fornecedores, bem como aqueles decorrentes de recursos internos.

Essa solução proprietária é apoiada por uma equipe de especialistas em segurança cibernética que podem detectar vazamentos de dados em seu nome e revisá-los para eliminar todos os falsos positivos.

Assista ao vídeo abaixo para obter uma visão geral dos recursos de detecção de vazamento de dados do UpGuard.

Obtenha uma avaliação gratuita do UpGuard >

Controles criptográficos

As técnicas criptográficas devem ser usadas como uma forma de controle de acesso a dados confidenciais armazenados e em trânsito, com a força da criptografia proporcional à sensibilidade e criticidade dos dados e controles suplementares ou de compensação.

Em geral, deve ser utilizada uma abordagem de extremo a extremo quando a encriptação é aplicada desde o ponto de entrada até ao destino final, a fim de minimizar o risco de exposição.

Controles de tecnologia

Se for caso disso, devem ser implantados controlos tecnológicos, tais como firewalls, controlo de acesso à rede, dispositivos de deteção/prevenção de intrusão, antimalware, encriptação e monitorização ou ferramentas de análise de registos.

A dependência das entidades em soluções tecnológicas depende de:

  • Diretrizes que descrevem quando soluções tecnológicas específicas devem ser usadas
  • Padrões que documentam os objetivos e requisitos detalhados de soluções de tecnologia individuais
  • Autorização de indivíduos que possam fazer alterações em soluções tecnológicas, levando em consideração a segregação de funções
  • Avaliação regular da configuração de uma solução de tecnologia específica, eficácia contínua e identificação de qualquer acesso ou modificação não autorizada
  • Revisão periódica da prática do setor e benchmarking em relação aos pares
  • Técnicas de detecção implantadas para fornecer um alerta se a solução de tecnologia não estiver funcionando conforme projetado

Controles de terceiros e partes relacionadas

As entidades regulamentadas pela APRA devem avaliar o design dos controles de segurança da informação de terceiros e partes relacionadas.

Isso pode ser alcançado por meio de uma combinação de entrevista, pesquisa, teste de controle, certificações, revisão contratual, atestados e avaliações de garantia independentes.

Uma vez identificados os controles, eles devem ser comparados aos controles comuns do setor, aos controles internos da entidade e aos ativos de informação envolvidos.

Além disso, a entidade deve entender se os acordos de subcontratação ou terceirização são permitidos nos acordos e, em caso afirmativo, é necessário estar ciente das mudanças nos serviços que terceiriza.

Normalmente, as considerações de segurança da informação devem ser capturadas como obrigações contratuais com acordos de supervisão.

Como cumprir os requisitos de controle de terceiros e partes relacionadas

A UpGuard oferece uma solução de TPRM que inclui avaliações de risco de terceiros e controles de correção que podem ser dimensionados de forma eficiente com o suporte de uma equipe especializada em segurança cibernética.

Com visibilidade contínua do cenário de ameaças do fornecedor, as organizações podem se manter informadas sobre a resiliência de todos os controles de segurança de terceiros.

Obtenha uma avaliação gratuita do UpGuard >

Minimizando as consequências dos incidentes de segurança da informação

As entidades regulamentadas pela APRA devem considerar eventos de baixa probabilidade e impacto extremo (financeiros ou não financeiros) que possam ameaçar sua capacidade contínua de cumprir suas obrigações, como:

  • Atos maliciosos de um insider com alto privilégio, potencialmente envolvendo conluio com partes internas ou externas
  • Exclusão ou corrupção de dados de produção e backup, seja por intenção maliciosa, erro do usuário ou mau funcionamento do sistema
  • Perda ou acesso não autorizado a chaves de criptografia para ativos de informações extremamente críticos ou confidenciais

Compreender esses piores cenários plausíveis pode ajudar as entidades a identificar e implementar controles adicionais para prevenir ou reduzir o impacto de tais eventos.

Quais são os requisitos de gerenciamento de incidentes do CPS 234?

De acordo com o CPS 234, as entidades regulamentadas pela APRA devem ter mecanismos robustos para detectar e responder a incidentes de segurança da informação em tempo hábil.

Os mecanismos de detecção geralmente incluem soluções de varredura, detecção, monitoramento e registro.

A força e a natureza desses controles dependerão do impacto de um possível incidente de segurança, geralmente abrangendo um amplo conjunto de eventos, desde hardware físico até atividades de negócios de ordem superior, como pagamentos e alterações no acesso do usuário.

