No basta solo con el compliance para proteger a su empresa
Chris Melli
Cuando su empresa se propone conseguir una norma de compliance, como PCI DSS, GDPR, CCPA o HIPAA, está dando un paso importante para protegerla. El proceso de compliance implica abordar los controles clave en torno a firewalls, contraseñas, codificación, malware, acceso, etc., además de implementar las mejores prácticas de seguridad. Todos estos son elementos importantes de un programa de seguridad.
Pero, lamentablemente, el compliance solo no es suficiente para proteger su empresa del panorama actual en rápida evolución de la ciberseguridad.
Por lo general, las normas de compliance se diseñan para un propósito único y específico. Por ejemplo, la norma PCI DSS se creó para mejorar la seguridad de los datos de los titulares de tarjetas y proteger los datos de la cuenta. Pero, debido a que se reduce a un límite de alcance específico o "enclave", es posible que no proteja todos los activos, los sistemas y las funciones clave que son críticos para su organización (fuera de ese enclave). Incluso dentro del límite en sí, es probable que todavía deba implementar controles más generalizados para proteger mejor el ambiente integral en el que opera.
Otros programas de compliance regulatorio también tienen un diseño similar limitado. El GDPR se centra en las amplias protecciones de la privacidad digital. La CCPA se centra en los derechos de privacidad de los datos. La HIPAA está diseñada para proteger los datos de salud. La SOX tuvo su origen después de escándalos corporativos importantes para certificar la precisión de los estados financieros.
Estas normas, como también otras, sin duda abordan los objetivos de la iniciativa de compliance para la que se crearon. Y cumplen con numerosos grupos de control críticos y fomentan muchas mejores prácticas. Pero no están diseñadas para ser la base de su programa de ciberseguridad. Entonces, ¿qué debería hacer?
Integre su programa de compliance en una infraestructura basada en el riesgo
Sin duda, implemente las normas de compliance regulatorio en los siguientes casos:
- Cuando lo requiere su organización o industria.
- Cuando se definen por contrato.
- Cuando se espera que fomenten el crecimiento de la empresa.
- Cuando se necesiten para brindar soporte a otras funciones comerciales o legales.
Pero, al mismo tiempo, busque agrupar los programas de compliance requeridos con una infraestructura basada en el riesgo general que se pueda usar como una base de ciberseguridad más sólida.
Una infraestructura basada en el riesgo se centra en entender y responder a factores que pueden generar fallas en cuanto a la confidencialidad, la integridad y la disponibilidad. Y comienza con controles que protegen su organización de escenarios de riesgo actuales o aparentes.
Puede utilizar una infraestructura basada en el riesgo para desarrollar o mejorar su programa de ciberseguridad, al centrarse en el diseño y la implementación de los controles, la tecnología y la inversión asociada en función del riesgo que representa para su organización.
Aplicar una infraestructura basada en el riesgo lo ayudará a crear un ambiente general más seguro que si cuenta solo con el compliance. También puede ayudarlo a tener la información más actualizada y relevante dentro de un panorama de seguridad en rápida evolución, ya que puede modificar los controles con más libertad en función de los riesgos actuales que son importantes para su organización.
A menudo, las regulaciones no se actualizan lo suficientemente rápido como para brindarle una amplia garantía en cuanto a la seguridad, por lo que agrupar los programas de compliance requeridos con una infraestructura más completa basada en el riesgo es un camino mucho más conveniente.
Beneficios de un enfoque de infraestructura basada en el riesgo
Al aplicar un enfoque de infraestructura basada en el riesgo, usted puede hacer lo siguiente:
- Proteger por completo sus evaluaciones más críticas
- Personalizar los controles de acuerdo con sus necesidades específicas de seguridad y organizativas
- Tomar una postura más proactiva en cuanto a la seguridad
- Fomentar una cultura resiliente
- Mejorar su enfoque relacionado con el compliance regulatorio de manera orgánica
Un enfoque basado en el riesgo con respecto a la ciberseguridad ofrece todos estos beneficios y muchos más, en función de su diseño fundamental y pragmático. Al comprender primero cuáles son los activos más críticos y, luego, responder a escenarios de riesgo del mundo real que pueden afectar a esos activos críticos, su organización podrá encaminarse hacia una seguridad proactiva que minimizará su panorama de amenazas.
