Cinco maneras de comprender los requisitos de cumplimiento de normas 

By Brooke Jackson -

5 Ways to Get a Handle on Compliance Requirements 

Cumplimiento de normas: es complicado, costoso y absolutamente crítico.

La práctica del cumplimiento de normas se refiere a cumplir con las leyes, políticas y normativas que se aplican a cómo una empresa recopila, comparte y y protege sus datos.Estas normas, establecidaspor agencias gubernamentales u organizaciones de la industria , no siempre tienen fuerza de ley, pero no cumplirlas puede ocasionar una responsabilidad legal.

Aunque las empresas se quejan de la “fatiga del cumplimiento” desde hace años, los requisitos parecen seguir aumentando, sobre todo, el Reglamento General de Protección de Datosde la Unión Europea, o GDPR, que entró en vigor en mayo pasado, y la inminente CCPA, o Leyde Privacidad del Consumidor, que entra en vigor en enero de 2020.  

No sorprende entonces que las organizaciones se vean en dificultades. Los pasos han sido dispares y, desde luego, el cumplimiento de normas no garantiza nadacumplir con las reglas difícilmente sea una garantía de seguridad, como dejan en claro las noticias constantes sobre falta de cumplimiento.   

Mientras eldebates sobre la fatiga del cumplimiento de normas y el furor sobre cumplimiento de normas contra seguridad continúa, presentamos cincopasos concretos que usted puede tomar ahora para actualizarse y seguir cumpliendo con las normas 

Plan para alcance correcto 

Dedicar tiempo a comprender qué información electrónica debe protegerse y dónde sealmacena, transmite o procesa es crucial, pero quizás sea más importante determinar si es necesario almacenar o transmitir La información en primer lugar. No transmitir, almacenar ni procesar datos confidenciales puede reducir el alcance del cumplimiento de normas .  

Siesono es una opción, establezca límites  acerca decómo se transmiten, almacenan o procesan los datos, , dónde puede mantenerse, por cuánto tiempo y quién puede acceder a ellos; luego documente esos límites en la política 

Presupueste de manera adecuada 

Trate la falta de cumplimiento de normas como un riesgo. ¿Cuánto podría costarle a su organización que se la considere como una empresa incumplidora o, peor aún, que sufra una violación de seguridad por no cumplir las normas? La elaboración de un presupuesto debe tener en cuenta las personas, los procesos y la tecnología, junto con el alcance del ambiente. Esté al tanto del incremento del alcance. Muchas compañías transfieren riesgos y funciones de cumplimiento de normas, como seguridad física, de redes y hospedaje, a proveedores de servicios de seguridad administrada, o MSSP.  

Conocido como un modelo de responsabilidad compartidatransferir el riesgo puede ayudar a maximizar el cumplimiento de normas dedicado a tareas que se logran mejor a escala. Aprovechar los MSSP para hacer operativos los presupuestos, en contraposición a la compra de egresos de capital y la contratación de un equipo depersonalde tiempo completo  ofrece beneficios adicionales.  

Crear una estrategia de encriptación 

Encripte los datos confidenciales es una afirmación sencilla, lógica, directa y con sentido común. Perodesde la perspectiva del cumplimiento de normas, muchas cosas pueden salir mal con la encriptación. Por eso esimportante tener una estrategia sobre la encriptaciónde datos confidenciales, con escenarios que incluyen la transmisión de datos, los datos en reposo y los datos en uso (¡y no olvide los respaldos!).

Probablemente, cada escenario tendrá varias opcionescada una con su propia consideración de seguridad y cumplimiento de normas. Estas incluyen (pero sin limitación): procedimientos clave de administración, cifrados, fuerza clave, algoritmos de encriptación, protocolos, niveles FIPS-140-2 y más.   

Acepte elcumplimiento de normas continuo

Como queda dolorosamente claro con cada nueva reglamentación de cumplimiento de normas, hoy en día el cumplimiento no significa que hay que dejarlo para mañana. Estar al día es un esfuerzo activo que requiere monitoreo y revisión continuos. Identificar y priorizar el riesgo mediante evaluaciones periódicas es una función crítica para respaldar los esfuerzos de cumplimiento. Esto podría ser en forma de escaneo de vulnerabilidades, monitoreo de configuración, evaluaciones de riesgos y pruebas de penetración. El cumplimiento de normas debe evaluarse continuamente para garantizar que los controles estén implementados y sean efectivos, no solo el día de la auditoría.  

Priorizar la creación de una cultura de seguridad  

La construcción de una cultura de la seguridad requiere que todos comprendan que la seguridad es responsabilidad de todos. Proporcionar un programa de sensibilización de seguridad atractivo es una necesidad absoluta. Creeuna concientización de sus empleados con capacitación y educación relevantes y adecuadas sobre su función enmantener la organización segura, desde los altos niveles gerenciales a los más técnicos. Esto no hay que hacerlo solo una vez al año. Con unperímetro que va disminuyendo, una cultura de seguridad debe extenderse más allá de las cuatro paredes de una organización. La conciencia de seguridad debe extenderse a donde sea que sus empleados trabajen así como en sus hábitos personales en línea.   

Estos cinco consejos no arreglarán todos sus problemas de cumplimiento de normas, pero son un excelente inicio. Y si está buscando unsocio estratégico para comprendercómo está sunegocio frente a los estándaresdecumplimiento de normas, entre ellos, NIST (DFARS), NIST (FISMA), FedRAMP, HIPAA/HITECH, ISO, PCI y SOC2, considere Rackspace.