As empresas têm mais dados e ativos digitais do que nunca, e o panorama empresarial de Singapura está repleto de fornecedores de serviços em nuvem e centros de dados para apoiar as organizações no armazenamento dos seus dados e fornecer aplicações e software para gerir as suas operações. O tempo de inatividade do sistema ou a perda de dados por um fornecedor de serviços em nuvem ou centro de dados pode ter um impacto significativo na capacidade de uma organização fornecer os seus produtos e serviços. É por isso que a Infocomm Media Development Authority (IMDA) introduziu novas diretrizes consultivas tanto para fornecedores de serviços em nuvem como para centros de dados.

Embora esta orientação ainda não seja obrigatória, é aconselhável que os fornecedores de serviços em nuvem e os centros de dados em Singapura alinhem os seus processos com as diretrizes consultivas para garantir que fornecem serviços fiáveis que protegem os dados dos clientes. Neste blog, analisamos o que as novas orientações significam tanto para os fornecedores de serviços em nuvem como para os centros de dados e detalhamos como pode implementar processos de melhores práticas para a gestão de riscos cibernéticos, gestão de incidentes cibernéticos, governança e controlos para se alinhar com os requisitos.

 

Quais são as diretrizes consultivas da IMDA para fornecedores de serviços em nuvem?
As diretrizes consultivas da IMDA para fornecedores de serviços em nuvem foram concebidas para se alinharem com as normas de segurança de TI existentes, como a ISO 22301 e a ISO 27001. Estão divididas em 7 áreas de foco principais:

  1. Medidas de Governança em Nuvem: Esta secção abrange a gestão da segurança da informação, funções e responsabilidades, gestão de riscos, risco de terceiros, conformidade regulamentar, governança de dados, políticas de utilização aceitável, implementação de um SGSI, gestão de incidentes cibernéticos e implementação de controlos de governança de dados, etc.
  2. Segurança da Infraestrutura em Nuvem: Esta secção descreve medidas relativas ao registo de auditorias, rastreamento de utilizadores e acesso de segurança. Também fornece orientações sobre configuração segura de controlo de segurança, testes de segurança, desenvolvimento de sistemas e encriptação.
  3. Gestão de Operações em Nuvem: Esta secção partilha medidas relativas a operações, controlo de segurança, políticas, procedimentos, medidas de resiliência e gestão de mudanças.
  4. Administração de Serviços em Nuvem: Esta secção estipula orientações sobre a gestão de contas privilegiadas através da implementação de controlos e processos de governança.
  5. Acesso do Cliente ao Serviço em Nuvem: Esta secção inclui medidas relativas aos controlos de acesso do utilizador para clientes que exigem a implementação de controlos, políticas e procedimentos de governança.
  6. Isolamento de Inquilinos e Clientes: Esta secção inclui medidas relativas ao isolamento de inquilinos e clientes que exigem controlos e políticas de isolamento de acesso do utilizador para garantir que os clientes não representam uma ameaça uns para os outros.
  7. Resiliência em Nuvem: Esta secção descreve medidas para estabelecer controlos e implementar governança para garantir a segurança física e ambiental, bem como implementar planos de continuidade de negócios e recuperação de desastres.

Leia a orientação completa da IMDA para fornecedores de serviços em nuvem.

Quais são as diretrizes consultivas da IMDA para centros de dados?
As Diretrizes Consultivas da IMDA querem que os centros de dados se concentrem na gestão de uma variedade de diferentes fatores de risco para garantir que os centros de dados permaneçam operacionais. Isto inclui:

  • Risco de Infraestrutura: Relacionado com energia, arrefecimento, conectividade e segurança do edifício.
  • Risco de Governança: Relacionado com operações robustas, resolução rápida de incidentes e protocolos de gestão de mudanças.
  • Risco Cibernético: Relacionado com ciberataques e a necessidade de controlos suficientes.

