5 consejos básicos en Compliance

By daniela -

5 consejos básicos en Compliance

Compliance: complicado, costoso y absolutamente crítico.

El termino compliance se refiere al cumplimiento de las leyes, políticas y regulaciones que se aplican a la forma en la que una empresa recopila, comparte y asegura los datos. Es establecido por agencias gubernamentales u organizaciones de la industria, naturalmente no se encuentra penado por ley, sin embargo, el incumplimiento puede conllevar responsabilidad legal.

Durante años las empresas se han quejado sobre la fatiga que conlleva dicha actividad, y día a día los requisitos parecen seguir creciendo. No es sorpréndete que las empresas luchen a diario con el tema. Los avances han sido desiguales entre sí y, por supuesto compliance no es lo mismo que seguridad, seguir las reglas no es una garantía de seguridad, como se ha visto a través de las constantes noticias de incumplimiento.

A continuación, compartimos cinco consejos básicos para mantener el nivel de cumplimiento en la empresa:

Planificar el alcance real

Es vital analizar y comprender qué información debe protegerse, dónde será almacenada, transmitida y/o procesada, pero quizás lo más importante es determinar si es mejor primero almacenarla o transmitirla.

No transmitir, almacenar o procesar datos confidenciales reduce el alcance del cumplimiento. Si esto no es una opción, será necesario establecer límites sobre cómo se transmiten, almacenan y/o procesan los datos, dónde se pueden guardar, por cuánto tiempo y quién puede acceder a ellos, posterior al establecimiento de dichas actividades, será importante documentarlas en una política.

Delimitar un presupuesto apropiado

El incumplimiento es un riesgo mayor… ¿Cuánto podría costarle a su organización tener una reputación de incumplimiento o incluso sufrir alguna violación por la misma causa?

Al crear un presupuesto se debe tener en cuenta las personas, los procesos y la tecnología junto con el alcance del ambiente. Muchas compañías transfieren riesgos y funciones de compliance como son seguridad física, de red y de host a proveedores de servicios administrados de seguridad o MSSP.

Conocido como un modelo de responsabilidad compartida, transferir los riesgos puede maximizar el gasto en tareas mejor ejecutadas a escala. Aprovechar MSSP para poner en funcionamiento los presupuestos en lugar de comprar gastos de capital y contratar a un equipo de personal a tiempo completo ofrece beneficios adicionales.

Crear una estrategia de encriptación

"Cifrar datos confidenciales" es una declaración simple, lógica, directa y con sentido, sin embargo, desde una perspectiva de compliance, muchas cosas pueden salir mal con el cifrado. Es por ello la importancia de contar con una estrategia sobre cómo utilizar el cifrado en datos confidenciales y contar con diferentes escenarios que incluyan transmisión de datos, datos en reposo y datos en uso (sin olvidar los backups).

Cada escenario contará con opciones múltiples, sus propias consideraciones de seguridad y cumplimiento; estos incluyen (pero no se limitan): procedimientos de administración de claves, cifrados, seguridad de clave, algoritmos de cifrado, protocolos, niveles FIPS-140-2 y más.

Cumplimiento continuo

Cada nueva regulación de cumplimiento ejerce cambios importantes sobre las versiones anteriores, así que el compliance de hoy seguramente no será el mismo que mañana. Mantenerse al día es un esfuerzo que requiere monitoreo y revisión continuos. Identificar y priorizar el riesgo a través de evaluaciones periódicas es una función crítica para los esfuerzos de cumplimiento. Esto puede ser en forma de escaneo de vulnerabilidades, monitoreo de configuración, evaluaciones de riesgos y pruebas de penetración. El cumplimiento debe ser evaluado continuamente para garantizar que los controles estén implementados y sean efectivos, no solo durante auditorías.

Crear una cultura de seguridad

Construir una cultura de seguridad requiere que todos comprendan que la seguridad es responsabilidad de todos; proporcionar un programa de concientización de seguridad es absolutamente obligatorio. Concientice a su equipo de trabajo con capacitación y educación relevante y apropiada sobre cómo cada uno puede mantener segura a la compañía, desde la gerencia hasta los técnicos. Esto debe ser una actividad frecuente, mucho más que solo una vez al año.

La cultura de seguridad debe extenderse más allá de las cuatro paredes de la organización, debe ser una actividad de conciencia para sus colaboradores, extendiéndose en donde quiera que se encuentren, incluso en sus hábitos personales en línea.

 

Ciertamente estos cinco consejos no resolverán todos sus desafíos de cumplimiento, pero son una buena guía para comenzar. Si está buscando un socio estratégico para conocer en que posición se encuentra su empresa en comparación con estándares de cumplimiento específicos, incluidos NIST (DFARS), NIST (FISMA), FedRAMP, HIPAA / HITECH, ISO, PCI, SOC2 y más, considere Rackspace.