As técnicas comuns incluem:

  • Perfil de rede e usuário para o comportamento normal da linha de base
  • Verificação de hardware, software e alterações não autorizadas nas configurações
  • Sensores que fornecem um alerta quando uma medida ultrapassa um limite definido (por exemplo, atividade de rede)
  • Registro e alerta de acesso a dados confidenciais ou tentativas de login malsucedidas
  • Aumentando o monitoramento para usuários com níveis mais altos de acesso

Deve haver uma atribuição clara de responsabilidades para os processos de monitorização, com instrumentos adequados para a sua deteção atempada.

Além disso, as entidades devem manter planos de resposta a incidentes para responder a incidentes de segurança da informação que possam ocorrer de forma plausível, incluindo mecanismos para:

  • Gerenciar todos os estágios relevantes de um incidente, desde a detecção até a revisão pós-incidente
  • Escalonamento e relatórios ao Conselho, outros órgãos governamentais e indivíduos responsáveis pelo gerenciamento e supervisão de incidentes de segurança da informação, conforme apropriado
  • Revisar e testar anualmente os planos de resposta à segurança da informação para garantir que permaneçam eficazes e adequados à finalidade

Incidentes comuns de segurança da informação incluem:

  • Infecções por malware (por exemplo, vírus ou ransomware)
  • Violações de dados (dados internos ou do cliente)
  • Comprometimento das credenciais da equipe ou do cliente (por exemplo, como resultado de falsificação de e-mail, phishing ou spear phishing)
  • Ataques de negação de serviço
  • Desfiguração do site
  • Ataques de escalonamento de privilégios

O nível de detalhe dos planos de resposta deve ser suficiente para minimizar a quantidade de tomada de decisão necessária, fornecer clareza sobre funções e responsabilidades e fornecer mecanismos para gerenciar todos os estágios relevantes de um incidente, incluindo:

  • Detecção de um evento de segurança da informação por meio do uso de sensores automatizados e revisão manual
  • Identificação e análise para determinar se é um incidente ou evento
  • Escalonamento para garantir que os tomadores de decisão estejam cientes do incidente e possam acionar processos de resposta a incidentes
  • Contenção para minimizar os danos causados e o potencial de danos futuros
  • Erradicação da origem do comprometimento (normalmente malware)
  • Etapas de resposta e recuperação para retornar aos negócios como de costume
  • Análise e revisão pós-incidente para reduzir o risco de eventos semelhantes no futuro

Os planos de resposta a incidentes devem ser revisados anualmente e testados para garantir que permaneçam eficazes e adequados à finalidade.

Adicionalmente, as entidades devem procurar formalizar os seus papéis e responsabilidades, de terceiros e de partes relacionadas em situações que exijam colaboração e coordenação entre si.

Finalmente, as entidades que confiam na segurança da informação de terceiros ou relacionados devem buscar evidências dos testes periódicos da parte de seus próprios planos de resposta a incidentes.

Este trabalho pode ser apoiado pela continuidade das atividades, gestão de crises, planos de continuidade e planos de recuperação.

Como cumprir os requisitos de gerenciamento de incidentes do CPS 234

O UpGuard combina detecção de ameaças com gerenciamento de correção para ajudar as equipes de segurança a responder rapidamente a ameaças internas e de terceiros.

Obtenha uma avaliação gratuita do UpGuard >

Quais são os requisitos de teste de controle do CPS 234?

De acordo com o CPS 234, as entidades regulamentadas pela APRA devem testar a eficácia dos controles de segurança da informação por meio de um programa de testes sistemáticos cuja natureza e frequência sejam proporcionais a:

  • Taxa na qual as vulnerabilidades e ameaças mudam
  • Criticidade e sensibilidade do ativo de informação
  • Consequências de um incidente de segurança da informação
  • Riscos associados à exposição a ambientes em que a entidade não consegue aplicar suas políticas de segurança da informação
  • Materialidade e frequência de alteração nos ativos de informação

Dito isso, a APRA considera que os controles de segurança são testados pelo menos anualmente, ou sempre que houver uma mudança material nos ativos de informação ou no ambiente de negócios, a fim de validar se os controles permanecem eficazes.

É importante que os critérios de sucesso para os testes sejam claramente definidos, incluindo as circunstâncias em que seria necessário um novo teste. Os resultados dos testes devem ser escalados e relatados ao Conselho ou à alta administração, com as ações de acompanhamento associadas formalmente rastreadas e relatadas em tempo hábil.

Finalmente, os testes devem ser conduzidos por especialistas adequadamente qualificados e funcionalmente independentes que possam fornecer uma avaliação suficientemente livre de vieses dos controles.