As diretrizes sugerem que os centros de dados devem implementar um sistema de gestão de continuidade de negócios para resolver incidentes inesperados e adotar um ciclo contínuo de Planear, Fazer, Verificar e Agir para manter e melhorar continuamente as medidas de resiliência e segurança. A orientação da IMDA também sugere que as empresas devem implementar medidas para gerir o risco de cibersegurança, implementando um Sistema de Gestão de Segurança da Informação (SGSI), controlos eficazes e políticas. Devem também garantir que quaisquer fornecedores de serviços terceiros estejam em conformidade com as políticas, normas, procedimentos e obrigações contratuais relevantes de segurança da informação e gestão de riscos através de revisões regulares, tornando essencial um programa robusto de gestão de riscos de terceiros.

Leia a orientação completa da IMDA para centros de dados.

Como podem os fornecedores de serviços em nuvem e os centros de dados implementar processos para se alinharem com as orientações da IMDA?
Muitos dos requisitos delineados nas orientações da IMDA exigem que as empresas tenham procedimentos de melhores práticas para gestão de riscos cibernéticos, gestão de incidentes cibernéticos e continuidade de negócios e recuperação de desastres. Muitos dos requisitos também exigem que os fornecedores de serviços em nuvem e os centros de dados implementem procedimentos rigorosos de governança, controlos de cibersegurança e políticas. Os fornecedores de serviços em nuvem e os centros de dados também devem ter medidas em vigor para gerir os riscos associados aos fornecedores de serviços terceiros.

Felizmente para os fornecedores de serviços em nuvem e centros de dados, existem plataformas de software disponíveis que oferecem uma estrutura de melhores práticas para gerir todas estas áreas. Eis como funciona…

Gestão de Riscos Cibernéticos: As empresas podem usar software para construir um registo de riscos cibernéticos na plataforma. Cada risco potencial é então categorizado e classificado com base na sua probabilidade e gravidade, e são definidos indicadores-chave de risco (KRIs). Os níveis de risco são então monitorizados para garantir que permanecem dentro do apetite de risco desejado. Se os níveis de risco excederem os níveis toleráveis, os funcionários são alertados e os fluxos de trabalho automatizados permitem-lhes escalar o risco e implementar ações corretivas. Os níveis de risco são monitorizados de várias formas. Os funcionários podem preencher formulários de avaliação de risco online, os fluxos de trabalho automatizados circulam os formulários e todos os dados alimentam a plataforma. Alternativamente, a plataforma pode integrar-se com os seus outros sistemas e dados de TI através de integrações API e extrair dados operacionais para a plataforma que podem ser usados para rastrear níveis de risco.

 

Controlos: Naturalmente, para gerir níveis de risco e conformidade de cibersegurança, as empresas precisam de implementar uma variedade de controlos. Os controlos podem ser uma política ou procedimento, podem ser uma verificação ou teste regular, ou podem ser medidas de segurança de TI como firewalls, backups ou encriptação. Qualquer que seja o controlo, precisa de ser documentado, mapeado para o risco relevante ou requisito regulamentar, e verificado e testado regularmente. Ao usar software GRC, as empresas podem construir uma biblioteca de controlos e mapear facilmente os controlos para os riscos ou regulamentos relevantes. O software também pode automatizar todo o processo de verificação e teste de controlo, os fluxos de trabalho automatizados notificam os funcionários quando as verificações e testes de controlo são devidos, e eles preenchem as informações na plataforma. Isto permite que as equipas de liderança compreendam facilmente se os controlos são eficazes.

 

Gestão de Incidentes Cibernéticos: O software também pode automatizar o processo de gestão de incidentes cibernéticos. As empresas simplesmente registam incidentes cibernéticos na plataforma ou, em alguns casos, os incidentes podem ser criados com base em tickets na sua função de suporte de TI existente. Os formulários adaptam-se dinamicamente com base no tipo de incidente registado para garantir que os dados relevantes podem ser capturados, fotos, gravações de voz, URLs e ficheiros também podem ser adicionados como evidência. Uma vez registado um incidente, os fluxos de trabalho automatizados escalam o incidente para o stakeholder relevante e capturam todas as ações corretivas, etapas e qualquer análise de causa raiz necessária até que o incidente seja resolvido. O sistema pode integrar-se com o seu diretório ativo, permitindo-lhe mapear funcionários, sites e equipamentos para incidentes relacionados. A gestão pode facilmente ver a fonte de incidentes recorrentes, permitindo-lhes implementar medidas preventivas. Também podem entender o progresso dos incidentes e compreender quais os incidentes que estão abertos ou pendentes. Ao usar software GRC para gestão de incidentes cibernéticos, os incidentes podem ser facilmente mapeados de volta a quaisquer riscos associados ou requisitos regulamentares.

