A região do Oriente Médio está rapidamente se tornando um novo e dinâmico jogador no mundo das regulamentações de cibersegurança. À medida que os países da região diversificam suas economias além dos setores tradicionais de petróleo e gás e abraçam um futuro digital para seus cidadãos e residentes, novas regulamentações, leis e estruturas estão sendo introduzidas para garantir proteção no novo mundo digital.
Essas estruturas, com o objetivo de fortalecer as práticas de cibersegurança em muitas organizações dos setores público e privado, introduzem vários controles obrigatórios e práticas de gerenciamento de riscos necessários para várias empresas que operam na região, com a intenção de aumentar a resiliência cibernética.
Como membro da Cisco Talos Incident Response, muitas vezes operamos dentro dessas estruturas ao interagir com nossos clientes durante atividades de Resposta de Emergência ou durante compromissos proativos, como Exercícios de Mesa, Criação de Playbooks de IR ou Planos de IR.
Este blog irá explorar a evolução dessas regulamentações, examinando os catalisadores que motivaram sua criação e o impacto subsequente na formação do cenário digital.
Estado do Catar
O framework regulatório de cibersegurança do Estado do Catar consiste em legislações, padrões internacionais e diretrizes estratégicas inseridas em vários frameworks de cibersegurança, introduzidos em diferentes setores estratégicos e comerciais. O órgão principal responsável pelas políticas de cibersegurança no Estado do Catar é a Agência Nacional de Segurança Cibernética (NCSA), estabelecida em 2021 para facilitar o desenvolvimento e a proposta de políticas e regulamentações de cibersegurança em todo o país. Várias legislações cobrem a cibersegurança de sistemas de TI e dados pessoais e são diretamente aplicáveis às diferentes leis de crimes cibernéticos. Duas leis-chave aplicáveis no Estado do Catar são:
– Lei de Prevenção de Crimes Cibernéticos (2014): Esta lei fundamental criminaliza vários crimes cibernéticos, incluindo acesso não autorizado, roubo de identidade e fraude online. Ela prescreve penalidades e delineia procedimentos investigativos relacionados aos crimes mencionados acima.
– Lei de Proteção de Dados Pessoais (PDPL) (2016): Esta lei concede aos indivíduos controle sobre seus dados pessoais, exigindo que as organizações obtenham consentimento, implementem medidas de segurança e respondam às solicitações dos titulares de dados. Esta lei também é apoiada por várias diretrizes procedimentais adicionais, definindo como algumas das implementações específicas de vários controles, notificações e processos, que são aplicáveis quando dados pessoais são adquiridos e processados, devem ser aplicadas. Por exemplo, há uma exigência de que violações de dados sejam relatadas à Agência Nacional de Governança e Garantia Cibernética (NCGAA) e aos indivíduos afetados dentro de 72 horas após tomar conhecimento da violação.
Enquanto essas leis protegem de perto vários aspectos de cibersegurança relacionados a empresas e indivíduos, o cenário de cibersegurança do Catar também inclui vários frameworks e diretrizes aplicáveis no país. Três deles são descritos abaixo:
Estratégia Nacional de Cibersegurança (2014)
Lançado em 2014, este documento descreve as iniciativas empreendidas pelo governo do Catar para proteger ativos-chave e identificar riscos relacionados à infraestrutura de informações críticas (CII). A estratégia geral se concentra em cinco objetivos principais, que vão desde a construção de salvaguardas para a CII até o estabelecimento de estruturas legais que criem um ciberespaço mais seguro. Também inclui estratégias focadas em criar um ambiente colaborativo destinado a desenvolver e cultivar capacidades nacionais de cibersegurança. O tema geral desta estratégia é baseado na compreensão de que a cibersegurança é uma responsabilidade compartilhada e que muitas entidades governamentais, empresas e indivíduos precisam se unir para criar um ambiente resiliente a incidentes de cibersegurança. Os principais controles estabelecidos dentro deste framework podem ser divididos entre responsabilidades do setor público e privado. O estado, por exemplo, emite legislações como a Lei de Prevenção de Crimes Cibernéticos (2014) ou a Lei de Proteção de Dados Pessoais (2016) que todos os indivíduos e organizações no Catar devem seguir. Por outro lado, as organizações podem abordar diretamente a estratégia delineada aplicando os seguintes controles em alguns pilares-chave:
– Salvaguardar a Infraestrutura de Informações Críticas Nacional (CII)
– Implementar mecanismos eficientes de resposta a incidentes e procedimentos de recuperação
– Desenvolver e cultivar capacidades nacionais de cibersegurança: construir uma força de trabalho qualificada, investir em pesquisa e desenvolvimento e fortalecer as capacidades nacionais de defesa cibernética
Framework de Cibersegurança do Catar (QCF) (2018)
Desenvolvido pelo Comitê Supremo para Entrega e Legado (SCDL) antes da Copa do Mundo FIFA de 2022, o QCF fornece um conjunto de melhores práticas e controles para organizações aprimorarem sua postura de cibersegurança ao participar de eventos importantes. Os controles são mapeados para vários padrões internacionais como ISO 27001, NIST SP 800-53, ISA62443, PCI-DSS e GDPR. O foco do framework é predominantemente em 14 capacidades diferentes que vão desde o estabelecimento de uma governança apropriada até a aplicação de controles de segurança na nuvem.
