El éxito en el cumplimiento de TI no es igual al éxito en seguridad
Los directores de seguridad se sienten frustrados; ahora tienen la responsabilidad adicional de asegurar el cumplimiento normativo de TI y alternativamente se ven obligados a gastar el tiempo, esfuerzo y dinero en cumplir los requisitos de auditor con los cuales pueden no estar de acuerdo. Además, la dirección ejecutiva normalmente equivale a más presupuestos y gastos en cumplimiento de una mayor seguridad. Si bien esto puede ser cierto en algunos casos, este error puede darles una falsa sensación de seguridad.
La verdad es que es posible tener una excelente seguridad y no tener cumplimiento, y es posible pasar una auditoría de cumplimiento con gran éxito y tener poca seguridad. La falsa idea de que el cumplimiento es igual a la seguridad ha llevado a las organizaciones a gastar en exceso en el cumplimiento, a veces en detrimento de la seguridad. Muchas industrias reguladas dedican ahora una parte importante de los recursos de seguridad en iniciativas de cumplimiento. De hecho, una empresa recortó su presupuesto de seguridad en 30% y aplazó algunos de sus proyectos de seguridad debido a que los recursos tenían que ser asignados para poner los puntos sobre las íes en sus esfuerzos de cumplimiento a la ley Sarbanes-Oxley (SOX).
Otro ejemplo de cómo el cumplimiento normativo no conduce a una mejor seguridad se puede ver en los esfuerzos de cumplimiento de la Ley Federal de Gestión de la Seguridad de la Información (FISMA) en las agencias federales. Si las notas fueran un verdadero indicador de la seguridad de la información, tendríamos que concluir que la Agencia de Protección Ambiental, que recibió un grado de cumplimiento de A+ en la FISMA 2005, hace un trabajo mucho mejor en asegurar sus sistemas que el Departamento de Defensa (grado 2005: F). Sin embargo, en realidad, el Departamento de Defensa establece y se adhiere a un régimen de seguridad mucho más estricto para sus sistemas que la mayoría de otras agencias. Le va mal en las evaluaciones de FISMA porque la agencia se esfuerza por demostrar que está gestionando todos sus sistemas dispares según los requisitos de FISMA.
1. Base su programa de seguridad en un marco de seguridad. Los CISO deben desarrollar sus programas de seguridad sobre la base de principios de seguridad, más que en los mandatos regulatorios. Los marcos como ISO 17799 o COBIT son buenos puntos de partida. Una vez que se establecen el marco y los controles asociados, las organizaciones pueden asignarlos a las regulaciones actuales y futuras, haciendo los ajustes necesarios. Si un programa de seguridad se basa en los mandatos de cumplimiento, tendrá que ser actualizado o modificado cada vez que salga una nueva regulación o incluso cuando un reglamento existente se actualiza. En segundo lugar, una regulación generalmente cubre un tipo particular de riesgo (es decir, la protección de la información personal, la protección de los números de tarjetas de crédito, etc.), pero no se ocupa de los riesgos del negocio, incluyendo la protección de la propiedad intelectual corporativa o un modelo de negocio.
2. Impulse los presupuestos de cumplimiento para controles de seguridad de la información. Distinga entre el gasto en seguridad y el gasto en cumplimiento. Los CIO a menudo agrupan los gastos de cumplimiento normativo con el gasto en seguridad de información, simplemente porque la organización de seguridad de la información ha sido hecha responsable del cumplimiento normativo. Los CISO necesitan educar a la gerencia respecto a que las decisiones del gasto en seguridad no solo se extienden a cumplir los requisitos de cumplimiento normativo, sino que también deben estar basadas en las amenazas a la organización y alineadas con los objetivos corporativos.
