Introducción

La Versión 2.1 del Estándar Nacional de Aseguramiento de la Información de Qatar (NIAS) es un marco integral diseñado para regular y gobernar la seguridad y aseguramiento de datos en las organizaciones dentro del Estado de Qatar. Desarrollado por la Agencia Nacional de Seguridad Cibernética (NCSA), este estándar tiene como objetivo proporcionar a las organizaciones la base y las herramientas necesarias para implementar un Sistema de Gestión de Seguridad de la Información robusto. El NIAS impacta a todas las organizaciones que operan dentro de Qatar, particularmente aquellas que manejan información sensible o clasificada, agencias gubernamentales, operadores de infraestructura crítica, instituciones financieras, proveedores de salud, y cualquier organización que trate con datos personales o información crucial para la seguridad nacional está obligada a cumplir.

El estándar se basa en la Política Nacional de Clasificación de Datos y cubre una amplia gama de dominios de seguridad, incluyendo pero no limitado a: Gobernanza de Seguridad, Gestión de Riesgos, Gestión de Seguridad de Terceros, Clasificación de Datos, Gestión de Cambios, Seguridad del Personal, Gestión de Incidentes, Gestión de Continuidad del Negocio, Control de Acceso, Seguridad Criptográfica y Seguridad Física. Para cumplir con el NIAS, las organizaciones deben primero clasificar sus activos de información de acuerdo con la Política Nacional de Clasificación de Datos. Luego se requiere que implementen controles de seguridad básicos según lo especificado en el estándar, con controles adicionales necesarios para activos clasificados en niveles de sensibilidad más altos.

El NIAS es aplicado por la NCSA, y las organizaciones deben someterse a certificación para demostrar cumplimiento. El estándar entró en vigor tras su publicación en mayo de 2023, coincidiendo con el lanzamiento de la Política Nacional de Clasificación de Datos v3.0. El Estándar de Aseguramiento mantiene que las organizaciones son completamente responsables de adoptar e implementar el estándar, y que la NCSA no asume responsabilidad por daños relacionados con decisiones no informadas en la adopción e implementación del estándar o acciones fuera de su alcance. Dada la naturaleza integral del estándar y su alineación con la estrategia de ciberseguridad de Qatar, el incumplimiento podría resultar en consecuencias significativas que podrían incluir sanciones regulatorias, pérdida de contratos gubernamentales, daño reputacional y mayor vulnerabilidad a amenazas cibernéticas. Además, en caso de una brecha de seguridad, las organizaciones no conformes pueden enfrentar repercusiones legales y financieras más severas. Las organizaciones que busquen excepciones o desviaciones del estándar deben comunicarse con la NCSA a través de correspondencia oficial, proporcionando justificaciones, evaluaciones de riesgos y planes de gestión. La NCSA, en coordinación con los reguladores del sector donde sea aplicable, evaluará estas solicitudes de excepción.

Esta guía muestra cómo Kiteworks puede apoyar a las organizaciones globales que buscan cumplir con el Estándar Nacional de Aseguramiento de la Información de Qatar.

La Plataforma de Uso Compartido Seguro de Archivos y Gobernanza de Kiteworks

La Red de Contenido Privado de Kiteworks permite a las organizaciones compartir contenido sensible con partes de confianza por correo electrónico, uso compartido de archivos, transferencia de archivos y otros canales en los más altos niveles de seguridad, gobernanza y cumplimiento mientras mantienen plena visibilidad y control sobre sus actividades de uso compartido de archivos. La plataforma Kiteworks proporciona:

Protección de Datos No Estructurados

Kiteworks proporciona protección integral para datos no estructurados a través de su avanzado firewall de contenido y capacidades de uso compartido de archivos de confianza cero que aseguran que los datos no estructurados sensibles permanezcan seguros durante todo su ciclo de vida, ya sea en reposo o en tránsito a través de varios canales de comunicación.

Gobernanza y Cumplimiento

Kiteworks reduce el riesgo y costo de cumplimiento al consolidar capacidades avanzadas de gobernanza de contenido en una sola plataforma. Ya sea que los empleados envíen y reciban contenido por correo electrónico, compartan archivos, realicen transferencias automáticas de archivos, APIs o formularios web, está cubierto.

Simplicidad y Facilidad de Uso

Kiteworks ofrece una interfaz fácil de usar que simplifica el uso compartido seguro de archivos y la colaboración, permitiendo a los usuarios enviar, recibir y gestionar contenido sensible fácilmente sin comprometer la seguridad. El diseño intuitivo de la plataforma y su integración fluida con los flujos de trabajo existentes aseguran altas tasas de adopción por parte de los usuarios y minimizan la curva de aprendizaje para las organizaciones que implementan medidas robustas de protección de datos.