 

Gestão de Políticas de TI e Cibersegurança: O software também pode ser usado para centralizar a sua biblioteca de políticas de TI. Uma vez criada uma política, é carregada no sistema, capturando detalhes críticos sobre o proprietário, aplicabilidade e datas de expiração ou revisão. Os fluxos de trabalho automatizados são usados para automatizar aprovações, escalações, alterações e revisões de políticas. Os funcionários sabem sempre qual é a política atual, podem ver cópias anteriores para controlo de versões, e os funcionários podem até atestar políticas online para confirmar que leram e entenderam a política.

 

Continuidade de Negócios e Resiliência: O software também pode ser usado para automatizar a continuidade de negócios e resiliência. As organizações criam um registo de processos de negócios para identificar os seus processos críticos e quaisquer dependências ou ineficiências. O software também pode ser usado para automatizar avaliações de impacto nos negócios. Os fluxos de trabalho enviam formulários de BIA e os funcionários preenchem-nos online. As atualizações regulares do plano também podem ser automatizadas. Os fluxos de trabalho são configurados para solicitar aos funcionários que verifiquem e atualizem os planos para a sua área regularmente, garantindo que os planos permanecem atuais. Também pode usar a plataforma de BCM para realizar exercícios de teste de resiliência contra diferentes cenários e vulnerabilidades para identificar lacunas. Estas plataformas normalmente oferecem módulos adicionais para gestão de crises e comunicação de emergência para garantir que as organizações podem comunicar eficazmente com os funcionários numa crise. Algumas soluções até oferecem integrações com fornecedores de inteligência de ameaças de terceiros para fornecer insights sobre ameaças emergentes.

 

Gestão de Riscos de Terceiros: Muitas plataformas de software GRC também podem automatizar a gestão de riscos de terceiros. As empresas configuram um registo de fornecedores na plataforma, capturando detalhes críticos sobre cada fornecedor, incluindo custo, contactos-chave, SLAs, KPIs e termos contratuais. O sistema automatiza o processo de avaliação de risco do fornecedor. A automação do fluxo de trabalho envia notificações aos fornecedores para completarem avaliações de risco através de um portal online, com todos os dados a alimentarem a plataforma. O desempenho do fornecedor também é monitorizado em relação a SLAs e KPIs, extraindo dados transacionais e operacionais para a plataforma através de integrações API. Muitas soluções de risco de terceiros integram-se com fornecedores de inteligência de risco de terceiros para alertar as empresas quando os seus fornecedores são notícia pelos motivos errados. Estes sistemas também formalizam o processo de integração e desintegração para garantir que nenhuma cláusula contratual é esquecida. Todo este processo garante que os fornecedores de serviços em nuvem e os centros de dados estão a trabalhar com terceiros de confiança.

 

Por que os Fornecedores de Serviços em Nuvem e Centros de Dados Precisam Agir Agora para Alinhar os Processos com as Orientações da IMDA
Embora as diretrizes consultivas da IMDA não sejam obrigatórias, os fornecedores de serviços em nuvem e os centros de dados devem seguir as orientações para se protegerem de riscos e incidentes inesperados e garantir que os seus serviços permaneçam operacionais. Com muitas empresas a depender de um modelo operacional largamente digital, os fornecedores de serviços em nuvem e os centros de dados fazem parte da nossa infraestrutura crítica, e uma violação de dados ou falha poderia ser catastrófica para os afetados. Seguir estas orientações também provavelmente garantirá novos negócios para os fornecedores de serviços em nuvem e centros de dados, pois podem provar que têm medidas de segurança adequadas para proteger os dados dos clientes e garantir que permanecem operacionais numa crise.

Se a sua organização está a procurar implementar processos de melhores práticas para gestão de risco cibernético, gestão de incidentes cibernéticos, gestão de risco de terceiros, continuidade de negócios e resiliência, e governança, controlos e políticas cibernéticas, contacte-nos hoje ou solicite uma demonstração.