Este framework introduziu a necessidade de ter estratégias de gerenciamento de riscos amplamente estabelecidas que abordem controles técnicos, como garantir que ameaças possam ser detectadas em todos os tipos de dispositivos, como laptops ou servidores, e capacidades para identificar, auditar, remediar e testar várias estratégias de segurança, como endurecimento dos sistemas, minimização de riscos por meio do estabelecimento de frameworks internos relevantes e controles que também dependem da presença de pessoal adequado. Vários controles e requisitos de avaliação são divididos em grandes domínios, cada um apresentando requisitos sobre como os controles bem-sucedidos devem ser planejados, implantados, gerenciados e controlados ao longo da vida útil de um evento. Onde possível, elementos específicos de um QCF são mapeados para controles presentes em outros padrões, como o Padrão Nacional de Garantia da Informação ou ISA62443.
Padrão Nacional de Garantia da Informação (NIAS) (2023)
Este padrão recente introduziu vários controles para aspectos técnicos, comerciais e de governança de qualquer organização que opera no Estado do Catar, incluindo terceiros e subcontratados que são especificamente mencionados no escopo do padrão (seção 2.2). O padrão foca em áreas-chave como governança de dados, segurança de dados, controles técnicos e organizacionais. Prioriza quatro princípios-chave:
– Confidencialidade: Garantir que apenas indivíduos autorizados acessem informações.
– Integridade: Garantir a precisão e completude dos dados.
– Disponibilidade: Tornar as informações acessíveis quando necessário.
– Responsabilidade: Responsabilizar indivíduos pela cibersegurança.
Outro aspecto importante do padrão é a exigência de classificar os dados armazenados dentro da organização e a exigência de proteger tais dados com controles específicos aplicáveis por meio de um gerenciamento proativo de riscos. Deve-se observar que este padrão opera em conjunto com a Política Nacional de Classificação de Dados (2023) para criar uma sinergia entre segurança da informação e classificação de dados. Cada domínio e conjunto de controles têm um conjunto de controles obrigatórios e opcionais, o que deixa margem para flexibilidade na aplicação de controles dentro de uma organização, pois nem todo domínio possível pode ser aplicável, ou pode ser aplicável apenas em parte. Embora as organizações possam aplicar o padrão de forma voluntária, a Agência Nacional de Segurança Cibernética também oferece um processo de certificação que avalia a conformidade com o padrão.
Estratégia Nacional de Cibersegurança (2024)
Lançada em 2024, este documento de estratégia se baseia no framework estabelecido em 2014 e enfatiza a centralização da governança de segurança sob uma única organização, a NCSA. O framework é guiado por seis princípios, que vão desde a responsabilidade compartilhada, onde todos são responsáveis por suas práticas de cibersegurança, até o foco na colaboração e coordenação entre diversos intervenientes no cenário de cibersegurança do Catar. Esses princípios orientadores sustentam os cinco pilares do framework, cada um vinculado a objetivos estratégicos específicos, incluindo a construção de um ecossistema de cibersegurança resiliente e o fomento à legislação e inovação em uma economia orientada por dados. Cada pilar pode ser dividido em objetivos específicos que guiarão organizações privadas e públicas na conquista de uma maior maturidade em segurança por meio de credenciamentos, educação, pesquisa, desenvolvimento e inovação em aplicações de cibersegurança. Embora alguns objetivos e pilares se concentrem no desenvolvimento doméstico, também há um forte ênfase na formação de parcerias regionais e internacionais.
Reino da Arábia Saudita
Similarmente ao Estado do Catar, o Reino da Arábia Saudita introduziu legislações e frameworks com o objetivo de garantir que a aplicação da cibersegurança seja o mais ampla possível e aplicável em vários setores em linha com os objetivos de digitalização. A proteção contra ameaças digitais é um dos objetivos da Visão 2030, que enfatiza uma sociedade digital vivendo em um ciberespaço seguro apoiado pelo e-governo do Reino. As duas leis-chave aplicáveis no Reino da Arábia Saudita são:
– Lei Anti-Crimes Cibernéticos (2007): Esta lei é um pilar fundamental da legislação na Arábia Saudita que visa a estabelecer penalidades para atividades comuns de crimes cibernéticos, como roubo de dados, acesso não autorizado, ataques cibernéticos, roubo de identidade e personificação.
