Cinco maneras de comprender los requisitos de cumplimiento de normas
Brooke Jackson
Compliance: es complicado, costoso y… absolutamente crítico. La práctica del compliance se refiere a cumplir con las leyes, políticas y normativas que se aplican a cómo una empresa recopila, comparte y protege sus datos. Estas normas, establecidas por agencias gubernamentales u organizaciones de la industria , no siempre tienen fuerza de ley, pero no cumplirlas puede ocasionar una responsabilidad legal. Aunque las empresas se quejan de la “fatiga relacionada con el compliance” desde hace años, los requisitos parecen seguir aumentando, sobre todo, el Reglamento General de Protección de Datos de la Unión Europea, o GDPR, que entró en vigor en mayo pasado, y la inminente CCPA, o Ley de Privacidad del Consumidor, que entra en vigor en enero de 2020. No sorprende entonces que las organizaciones se vean en dificultades. Los pasos han sido dispares y, desde luego, el compliance no garantiza nada; cumplir con las reglas difícilmente sea una garantía de seguridad, como dejan en claro las noticias constantes sobre falta de cumplimiento. Mientras el debate sobre la fatiga relacionada con el compliance y el furor sobre compliance frente a la seguridad continúa, presentamos cinco pasos concretos que usted puede tomar ahora para actualizarse y seguir cumpliendo con las normas.
Plan para alcance correcto
Dedicar tiempo a comprender qué información electrónica debe protegerse y dónde sealmacena, transmite o procesa es crucial, pero quizás sea más importante determinar si es necesario almacenar o transmitir La información en primer lugar. No transmitir, almacenar ni procesar datos confidenciales puede reducir el alcance del cumplimiento de normas .
Siesono es una opción, establezca límites acerca decómo se transmiten, almacenan o procesan los datos, , dónde puede mantenerse, por cuánto tiempo y quién puede acceder a ellos; luego documente esos límites en la política.
Presupueste de manera adecuada
Trate la falta de cumplimiento de normas como un riesgo. ¿Cuánto podría costarle a su organización que se la considere como una empresa incumplidora o, peor aún, que sufra una violación de seguridad por no cumplir las normas? La elaboración de un presupuesto debe tener en cuenta las personas, los procesos y la tecnología, junto con el alcance del ambiente. Esté al tanto del incremento del alcance. Muchas compañías transfieren riesgos y funciones de cumplimiento de normas, como seguridad física, de redes y hospedaje, a proveedores de servicios de seguridad administrada, o MSSP. Conocido como un modelo de responsabilidad compartida, transferir el riesgo puede ayudar a maximizar el cumplimiento de normas dedicado a tareas que se logran mejor a escala. Aprovechar los MSSP para hacer operativos los presupuestos, en contraposición a la compra de egresos de capital y la contratación de un equipo depersonalde tiempo completo ofrece beneficios adicionales.
Crear una estrategia de encriptación
“Encripte los datos confidenciales” es una afirmación sencilla, lógica, directa y con sentido común. Perodesde la perspectiva del cumplimiento de normas, muchas cosas pueden salir mal con la encriptación. Por eso esimportante tener una estrategia sobre la encriptaciónde datos confidenciales, con escenarios que incluyen la transmisión de datos, los datos en reposo y los datos en uso (¡y no olvide los respaldos!).
Probablemente, cada escenario tendrá varias opciones, cada una con su propia consideración de seguridad y cumplimiento de normas. Estas incluyen (pero sin limitación): procedimientos clave de administración, cifrados, fuerza clave, algoritmos de encriptación, protocolos, niveles FIPS-140-2 y más.
Acepte elcumplimiento de normas continuo
Como queda dolorosamente claro con cada nueva reglamentación de cumplimiento de normas, hoy en día el cumplimiento no significa que hay que dejarlo para mañana. Estar al día es un esfuerzo activo que requiere monitoreo y revisión continuos. Identificar y priorizar el riesgo mediante evaluaciones periódicas es una función crítica para respaldar los esfuerzos de cumplimiento. Esto podría ser en forma de escaneo de vulnerabilidades, monitoreo de configuración, evaluaciones de riesgos y pruebas de penetración. El cumplimiento de normas debe evaluarse continuamente para garantizar que los controles estén implementados y sean efectivos, no solo el día de la auditoría.
Priorizar la creación de una cultura de seguridad
La construcción de una cultura de la seguridad requiere que todos comprendan que la seguridad es responsabilidad de todos. Proporcionar un programa de sensibilización de seguridad atractivo es una necesidad absoluta. Creeuna concientización de sus empleados con capacitación y educación relevantes y adecuadas sobre su función enmantener la organización segura, desde los altos niveles gerenciales a los más técnicos. Esto no hay que hacerlo solo una vez al año. Con unperímetro que va disminuyendo, una cultura de seguridad debe extenderse más allá de las cuatro paredes de una organización. La conciencia de seguridad debe extenderse a donde sea que sus empleados trabajen así como en sus hábitos personales en línea. Estos cinco consejos no arreglarán todos sus problemas de cumplimiento de normas, pero son un excelente inicio. Y si está buscando unsocio estratégico para comprendercómo está sunegocio frente a los estándaresdecumplimiento de normas, entre ellos, NIST (DFARS), NIST (FISMA), FedRAMP, HIPAA/HITECH, ISO, PCI y SOC2, considere Rackspace.