La Plataforma Kiteworks y el Estándar Nacional de Aseguramiento de la Información de Qatar

Etiqueta de Clasificación de Datos [DL]

Este dominio proporciona una metodología de etiquetado de datos de alto nivel para todas las organizaciones con el propósito de entender y gestionar los activos de datos e información sobre su nivel de clasificación. El dominio explica la metodología y los procesos para un etiquetado de datos efectivo. La razón para etiquetar los activos de información según sus niveles de clasificación es asegurar que la organización y los usuarios designados de los activos de información puedan identificar correctamente y asignar adecuadamente recursos para la protección de los activos de información.

Requisitos del Dominio Solución de Kiteworks
DL 1. *Trabajar como una autoridad de etiquetado para los datos e información que recoge o mantiene.
 
DL 2. *Calificar todos los activos de información de acuerdo con [IAP-NAT-DCLS]. Todos los activos calificados con una calificación de Confidencialidad de C1, C2, C3 o C4 DEBERÁN ser marcados adecuadamente con la etiqueta de datos de Interno, Restringido, Secreto o Alto Secreto respectivamente.
 
DL 3. *Por defecto, etiquetar los activos de información como ‘Interno’ a menos que sean específicamente para liberación o consumo público o calificados a un nivel de confidencialidad más alto.
 
DL 4. Establecer el sistema de etiquetado de datos para apoyar el requisito de “Necesidad de Saber”, de modo que la información esté protegida contra divulgación y uso no autorizados.
Kiteworks apoya el cumplimiento a través de su robusto marco de políticas de riesgo basado en contenido. Este sistema permite a las organizaciones clasificar y gestionar efectivamente sus activos de información de acuerdo con las calificaciones IAP-NAT-DCLS. Kiteworks permite la configuración de la clasificación de activos basada en varios atributos como la ruta de la carpeta, etiquetas de sensibilidad, tipo de archivo y creador, alineándose con las calificaciones de confidencialidad del estándar de C1 a C4 (Interno, Restringido, Secreto o Alto Secreto). La plataforma puede configurarse para etiquetar los activos de información como ‘Interno’ por defecto, a menos que se especifique lo contrario, cumpliendo con el requisito de etiquetado por defecto del estándar. Además, los controles de acceso basados en roles y los principios de privilegio mínimo por defecto apoyan el requisito de “Necesidad de Saber”, asegurando que la información esté protegida contra divulgación y uso no autorizados. Este enfoque integral para el etiquetado de datos y el control de acceso permite a las organizaciones trabajar como autoridades de etiquetado efectivas para sus datos recogidos y mantenidos.

Seguridad del Personal [PS]

El objetivo de este dominio es asegurar que el personal (empleados, proveedores, contratistas y otros) desplegado en las organizaciones esté consciente de sus responsabilidades de seguridad y que existan controles adecuados para minimizar los riesgos derivados del elemento humano.

Requisitos del Dominio Solución de Kiteworks
PS 3. *Obtener, gestionar y retener información relacionada con el personal con el debido cuidado y diligencia, en línea con los requisitos para el manejo de Información Personal según lo especificado en la Ley de Privacidad y Protección de Datos Personales.
 
PS 7. Asegurar que existan controles adecuados para prevenir que el personal (empleados, proveedores, contratistas y visitantes) realice divulgaciones no autorizadas, haga un uso indebido o corrompa la información según las políticas de seguridad de la organización.
 
PS 8. Asegurar que los derechos de acceso de los usuarios sean restrictivos a la información que necesitan para cumplir con sus requisitos laborales según los principios de privilegio mínimo y necesidad de tener.
 