– Lei de Proteção de Dados Pessoais (2023) (PDPL): O PDPL regula os direitos dos titulares de dados e lhes concede o direito de controle sobre seus dados, bem como define o papel dos controladores de dados, que têm acesso a dados pessoais no Reino da Arábia Saudita. Como esta lei é bastante nova, o período de carência para cumprimento vai até 14 de setembro de 2024, quando os controladores de dados precisarão cumprir as obrigações delineadas. Esta lei oferece uma ampla gama de direitos e responsabilidades, que são concedidos aos indivíduos, como a capacidade de acessar, retificar, apagar e restringir o processamento de seus dados pessoais, incluindo obrigações de relatório de violações dentro de 72 horas.
Como parte da Estratégia Nacional de Cibersegurança (NCS), a Autoridade Nacional de Cibersegurança (NCA) foi estabelecida em 2017 para regular e melhorar o cenário de cibersegurança no Reino da Arábia Saudita com o objetivo de supervisionar a aplicação e o desenvolvimento das regulamentações de cibersegurança em todo o reino. A posição estratégica da NCA permite não apenas criar ambientes legais, políticos e regulatórios, mas também participar ativamente e interagir com entidades reguladas por meio de avaliações ou assistência com trocas de informações e outras parcerias aplicáveis.
A NCA desempenha grande responsabilidade pelo desenvolvimento e aplicação de vários controles e frameworks em diferentes verticais na Arábia Saudita e divide várias responsabilidades compartilhadas em frameworks, que colaboram em vários níveis nos setores público e privado.
Estratégia Nacional de Cibersegurança (NCSS) (2019)
A NCSS é uma estratégia fundamental que destaca vários princípios-chave que o Reino da Arábia Saudita seguirá para aprimorar a cibersegurança do país. Os objetivos estratégicos da NCSS são unificar a governança de cibersegurança sob um único órgão (a NCA), criar um ambiente de parceria para colaborar e realizar pesquisas em cibersegurança, defender o país contra ameaças cibernéticas e desenvolver capacidades nacionais e setoriais de cibersegurança. A NCSS delineia como o Reino abordará o desenvolvimento da cibersegurança no futuro e estabelece o controle administrativo sobre esse processo.
Controles Essenciais de Cibersegurança (ECC) (2018)
Esboça um conjunto de requisitos mínimos obrigatórios de cibersegurança para organizações, públicas e privadas, operando no Reino da Arábia Saudita. Esses controles servem como base para proteger infraestruturas críticas, serviços governamentais e empresas privadas contra ciberataques e ameaças. São estabelecidos 114 controles diferentes em cinco domínios principais:
– Governança de Cibersegurança
– Defesa Cibernética
– Resiliência Cibernética
– Cibersegurança de Terceiros e Computação em Nuvem
– Controles de Cibersegurança de Sistemas Críticos
Controles de Cibersegurança de Sistemas Críticos (CSCC) (2019)
O CSCC é uma extensão do ECC que fornece orientações adicionais para organizações que operam ou possuem sistemas críticos. Para estar em conformidade com o CSCC, os requisitos do ECC também precisam ser atendidos. Existem 32 outros controles principais aplicados em domínios semelhantes aos do padrão ECC. O CSCC enfatiza a necessidade de garantir que os controles, implantados e configurados em conformidade com o ECC, passem por um processo de testes rigorosos. Isso envolve avaliações regulares para revisar as configurações de segurança aplicáveis e abordar quaisquer deficiências identificadas. O objetivo principal é manter um framework de cibersegurança robusto, testando e validando continuamente a eficácia dos controles implementados de acordo com o padrão ECC e adicionando uma camada adicional de verificação ou controles adicionais.
Controles de Cibersegurança na Nuvem (CCC) (2020)
Assim como o CSCC, os controles CCC são uma extensão do ECC e visam fornecer um conjunto de requisitos mínimos para provedores de serviços em nuvem (CSP) e inquilinos de serviços em nuvem (CST) para garantir que os dados armazenados na nuvem sejam seguros. Este framework divide os controles em aplicáveis aos provedores de serviços em nuvem e aos inquilinos de serviços em nuvem. Embora alguns controles sejam idênticos, o tema geral do framework exige que os provedores informem aos inquilinos sobre os controles de cibersegurança aplicáveis aos dados armazenados no ambiente e que os inquilinos tenham políticas aplicáveis que possam ser comparadas e contratadas com os controles fornecidos pelo CSP. Exist
FONTE