Pruebas de Cumplimiento Normativo

Creado por el Banco de Inglaterra y respaldado por CREST, las evaluaciones de pruebas CBEST hacen un uso significativo de la Inteligencia de Amenazas Cibernéticas, ofrecen evaluaciones sofisticadas al estilo del equipo rojo (Red Team) y proporcionan evaluaciones de madurez en la respuesta a incidentes.

Las evaluaciones CBEST son únicas en comparación con muchos otros tipos de evaluaciones porque solo pueden ser iniciadas por el Banco de Inglaterra. El Banco de Inglaterra participa en la definición del alcance de las evaluaciones y determina qué tipos de activos y sistemas componen el alcance de la prueba. La inteligencia de amenazas utilizada para determinar los enfoques de prueba es reforzada por GCHQ.

CBEST requiere que las organizaciones contraten un ejercicio de recopilación de inteligencia de amenazas por parte de un proveedor aprobado por CBEST. Este ejercicio incluye:

•    Revisión de amenazas geopolíticas.

•    Revisión de tácticas, técnicas y procedimientos (TTPs) de actores de amenazas que se sabe que apuntan a tipos similares de organizaciones.

•    Revisión de inteligencia de código abierto relacionada con su organización.

•    Recopilación y revisión de inteligencia de código cerrado relevante para su organización.

•    Creación de una serie de escenarios que reflejen amenazas del mundo real.

•    Inclusión de TTPs a simular, objetivos a ejecutar y metas a perseguir. 

LRQA es uno de los pocos proveedores de servicios aprobados por CBEST acreditado tanto por CREST como por el Banco de Inglaterra como proveedores de Pruebas de Penetración CBEST y proveedores de Inteligencia de Amenazas CBEST. Tenemos una amplia experiencia con las pruebas CBEST y un equipo completo de personas certificadas en CBEST que poseen las certificaciones CREST CCSAS, CCSAM y CCTIM.

También hemos desarrollado nuestras herramientas personalizadas de última generación para imitar a actores de amenazas sofisticados que son prevalentes en el sector de servicios financieros. Este conjunto de herramientas es único en la industria y es una de las razones por las que el equipo de LRQA ha sido muy exitoso en apoyar las estrategias de aseguramiento basadas en inteligencia de las organizaciones.

Contáctenos

Las evaluaciones STAR-FS son similares a los compromisos CBEST, ya que ambos aprovechan los conceptos de Red Teaming y utilizan inteligencia de amenazas para simular las tácticas, técnicas y procedimientos de los actores de amenazas contra las instituciones financieras. Sin embargo, las evaluaciones STAR-FS están diseñadas para permitir una participación más ligera o opcional del regulador.

STAR-FS requiere que las organizaciones encarguen servicios de inteligencia de amenazas a un proveedor aprobado por STAR-FS. Se definen varios escenarios de amenazas que luego son utilizados por un equipo de pruebas de penetración dirigidas por inteligencia para simular ataques del mundo real.

Los compromisos STAR-FS deben estructurarse en cuatro componentes principales:

Iniciación: para definir el alcance y seleccionar los proveedores para los componentes subsiguientes. LRQA garantizará que un gerente de proyecto dedicado supervise cada parte del compromiso y se establecerá un modelo completo RACI para todos los interesados. Las comunicaciones, escaladas, gestión de riesgos y las necesidades de informes/desgloses serán completamente discutidas y acordadas.

Ejercicio de inteligencia de amenazas: para desarrollar escenarios de amenazas y acordar un plan que será entregado al proveedor del servicio de pruebas de penetración. La experiencia acumulada en los compromisos CBEST nos permite identificar escenarios del mundo real para ayudar a las organizaciones a identificar y entender dónde están las brechas.

Pruebas de penetración: Nuestros servicios de pruebas de penetración dirigidas por inteligencia de amenazas se entregan con el apoyo de herramientas personalizadas de vanguardia para simular actores de amenazas sofisticados que se sabe son prevalentes en el sector de servicios financieros.

Informe: Nuestros informes han sido diseñados para informar tanto a los principales interesados como a los equipos técnicos dentro de ingeniería, operaciones y las funciones de detección y respuesta. Las orientaciones de remediación, los desgloses para los reguladores y los desgloses ejecutivos se entregan con asesoramiento pragmático en un entorno colaborativo y de apoyo.

LRQA está acreditada por CREST para ofrecer pruebas de penetración dirigidas por inteligencia de amenazas para servicios financieros bajo el esquema STAR-FS. Contamos con un equipo completo de personas certificadas en CBEST que poseen certificaciones CREST CCSAS, CCSAM y CCTIM. Cuando nos comprometemos en servicios dirigidos por inteligencia de amenazas, podemos ofrecer una verdadera representación de los tipos de TTP que los grupos de amenazas suelen aprovechar.