PS 12. *Asegurar que se genere una solicitud de cambio del departamento de RRHH cuando ocurra un cambio de funciones o terminación de contrato de un empleado, contratista o tercero. Esto asegura que los empleados, contratistas y terceros devuelvan los activos de la organización y se modifiquen/eliminan los accesos físicos y lógicos según corresponda.
Las robustas características de protección de datos de Kiteworks, incluyendo cifrado en reposo y en tránsito, controles de acceso y registro detallado de auditoría, aseguran que la información del personal se gestione y retenga de manera segura, alineándose con las leyes de privacidad de datos. El enfoque de seguridad de múltiples capas de la plataforma, que incluye el visor de archivos SafeVIEW y el escaneo DLP, previene efectivamente divulgaciones no autorizadas y el uso indebido de la información. La implementación de controles de acceso basados en roles y el principio de privilegio mínimo asegura que los derechos de acceso de los usuarios estén estrictamente limitados a los requisitos específicos del trabajo, adhiriéndose al principio de ‘necesidad de tener’. Las capacidades de integración de Kiteworks con LDAP y Active Directory facilitan la gestión automática de usuarios, incluyendo actualizaciones rápidas de derechos de acceso cuando cambian los roles o se termina el empleo. Este conjunto integral de características permite a las organizaciones mantener un control estricto sobre la seguridad de la información del personal, minimizando los riesgos asociados con el elemento humano en la gestión de la información.

Gestión de Incidentes [IM]

Un incidente de seguridad de la información es un evento que impacta en la confidencialidad, integridad o disponibilidad de un sistema de información o red, a través de un acto que contraviene la política de seguridad prescrita y/o las leyes o regulaciones aplicables. Para los propósitos de este estándar, un incidente se define como una violación o amenaza inminente de violación de políticas de seguridad informática, políticas de uso aceptable o prácticas de seguridad estándar. Este estándar pretende proporcionar una referencia para la gestión, administración y otro personal técnico y operativo de la organización para facilitar el desarrollo de la capacidad de gestión de incidentes de seguridad de la información, y ser utilizado para la preparación, detección y respuesta a incidentes de seguridad de la información.

Requisitos del Dominio Solución de Kiteworks
IM 2. Establecer una capacidad de respuesta a incidentes de seguridad de la información, basada en el [IAP-NAT-DCLS] que pueda realizar una evaluación de riesgos periódica (de amenaza, vulnerabilidad y valor de activos) de datos, procesos, sistemas y redes de acuerdo con este Estándar de Aseguramiento de la Información.
 
IM 3. *Definir procedimientos para detectar, evaluar y responder a incidentes.
 
IM 7. Coordinar con la NCSA para crear un repositorio de incidentes en la organización.
Las capacidades integrales de registro y monitoreo de Kiteworks, incluyendo un Sistema de Detección de Intrusiones (IDS) y detección de anomalías, proporcionan una base sólida para establecer una capacidad efectiva de respuesta a incidentes de seguridad de la información. Estas características permiten alertas en tiempo real y registros de auditoría detallados, facilitando la rápida detección, evaluación y respuesta a posibles incidentes. La integración del sistema con SIEM mejora aún más las capacidades de gestión de incidentes, permitiendo una evaluación rápida de amenazas, vulnerabilidades y valores de activos. Kiteworks no coordina directamente con la NCSA, sin embargo, los registros de actividad estandarizados y detallados pueden ser fácilmente exportados o integrados en sistemas externos, apoyando la creación de un repositorio de incidentes organizacional. Esto apoya a las organizaciones mientras se preparan, detectan y responden efectivamente a incidentes de seguridad de la información en alineación con el IAP-NAT-DCLS y el Estándar de Aseguramiento de la Información.

Registro y Monitoreo de Seguridad [SM]

El objetivo de este dominio es proporcionar requisitos para el registro y monitoreo para identificar accesos no autorizados a datos, aplicaciones y recursos y para detectar cambios no autorizados o abuso de privilegios de acceso.

Requisitos del Dominio Solución de Kiteworks
SM 1. *Existe un conjunto adecuado de implementaciones de control técnico, o procesos para el registro, identificación y monitoreo continuo de acceso, cambios, ejecución de comandos a, cualquier/todos los activos de información para la protección de información sensible del negocio.
 
SM 2. *Las prácticas de monitoreo se establecen de acuerdo con la criticidad de la infraestructura, datos y aplicaciones. SE RECOMIENDA proporcionar un monitoreo 7/24 para infraestructuras clasificadas como C3, I3 y A3 y asegurar que las responsabilidades de monitoreo se asignen según lo especificado en la cláusula PS 9, sección 4-6, Seguridad del Personal [PS].
 
SM 4. *Habilitan el registro en toda la infraestructura y equipos de procesamiento de datos, y aplicaciones que están asociadas con el acceso, transmisión, procesamiento, seguridad, almacenamiento y/o manejo de información clasificada con una calificación de confidencialidad de C2 y superior.
 
SM 5. Clasifican todos los registros de seguridad con una calificación de confidencialidad de C3, mientras que los registros de aplicaciones y sistemas DEBERÁN clasificarse de acuerdo con la calificación de confidencialidad del sistema.
 
