Los requisitos de cumplimiento están destinados a aumentar la transparencia y la rendición de cuentas en materia de ciberseguridad. A medida que aumentan las amenazas cibernéticas, también aumenta el número de marcos de cumplimiento y la especificidad de los controles, políticas y actividades de seguridad que incluyen.
Para los CISO y sus equipos, eso significa que el cumplimiento es un proceso lento y de alto riesgo que exige sólidas habilidades organizativas y de comunicación, además de experiencia en seguridad.
Recurrimos al grupo de expertos del CISO para conocer su opinión sobre las mejores formas de abordar los requisitos de cumplimiento de privacidad y seguridad de los datos. En este blog, comparten estrategias para reducir el dolor de lidiar con el proceso de cumplimiento, incluida la gestión de riesgos y la alineación de las partes interesadas.
Siga leyendo para conocer recomendaciones para convertir el cumplimiento de un «mal necesario» en una herramienta estratégica que le ayude a evaluar el riesgo cibernético, ganar presupuesto y aceptación, y aumentar la confianza de los clientes y accionistas.
¿Qué CISO se preocupan más por el cumplimiento?
La forma en que los CISO ven el cumplimiento de la ciberseguridad puede variar mucho, según el tamaño de la empresa, la geografía, el sector, la sensibilidad de los datos y el nivel de madurez del programa. Por ejemplo, si es una empresa que cotiza en bolsa en los Estados Unidos, no tendrá más remedio que cumplir con múltiples regulaciones, así como mantener evaluaciones de riesgos y planes de acciones correctivas.
Si es una agencia gubernamental o vende a una, deberá cumplir con requisitos específicos del sector público. Los bancos, las organizaciones de atención médica, las infraestructuras, las empresas de comercio electrónico y otras empresas deben seguir reglas de cumplimiento específicas de la industria.
Incluso si no pertenece a ninguna de estas categorías, existen muchas razones por las que necesitará demostrar las mejores prácticas de seguridad, como buscar una certificación SOC o solicitar un seguro de ciberseguridad. Para todas las organizaciones, marcos amplios de cumplimiento de ciberseguridad como NIST CSF e ISO proporcionan modelos a seguir y estructuras para comunicar resultados.
Dicho esto, «seguridad no es igual a cumplimiento» es un mantra que se escucha a menudo entre los CISO. Ciertamente, el hecho de que usted cumpla no significa que esté seguro. Las organizaciones de ciberseguridad altamente maduras pueden considerar el cumplimiento como mínimo e ir mucho más allá de los componentes requeridos para proteger sus organizaciones.
El cumplimiento como facilitador de negocios
Si bien un CISO puede recomendar inversiones y prácticas de ciberseguridad para cumplir con los requisitos de cumplimiento, no es quien toma las decisiones en última instancia. Por lo tanto, una responsabilidad clave de un CISO es comunicar el riesgo de incumplimiento y trabajar con otros líderes de la empresa para decidir qué iniciativas priorizar. El riesgo, en este contexto, incorpora no sólo el riesgo técnico, sino también el riesgo empresarial.
A Steve Zalewski, ex CISO de Levi Strauss, le gusta utilizar la metáfora del «palo y la zanahoria». » Históricamente, la auditoría y el cumplimiento han sido el bastón que te obliga a hacer algo «, comparte en el podcast Defense-in-Depth, » pero obligarte a hacerlo no significa que el negocio esté alineado con el valor de haciéndolo «. Para evitar fricciones, recomienda mostrar a la gente el valor comercial de la ciberseguridad compatible. » Tiene que haber un componente de zanahoria para que sientan que tienen opción al respecto «, afirma.
El liderazgo debe sopesar los costos y beneficios de garantizar el cumplimiento con los costos potenciales del incumplimiento.
Supongamos que una organización no cumple plenamente las mejores prácticas de seguridad para la gestión de privilegios. Si bien el incumplimiento podría dar lugar a multas regulatorias y demandas de los accionistas, las brechas de seguridad subyacentes podrían causar un impacto aún mayor en el negocio, incluido tiempo de inactividad, pagos de ransomware y pérdida de ingresos. Por otro lado, cumplir con los requisitos de cumplimiento podría generar valor comercial, como ventas más rápidas, asociaciones más sólidas o tarifas de seguro cibernético más bajas.
Como parte de un programa integral de gestión de riesgos, las juntas directivas y el liderazgo ejecutivo deben sopesar los costos y beneficios de garantizar el cumplimiento con los costos potenciales del incumplimiento. En algunos casos, pueden decidir que un cierto nivel de riesgo es aceptable y optar por no implementar salvaguardias adicionales. En otros casos, pueden duplicar su apuesta.
Cómo los CISO utilizan los marcos de cumplimiento para planificar su hoja de ruta de ciberseguridad
Algunos CISO utilizan marcos de cumplimiento como metodología para incorporar técnicas y procesos en su programa de ciberseguridad. Básicamente, informan las prioridades del programa y crean una lista de compras de soluciones imprescindibles que se alinean con el programa que están intentando crear.