Como cumprir os requisitos de teste de controle do CPS 234

O UpGuard facilita um fluxo de comunicação consistente entre as empresas e os controles de segurança da informação de seus fornecedores.

Isso é obtido harmonizando classificações de segurança, avaliações de risco e detecção de vulnerabilidades e vazamento de dados de terceiros.

Obtenha uma avaliação gratuita do UpGuard >

Quais são os requisitos de auditoria interna do CPS 234?

A auditoria interna é um veículo importante pelo qual o Conselho pode obter garantia de que a segurança da informação é mantida.

Essa garantia geralmente é alcançada por meio da inclusão da segurança da informação nas atividades de auditoria interna da entidade e de uma revisão do design e da eficácia operacional dos controles de segurança da informação, incluindo aqueles mantidos por terceiros e relacionados.

A garantia do controle de segurança da informação deve ser fornecida por pessoal devidamente qualificado para fornecer tal garantia.

Além disso, a função de auditoria interna deve avaliar a garantia de controle de segurança da informação fornecida por terceiros ou relacionados quando:

  • Um incidente de segurança da informação que afete ativos de informação tem o potencial de afetar materialmente, financeira ou não financeiramente, a entidade ou os interesses de depositantes, segurados, beneficiários ou outros clientes
  • A auditoria interna pretende contar com a garantia de controle de segurança da informação fornecida pela parte relacionada ou por terceiro

Se a avaliação identificar deficiências ou nenhuma garantia estiver disponível, a questão é normalmente levantada com o Conselho para consideração.

Quando a APRA deve ser notificada sob o CPS 234?

A APRA deve ser notificada o mais rápido possível e no máximo 72 horas após uma entidade tomar conhecimento de um incidente de segurança da informação que:

  • afetaram materialmente, ou tiveram o potencial de afetar significativamente, financeira ou não financeiramente, a entidade ou os interesses dos depositantes, tomadores de seguros, beneficiários ou outros clientes
  • foi notificado a outros reguladores na Austrália ou em outras jurisdições

A APRA espera que as seguintes informações sejam fornecidas:

  • Nome da entidade regulamentada pela APRA
  • Data e hora/período do incidente
  • Data e hora em que o incidente foi avaliado como material
  • Tipo de incidente
  • Descrição do incidente
  • Status atual do incidente
  • Medidas de atenuação tomadas ou planeadas (quando disponíveis)

Além disso, a APRA deve ser notificada o mais rápido possível e no máximo 10 dias úteis após a entidade tomar conhecimento de uma falha material no controle de segurança da informação, que a entidade não espera remediar em tempo hábil. A APRA espera que as seguintes informações sejam fornecidas:

  • Nome da entidade regulamentada pela APRA
  • Data e hora em que a fraqueza de controle foi avaliada como material
  • Descrição da fraqueza do controle
  • Status atual da fraqueza de controle
  • Ações de mitigação tomadas ou planejadas

Essas fraquezas materiais de controle podem ser identificadas por meio de testes de controle, atividades de garantia, incidentes de segurança da informação (externos ou internos), notificação de vulnerabilidade por fornecedores de software e hardware e outras formas de notificação por terceiros relacionados ou terceiros.

O UpGuard Vendor Risk pode minimizar a quantidade de tempo que sua organização gasta avaliando controles de segurança da informação relacionados e de terceiros, automatizando questionários de fornecedores e fornecendo modelos de questionários de fornecedores que mapeiam os requisitos do CPS 234.

Podemos ajudá-lo a monitorar continuamente os controles de segurança externos de seus fornecedores e fornecer uma classificação de segurança imparcial com base em 70+ vetores de ataque críticos, incluindo:

  • Suscetibilidade a ataques man-in-the-middle
  • Certificados SSL/TLS inseguros
  • Configurações de SPF, DKIM e DMARC
  • Segurança de transporte estrita HTTP (HSTS)
  • Falsificação de e-mail e risco de phishing
  • Vulnerabilidades
  • Suscetibilidade a malware
  • Portas abertas desnecessárias de administração, banco de dados, aplicativo, e-mail e compartilhamento de arquivos
  • Exposição a violações de dados conhecidas e vazamentos de dados
  • Software vulnerável
  • Acessibilidade HTTP
  • Configuração segura de cookies
  • Resultados de questionários de segurança inteligentes

Nossa experiência foi apresentada em jornais como The New York Times, The Wall Street Journal, Bloomberg, The Washington Post, Forbes, Reuters e TechCrunch. Você também pode ler mais sobre o que nossos clientes estão dizendo nas avaliações do Gartner.

Assista ao vídeo abaixo para obter uma visão geral dos recursos de relatórios de conformidade do UpGuard.