Contáctenos

iCAST es un marco liderado por inteligencia, introducido por la Autoridad Monetaria de Hong Kong (HKMA). Es un requisito regulatorio innovador que no solo se basa en una estrategia centrada exclusivamente en pruebas de penetración. El enfoque del marco iCAST es ofrecer una prueba de escenarios basada en inteligencia de amenazas, con el elemento de prueba centrado en Red Teaming.

Fase de Inteligencia de Amenazas

Esto incluye la revisión de inteligencia de fuentes abiertas relacionadas con una organización, la definición de escenarios que reflejan vectores de ataque del mundo real, la revisión de TTP de actores de amenazas probables y la provisión de una lista de inteligencia procesable para confirmar el enfoque correcto para la fase de Red Team.

Fase de Revisión y Definición

Te ayudamos a definir los escenarios más probables para la fase de Red Teaming. El marco iCAST anima a las organizaciones a definir una lista de activos clave que están tratando de proteger y utilizar los resultados de la inteligencia de amenazas para definir qué tácticas y enfoques deben usarse para llevar a cabo la fase de ataque de la evaluación. Durante esta fase, lanzaremos varios ataques como phishing o amenazas internas para imitar a los actores de amenazas del mundo real.

Fase de Repetición de Ataques

Trabajamos estrechamente con tu equipo Blue Team y recreamos algunos de los escenarios para ver cómo la capa defensiva de tu organización pudo reaccionar ante la fase de pruebas.

Contáctenos

El enfoque correcto para la seguridad de la información es fundamental para lograr el cumplimiento del GDPR. Para muchas organizaciones, esto requiere una revisión significativa de su estrategia y tácticas de seguridad, ya que el GDPR exige implementar un marco basado en riesgos. Este marco incluye la estructura de gobernanza adecuada, políticas y prácticas operativas, además de la supervisión, detección y respuesta a incidentes.

LRQA puede ayudarte con el cumplimiento del GDPR proporcionando:

• Evaluaciones de brechas frente a los estándares GDPR para prácticas de seguridad de la información y respuesta a incidentes, para producir una hoja de ruta hacia el cumplimiento.

• Servicios de monitoreo para respaldar los aspectos de seguridad de la información y respuesta a incidentes del GDPR.

Contáctenos

Threat Intelligence-Based Ethical Red Teaming (TIBER-EU) es un marco lanzado por el Banco Central Europeo (BCE) para realizar una prueba controlada, a medida, y liderada por inteligencia, del Red Team contra tus sistemas de producción en vivo críticos.

LRQA proporciona todos los elementos de los requisitos de pruebas de inteligencia de amenazas y Red Team. Nuestras capacidades en inteligencia de ciberseguridad nos permiten ejecutar amplios ejercicios de focalización basados en inteligencia, del tipo que típicamente emprenden actores de amenazas reales mientras se preparan para su ataque.

Nuestro objetivo es crear un perfil de la organización objetivo, desde la perspectiva de un atacante. Este enfoque nos permite diseñar y llevar a cabo escenarios de prueba para una prueba TIBER. Nuestros expertos no solo moldean las pruebas mediante la producción de los documentos clave de inteligencia TIBER, sino que también aportan valor añadido a tu organización al reducir la incertidumbre mientras ayudan a identificar amenazas y oportunidades que reducirán el riesgo de un ataque real.

Contáctenos

La Oficina del Superintendente de Instituciones Financieras de Canadá (OSFI) creó el marco de Pruebas de Resiliencia Cibernética Lideradas por Inteligencia (I-CRT) para simular amenazas relevantes del mundo real. El marco evalúa la resiliencia cibernética, utilizando proveedores independientes, para ayudar a los grupos de seguros sistémicamente importantes y activos a nivel internacional a identificar áreas donde podrían ser vulnerables a ciberataques.

Nuestro servicio I-CRT ha sido desarrollado para proporcionar información y garantía a través de la simulación de actores de amenazas del mundo real utilizando TTPs conocidos para evaluar y mejorar la postura de seguridad de tu organización.

I-CRT requiere que las organizaciones encarguen a un Proveedor de Servicios de Inteligencia de Amenazas para llevar a cabo un ejercicio de recopilación de inteligencia de amenazas. Somos un proveedor de inteligencia de amenazas aprobado en varios marcos regulatorios y podemos ofrecer lo siguiente:

•    Inteligencia sobre amenazas geopolíticas que se sabe operan en el sector y subsector.
•    TTPs de actores de amenazas conocidos por atacar a organizaciones similares.
•    Inteligencia de fuentes abiertas (OSINT) relacionada con tu organización.
•    Inteligencia de fuentes cerradas relevante para tu organización.

Contáctenos

MAS TRM (Gestión de Riesgos Tecnológicos de la Autoridad Monetaria de Singapur) es un conjunto completo de directrices de la Autoridad Monetaria de Singapur, cuyo objetivo es ayudar a las instituciones financieras a mejorar su resiliencia cibernética y establecer prácticas sólidas y robustas de gestión tecnológica.