3. Automatice el cumplimiento de políticas y la auditoría. Los auditores le agradecerán por hacer su trabajo y ahorrarles el tiempo y esfuerzo de recopilar esta información manualmente. Este es un ganar-ganar para las empresas y los auditores. Las agencias federales de Estados Unidos con programas de cumplimiento exitosos han automatizado la recopilación, medición y reporte de los datos de cumplimiento, lo que hace que la auditoría sea más fácil y ocupe menos tiempo. Por ejemplo, la Agencia de EE.UU. para el Desarrollo Internacional (USAID) utiliza Skybox Security Inc. para recibir un perfil de riesgo al minuto de todo su entorno. Hacerlo de este modo permite a USAID centrarse en las áreas que tienen los mayores riesgos, mientras automáticamente hace el seguimiento del estado de remediación que los auditores pueden utilizar para demostrar el cumplimiento. Otras organizaciones utilizan las herramientas de gestión de información de seguridad (SIM) de proveedores como Consul Risk Management Inc., Intellitactics Inc., McAfee Inc. (Preventsys) o herramientas de gestión de riesgo de la información de compañías como Archer Technologies Inc. o Brabeion Inc. para documentar y automatizar sus controles de seguridad para el cumplimiento. Estas herramientas no solo hacen un excelente trabajo al agregar los datos de diferentes partes de la organización, sino también automatizan la auditoría y generan reportes para las iniciativas de cumplimiento individuales.
4. Esté preparado para gestionar el cambio en las amenazas y los reglamentos. Los programas de seguridad eficaces pueden hacer frente a los cambios en las amenazas y las regulaciones. Las empresas deben ser capaces de manejar simultáneamente el siempre cambiante panorama de amenazas en seguridad de la información y el cambio de los requisitos regulatorios. Y los CISO tendrán que regularmente volver a evaluar sus programas de seguridad y cumplimiento para asegurar su actualidad y adecuación. Normalmente, las organizaciones tienden a centrarse ya sea en la seguridad o en el cumplimiento, pero no en ambos porque piensan en ellos como iniciativas separadas. Si las consideraciones de seguridad se pueden incluir en los proyectos de cumplimiento normativo y viceversa, una organización será capaz de hacer frente a ambos esfuerzos de manera mucho más eficiente.
5. Cree una conciencia efectiva y un programa de entrenamiento, también para socios de negocios. Muchos CISOconfían en la tecnología para resolver todos sus problemas de seguridad y tienden a ignorar a la gente y al proceso en la ecuación. Las regulaciones y estándares han aumentado la conciencia y subrayado la importancia del proceso, pero la gente todavía plantea el mayor riesgo para los activos de información de la empresa. Aunque los reglamentos exigen normalmente la conciencia y la formación en seguridad, no hay requisitos para asegurar que la sensibilización y la capacitación son efectivas. De hecho, una organización a la que le fue requerida llevar a cabo un entrenamiento de formación de la conciencia de seguridad a causa de una regulación hizo que sus empleados asistieran a una sesión de concienciación sobre la seguridad de tres horas cada año. Si bien esta organización cumplió con los requisitos de la regulación, no es una manera eficaz para aumentar el conocimiento dentro de la organización porque la conciencia no puede ser un esfuerzo de una sola vez. Usted tiene que reforzar su mensaje a lo largo del año y a través de diferentes medios de comunicación para que realmente afecte el cambio de comportamiento.
Hoy en día, las organizaciones se enfrentan a una compleja red de mandatos de cumplimiento y riesgos empresariales. Históricamente, ellas han tratado dichos riesgos e iniciativas de cumplimiento como silos independientes que se dispersan a través de las operaciones distribuidas del negocio. Sin embargo, con la mayor atención en la gestión empresarial y la gestión del riesgo empresarial, las organizaciones deben desarrollar y utilizar una estrategia coherente para impulsar la sostenibilidad, eficiencia y coherencia para gestionar el riesgo corporativo y el cumplimiento.
Acerca del autor: Khalid Kark, CISSP, CISM es un analista senior de Forrester Research Inc. donde cubreestrategias de seguridad, incluyendo estrategias de comunicación, organización de la seguridad y el papel de la seguridad de la información en el gobierno corporativo.