SM 6. Los registros que contienen Información Personal tienen medidas de protección de privacidad adecuadas, de acuerdo con la Legislación Propuesta de Privacidad y Protección de la Información.
 
SM 7. *Estos registros se retienen por un mínimo de ciento veinte (120) días y un máximo dependiendo de las evaluaciones de criticidad y leyes y regulaciones específicas del sector.
 
SM 8. Las organizaciones DEBEN habilitar el registro de auditoría o captura de registros, para registrar fecha, hora, actividad de autenticación con identificadores únicos de usuario y sistema, incluyendo todas las acciones de fallo o cambio, además de los comandos emitidos y la salida generada para proporcionar suficiente información para permitir la reconstrucción de incidentes y mover el sistema a su estado original.
Las capacidades integrales de registro y monitoreo de Kiteworks proporcionan una base sólida para identificar accesos no autorizados y detectar abuso de privilegios. El sistema mantiene registros de auditoría detallados de todas las actividades, soporta monitoreo en tiempo real a través del Tablero del CISO, e integra con sistemas SIEM para monitoreo continuo, 24/7 de infraestructura crítica y datos sensibles. Kiteworks registra todas las interacciones del sistema, independientemente de la clasificación de datos, asegurando una cobertura integral para información calificada como C2 y superior. Aunque no clasifica explícitamente los registros como C3, Kiteworks trata todos los registros como altamente sensibles, protegiéndolos con cifrado fuerte y controles de acceso estrictos. Los períodos de retención de registros configurables del sistema, con la capacidad de retener registros por 120 días o más, apoyan los requisitos regulatorios. Además, los registros de auditoría detallados capturan todos los detalles esenciales de actividad, proporcionando la información necesaria para la reconstrucción de incidentes y análisis forense. Este enfoque integral para el registro y monitoreo permite a las organizaciones proteger efectivamente sus activos de información sensible y mantener el cumplimiento con los requisitos del Estándar.

Retención y Archivo de Datos [DR]

El objetivo del dominio es proporcionar dirección sobre el establecimiento del período de retención para la información y los controles de seguridad necesarios para proteger la información durante su vida útil.

Requisitos del Dominio Solución de Kiteworks
DR 2. *Los datos, que necesitan ser retenidos, se almacenan asegurando confidencialidad, integridad y disponibilidad y que puedan ser accedidos para propósitos futuros definidos.
 
DR 4. Los procesos para respaldo, archivo y recuperación de datos tienen procedimientos correspondientes que aseguran que la integridad y confidencialidad de los datos se mantenga.
 
DR 5. *Los datos archivados retienen sus marcas de clasificación y se aseguran en consecuencia.
 
DR 6. La tecnología de archivo implementada se revisa regularmente para asegurar que no sufra de obsolescencia y que los datos archivados se mantengan en un estado que permita una recuperación exitosa.
La plataforma emplea cifrado doble (a nivel de archivo y de disco) para datos en reposo, junto con cifrado en tránsito y controles de acceso fuertes, asegurando la confidencialidad, integridad y disponibilidad de los datos retenidos. Estas medidas de seguridad se extienden a los procesos de respaldo y recuperación, manteniendo la protección de datos durante todo su ciclo de vida. El marco de políticas de riesgo basado en contenido permite la retención de clasificaciones de datos incluso en un estado archivado, con medidas de seguridad aplicadas consistentemente basadas en estas clasificaciones. Kiteworks apoya prácticas modernas de archivo a través de sus características avanzadas de gestión de datos. Las actualizaciones regulares del sistema aseguran que las capacidades de almacenamiento y recuperación de datos se mantengan actuales y efectivas, minimizando el riesgo de obsolescencia tecnológica. Este enfoque integral para la retención y archivo de datos permite a las organizaciones mantener de manera segura sus activos de información para propósitos futuros definidos.

La información proporcionada en esta Guía no constituye, ni pretende constituir, asesoramiento legal; en su lugar, toda la información, contenido y materiales disponibles en esta Guía son solo para fines informativos generales. La información en esta Guía puede no constituir la información legal más actualizada u otra información. Las opciones adicionales están incluidas en esta Guía y son necesarias para apoyar el cumplimiento.

 

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

始めましょう。

Kiteworksを使用すれば、規制コンプライアンスを確保し、リスクを効果的に管理することが簡単に始められます。今日、コンテンツ通信プラットフォームに自信を持つ数千の組織に参加しましょう。以下のオプションから選択してください。

Compartir
Twittear
Compartir
Explore Kiteworks