Te ayudamos a analizar tu postura de seguridad frente a las directrices MAS TRM e identificar brechas y áreas de mejora. Nuestros expertos en cumplimiento de MAS TRM realizan talleres con las partes interesadas en diferentes etapas del compromiso. Los talleres están diseñados para la alta dirección, los responsables de la toma de decisiones y los dueños del riesgo. Nuestros expertos identifican los sistemas, aplicaciones, infraestructuras y tecnologías que utiliza tu organización para ofrecer servicios a tus clientes y que, por lo tanto, están dentro del alcance de las directrices MAS TRM.

Revisamos tus políticas, procedimientos y documentos de procesos para ver qué tan bien se alinean con las directrices MAS TRM, determinar el cumplimiento e identificar brechas y posibles áreas de mejora.

Contáctenos

La Autoridad de Desarrollo de Medios de la Información (IMDA) en Singapur implementó un proceso para ayudar a las empresas a desarrollar plataformas más seguras, ofreciendo a sus clientes una reducción en los costos de suscripción al cumplir con sus regulaciones.

Para los proveedores de soluciones tecnológicas que desean estar listados como una solución preaprobada por la IMDA dentro del programa 'SMEs Go Digital', su solución necesita ser aprobada por la IMDA, y uno de los criterios de evaluación es realizar una evaluación de vulnerabilidades por una tercera parte calificada. Uno de los requisitos para ese compromiso es contratar una empresa certificada por CREST, como LRQA.

Beneficios de estar listado como una solución preaprobada por la IMDA dentro del programa 'SMEs Go Digital':

• Una PYME de Singapur que use su aplicación puede solicitar una subvención de Productividad y Soluciones para subsidiar hasta el 80% del costo de usar la plataforma.
• Su solución o plataforma contará con cierta garantía técnica para minimizar el impacto en el servicio o el robo de datos, asegurando que su solución sea más resistente frente a un ciberataque.
• Un informe detallado de evaluación de vulnerabilidades que detalla los riesgos que debe gestionar y las recomendaciones de LRQA sobre cómo rectificar las vulnerabilidades técnicas descubiertas.

Contáctenos

La Ley de Protección de Datos Personales (PDPA) en Singapur exige a las organizaciones implementar medidas de seguridad razonables para proteger los datos personales en su posesión.

El enfoque correcto en la seguridad de la información es clave para lograr el cumplimiento de la PDPA. Para muchas organizaciones, esto requiere una revisión significativa de su estrategia y tácticas de seguridad, ya que la PDPA exige que las organizaciones implementen un marco basado en el riesgo. Este marco incluye la estructura de gobernanza correcta, políticas y prácticas operativas, además de monitoreo, detección y respuesta ante incidentes.

LRQA puede ayudarle a cumplir con la PDPA proporcionando:

•    Evaluaciones de brechas respecto a los estándares de la PDPA en seguridad de la información y prácticas de respuesta a incidentes, para generar una hoja de ruta hacia el cumplimiento.
•    Servicios de monitoreo para respaldar los aspectos de seguridad de la información y respuesta a incidentes de la PDPA.

Como una entidad cubierta reconocida por el Departamento de Servicios Financieros del Estado de Nueva York (NYDFS), algunas organizaciones están sujetas a un requisito obligatorio de cumplimiento para proteger la Información No Pública (NPI). Para hacerlo, debe seguir la regulación de Ciberseguridad del NYDFS, conocida como 23 NYCRR 500.

Esta regulación cubre muchos elementos de ciberseguridad, lo que significa que es esencial revisar si su postura de seguridad actual cumple con este estándar regulatorio relativamente nuevo.

LRQA le ayuda con las medidas necesarias para cumplir con la ciberseguridad del NYDFS a través de:

•    Una evaluación de brechas frente a la regulación 23 NYCRR 500 para identificar incumplimientos y recomendar soluciones, creando una hoja de ruta hacia el cumplimiento.
•    Servicios de CISO para crear o apoyar el programa de seguridad de la información de su organización y los requisitos de ciberseguridad del NYDFS.
•    Redacción o actualización de sus políticas y trabajo en la biblioteca de documentación asociada al NYDFS.
•    Pruebas de penetración y escaneo de vulnerabilidades para permitirle ver la perspectiva de un actor criminal sobre sus tecnologías y plataformas.

Contáctenos

La Asociación de Bancos de Singapur (ABS) emitió el marco AASE (Ejercicio de Simulación de Ataques Adversarios), que aprovecha la inteligencia de amenazas y la actividad de equipos rojos. Aunque AASE es un marco en lugar de una regulación, LRQA puede proporcionar servicios de espectro completo para alinearse con estos requisitos.

Contáctenos

La Ley Gramm-Leach-Bliley (GLBA) fue promulgada por la Comisión Federal de Comercio de los Estados Unidos y exige a las organizaciones de servicios financieros adherirse a una serie de requisitos de seguridad diseñados para proteger la información personal no pública.

LRQA puede realizar actividades de aseguramiento y servicios de Detección y Respuesta Gestionada que están alineados específicamente con los requisitos de esta ley.

Contáctenos