En el podcast Audience First, Brian Haugli, ex CISO de Fortune 500, ve una diferencia entre depender del cumplimiento y utilizar marcos de cumplimiento para guiar la gestión de riesgos informada.
» No podemos ser blancos y negros. Tenemos que poder tomar decisiones basadas en el riesgo, decir: ‘Aceptaré este riesgo porque no puedo darme el lujo de cerrarlo ahora mismo. Pero haré estas cosas para mitigar el riesgo a un nivel suficientemente bajo que me permita aceptarlo » .
Los CISO necesitan socios que cumplan con las normas
Los CISO no están solos en el barco del cumplimiento. Deben crear asociaciones con equipos legales, funcionarios de privacidad y comités de auditoría o riesgos para comprender los cambios en los requisitos de cumplimiento y decidir cómo abordarlos.
A veces, estos socios internos requieren que los equipos de seguridad implementen controles más estrictos, pero también pueden tomar frenos. Como nos dijo un CISO de un proveedor de tecnología de rápido crecimiento: » Francamente, lo legal me supera todos los días de la semana. Me dicen lo que puedo y no puedo hacer. Me encantaría poder monitorear el comportamiento de todos, pero la privacidad Las leyes dicen que no puedo hacer eso » .
Los equipos de cumplimiento hacen muchas cosas para las que los ingenieros y analistas de seguridad no tienen tiempo ni recursos. Responsabilizan a la seguridad y verifican dos veces que los controles funcionen como se espera. Actúan como intermediarios entre los equipos de seguridad, los reguladores y los auditores para demostrar el cumplimiento, ya sea que eso signifique recopilar evidencia a través de cuestionarios de seguridad manuales o mediante integraciones tecnológicas.
Por ejemplo, para una certificación del sector público, los controles de seguridad deben monitorearse, registrarse y conservarse durante al menos seis meses de datos para evidenciar que han hecho lo que dijeron que iban a hacer.
Herramientas y recursos que respaldan el cumplimiento
Los registros de riesgos son útiles para alinear a todas las partes interesadas al documentar todos los riesgos y organizarlos por prioridad. Si todos miran la misma información, podrán ponerse de acuerdo sobre las acciones apropiadas. Como parte de un programa de gestión de riesgos, las políticas, estándares y procedimientos se revisan periódicamente y cualquier cambio se aprueba antes de su implementación.
Al utilizar herramientas como los sistemas GRC y el monitoreo continuo del cumplimiento, las organizaciones pueden realizar un seguimiento de las actividades de seguridad en curso e informar los resultados. Los sistemas GRC pueden vincularse a SIEM para recopilar registros y escáneres de vulnerabilidades que muestran que se completaron las comprobaciones. » En lugar de barajar hojas de cálculo, hemos creado varios conectores que se integran con nuestra plataforma GRC para demostrar que cumplimos «, explica el CISO de tecnología. » Asignan todas las certificaciones en un solo panel, de modo que cuando entra un auditor, le mostramos una pantalla que dice: ‘Aquí está la evidencia ‘» .
Además de las herramientas, muchas empresas dependen de terceros para realizar evaluaciones de cumplimiento. Pueden realizar una auditoría de cumplimiento interna antes que una externa para asegurarse de que no haya sorpresas si los reguladores llaman.
Cumplir una vez, Aplicar a muchas
La mayoría de las organizaciones tienen numerosos organismos de cumplimiento a los que deben responder, así como proveedores, clientes y socios de seguros cibernéticos. Si bien el cumplimiento puede ser una carga, la buena noticia es que existen técnicas para agilizar el proceso de evaluación. » Si analizamos todos los principales organismos de cumplimiento, aproximadamente el 80 % de los requisitos son los mismos «, afirma el CISO de un proveedor de SaaS. » Puede alinearse con un marco como NIST y aplicar las mismas prácticas en todos ellos. «
Por ejemplo, los requisitos de gestión de acceso privilegiado (PAM), como la gestión de contraseñas, la autenticación multifactor (MFA) y los controles de acceso basados en roles, son comunes en todos los marcos de cumplimiento. Puede profundizar en los detalles para ver cómo aparece PAM en una variedad de requisitos de cumplimiento en Delinea.com.
Requisitos de cumplimiento emergentes
El cumplimiento es un espacio fluido con requisitos que evolucionan para abordar los patrones de riesgo y las condiciones comerciales cambiantes. Los CISO buscan orientación en los organismos de cumplimiento sobre la gestión de riesgos cibernéticos emergentes, como la Inteligencia Artificial.
En el futuro, los CISO esperan que garantizar el cumplimiento se convierta en una parte aún mayor de su trabajo. A medida que la industria enfrenta amenazas cada vez mayores, el cumplimiento es una parte clave de un enfoque estratégico e integral para la gestión de riesgos de ciberseguridad.
Fuente y redacción: thehackernews.com