Fuente: SearchDataCenter
El cumplimiento regulatorio no siempre conduce a una mejor seguridad
La verdad es que es posible tener una excelente seguridad y no tener cumplimiento, y es posible pasar una auditoría de cumplimiento con gran éxito y tener poca seguridad. La falsa idea de que el cumplimiento es igual a la seguridad ha llevado a las organizaciones a gastar en exceso en el cumplimiento, a veces en detrimento de la seguridad. Muchas industrias reguladas dedican ahora una parte importante de los recursos de seguridad en iniciativas de cumplimiento. De hecho, una empresa recortó su presupuesto de seguridad en 30% y aplazó algunos de sus proyectos de seguridad debido a que los recursos tenían que ser asignados para poner los puntos sobre las íes en sus esfuerzos de cumplimiento a la ley Sarbanes-Oxley (SOX).Otro ejemplo de cómo el cumplimiento normativo no conduce a una mejor seguridad se puede ver en los esfuerzos de cumplimiento de la Ley Federal de Gestión de la Seguridad de la Información (FISMA) en las agencias federales. Si las notas fueran un verdadero indicador de la seguridad de la información, tendríamos que concluir que la Agencia de Protección Ambiental, que recibió un grado de cumplimiento de A+ en la FISMA 2005, hace un trabajo mucho mejor en asegurar sus sistemas que el Departamento de Defensa (grado 2005: F). Sin embargo, en realidad, el Departamento de Defensa establece y se adhiere a un régimen de seguridad mucho más estricto para sus sistemas que la mayoría de otras agencias. Le va mal en las evaluaciones de FISMA porque la agencia se esfuerza por demostrar que está gestionando todos sus sistemas dispares según los requisitos de FISMA.
Cinco principios para equilibrar el cumplimiento normativo con la seguridad
Las empresas que equilibren eficazmente la seguridad y el cumplimiento normativo no solo siguen la ley al pie de la letra. Por lo general van más allá de lo exigido por un reglamento, ya que hace que su entorno sea más seguro. Cualquier empresa que se embarca en el viaje del cumplimiento debe adherirse a los siguientes cinco principios para asegurar que la seguridad de la información no sea dejada atrás.1. Base su programa de seguridad en un marco de seguridad. Los CISO deben desarrollar sus programas de seguridad sobre la base de principios de seguridad, más que en los mandatos regulatorios. Los marcos como ISO 17799 o COBIT son buenos puntos de partida. Una vez que se establecen el marco y los controles asociados, las organizaciones pueden asignarlos a las regulaciones actuales y futuras, haciendo los ajustes necesarios. Si un programa de seguridad se basa en los mandatos de cumplimiento, tendrá que ser actualizado o modificado cada vez que salga una nueva regulación o incluso cuando un reglamento existente se actualiza. En segundo lugar, una regulación generalmente cubre un tipo particular de riesgo (es decir, la protección de la información personal, la protección de los números de tarjetas de crédito, etc.), pero no se ocupa de los riesgos del negocio, incluyendo la protección de la propiedad intelectual corporativa o un modelo de negocio.
2. Impulse los presupuestos de cumplimiento para controles de seguridad de la información. Distinga entre el gasto en seguridad y el gasto en cumplimiento. Los CIO a menudo agrupan los gastos de cumplimiento normativo con el gasto en seguridad de información, simplemente porque la organización de seguridad de la información ha sido hecha responsable del cumplimiento normativo. Los CISO necesitan educar a la gerencia respecto a que las decisiones del gasto en seguridad no solo se extienden a cumplir los requisitos de cumplimiento normativo, sino que también deben estar basadas en las amenazas a la organización y alineadas con los objetivos corporativos.