Al animar a los empleados para que trabajen con miembros del equipo de riesgo y compartan amenazas reales (con un equipo de riesgo que busca amenazas de manera proactiva), la cultura de su empresa se vuelve más resiliente a los cambios que se producen en el ambiente externo. Esto en sí mismo también ayudará a mejorar el enfoque en cuanto al control de manera orgánica, lo que además brinda soporte, al mismo tiempo, a la madurez posterior del compliance regulatorio.
¿Cuáles son algunas infraestructuras basadas en el riesgo que puede considerar?
Para administrar de manera más eficaz su programa de ciberseguridad, implemente una infraestructura basada en el riesgo que también lo ayude a mantener el compliance, cuando corresponda. Las dos infraestructuras más reconocidas incluyen las siguientes:
- La Organización Internacional de Normalización/Comisión Electrotécnica Internacional (ISO 27001) es una norma reconocida a nivel internacional que provee una infraestructura basada en el riesgo para los Sistemas de gestión de la seguridad de la información (ISMS). Está diseñada para ayudar a garantizar la confidencialidad, integridad y disponibilidad continuas de la información, y cualquier tipo de organización que necesite administrar la seguridad de sus activos puede utilizarla. También puede obtener la certificación dentro de esta infraestructura y conseguir diferentes beneficios comerciales al hacerlo, como mantener los negocios actuales, lograr nuevos acuerdos y mejorar el enfoque con respecto a la seguridad.
- El Instituto Nacional de Estándares y Tecnología (NIST) es una agencia no reguladora del Departamento de Comercio de los Estados Unidos, cuya tarea consiste en investigar y establecer normas en todas las agencias federales. En concreto, la publicación especial 800-53 del NIST define las normas y pautas para que las agencias federales diseñen y administren sus sistemas de seguridad de la información.
Aunque el NIST se estableció para proporcionar orientación para la protección de los datos privados de las agencias y los ciudadanos, esta infraestructura basada en el riesgo se aplica a una amplia base de organizaciones del sector público y privado. Por esa razón, las empresas del sector privado pueden, y han elegido, implementar esta infraestructura, o partes de esta, dentro de la creación de sus propios programas de ciberseguridad, ya que se acepta abiertamente como una norma de referencia de la industria. El diseño general de la publicación 800-53 del NIST está orientado a la empresa, lo que significa que los controles no son tan específicos en cuanto a los límites como ocurre con otros programas de compliance.
Administración de la seguridad en la nube con Rackspace Technology
Cuando se trata acerca de la administración de la seguridad en la nube, no tiene que hacerlo solo. Rackspace Technology puede asociarse con usted para abordar todo aspecto de su recorrido hacia la seguridad y facilitarle el trabajo a su equipo interno para que pueda poner su atención en iniciativas más estratégicas.
A través de nuestra experiencia con miles de clientes y nuestro extenso ecosistema de socios, podemos ayudarlo a definir e implementar una estrategia de seguridad en la nube diseñada para mantener a su empresa segura.
¿Sabe cuál es su puntuación de riesgo de ciberseguridad actual? Realice hoy nuestra autoevaluación de 15 preguntas. Luego, aproveche una consulta profesional con uno de nuestros expertos en la nube que revisará sus resultados y le ofrecerá recomendaciones en cuanto a las mejores prácticas sobre cómo abordar todas las deficiencias identificadas en la seguridad.
Recent Posts
El futuro de la excelencia en el sector de manufacturing: cómo tres empresas adoptaron una nube de next-generation
Septiembre 27th, 2023
Aspectos destacados de Google Cloud Next '23: AI y mucho más
Septiembre 14th, 2023
¿Qué es la modernización que tiene en cuenta las necesidades de las cargas de trabajo? ¿Y por qué es fundamental para ejecutar cargas de trabajo en la infraestructura correcta?
Septiembre 6th, 2023
Dominar la multi-cloud: el poder del almacenamiento de datos híbrido
Agosto 31st, 2023