3. Automatice el cumplimiento de políticas y la auditoría. Los auditores le agradecerán por hacer su trabajo y ahorrarles el tiempo y esfuerzo de recopilar esta información manualmente. Este es un ganar-ganar para las empresas y los auditores. Las agencias federales de Estados Unidos con programas de cumplimiento exitosos han automatizado la recopilación, medición y reporte de los datos de cumplimiento, lo que hace que la auditoría sea más fácil y ocupe menos tiempo. Por ejemplo, la Agencia de EE.UU. para el Desarrollo Internacional (USAID) utiliza Skybox Security Inc. para recibir un perfil de riesgo al minuto de todo su entorno. Hacerlo de este modo permite a USAID centrarse en las áreas que tienen los mayores riesgos, mientras automáticamente hace el seguimiento del estado de remediación que los auditores pueden utilizar para demostrar el cumplimiento. Otras organizaciones utilizan las herramientas de gestión de información de seguridad (SIM) de proveedores como Consul Risk Management Inc., Intellitactics Inc., McAfee Inc. (Preventsys) o herramientas de gestión de riesgo de la información de compañías como Archer Technologies Inc. o Brabeion Inc. para documentar y automatizar sus controles de seguridad para el cumplimiento. Estas herramientas no solo hacen un excelente trabajo al agregar los datos de diferentes partes de la organización, sino también automatizan la auditoría y generan reportes para las iniciativas de cumplimiento individuales.
4. Esté preparado para gestionar el cambio en las amenazas y los reglamentos. Los programas de seguridad eficaces pueden hacer frente a los cambios en las amenazas y las regulaciones. Las empresas deben ser capaces de manejar simultáneamente el siempre cambiante panorama de amenazas en seguridad de la información y el cambio de los requisitos regulatorios. Y los CISO tendrán que regularmente volver a evaluar sus programas de seguridad y cumplimiento para asegurar su actualidad y adecuación. Normalmente, las organizaciones tienden a centrarse ya sea en la seguridad o en el cumplimiento, pero no en ambos porque piensan en ellos como iniciativas separadas. Si las consideraciones de seguridad se pueden incluir en los proyectos de cumplimiento normativo y viceversa, una organización será capaz de hacer frente a ambos esfuerzos de manera mucho más eficiente.
5. Cree una conciencia efectiva y un programa de entrenamiento, también para socios de negocios. Muchos CISOconfían en la tecnología para resolver todos sus problemas de seguridad y tienden a ignorar a la gente y al proceso en la ecuación. Las regulaciones y estándares han aumentado la conciencia y subrayado la importancia del proceso, pero la gente todavía plantea el mayor riesgo para los activos de información de la empresa. Aunque los reglamentos exigen normalmente la conciencia y la formación en seguridad, no hay requisitos para asegurar que la sensibilización y la capacitación son efectivas. De hecho, una organización a la que le fue requerida llevar a cabo un entrenamiento de formación de la conciencia de seguridad a causa de una regulación hizo que sus empleados asistieran a una sesión de concienciación sobre la seguridad de tres horas cada año. Si bien esta organización cumplió con los requisitos de la regulación, no es una manera eficaz para aumentar el conocimiento dentro de la organización porque la conciencia no puede ser un esfuerzo de una sola vez. Usted tiene que reforzar su mensaje a lo largo del año y a través de diferentes medios de comunicación para que realmente afecte el cambio de comportamiento.
Hoy en día, las organizaciones se enfrentan a una compleja red de mandatos de cumplimiento y riesgos empresariales. Históricamente, ellas han tratado dichos riesgos e iniciativas de cumplimiento como silos independientes que se dispersan a través de las operaciones distribuidas del negocio. Sin embargo, con la mayor atención en la gestión empresarial y la gestión del riesgo empresarial, las organizaciones deben desarrollar y utilizar una estrategia coherente para impulsar la sostenibilidad, eficiencia y coherencia para gestionar el riesgo corporativo y el cumplimiento.
Acerca del autor: Khalid Kark, CISSP, CISM es un analista senior de Forrester Research Inc. donde cubreestrategias de seguridad, incluyendo estrategias de comunicación, organización de la seguridad y el papel de la seguridad de la información en el gobierno corporativo.
Fuente: SearchDataCenter
Comentarios
Publicar un comentario