Normas y reglamentos de seguridad de la información: un cumplimiento de clasificación básico

Categorizar los estándares y regulaciones de InfoSec en diferentes grupos puede sonar tonto al principio, ya que dar vida a un conjunto escrito de pautas y reglas no es algo que la gente seria realmente haga. Sin embargo, cada categoría presenta un conjunto de características que ayudan a definir las personalidades de los estudiantes. De hecho, varios sitios web en línea diferentes ya han agrupado a celebridades, personajes de Game of Thrones y políticos en sus propios grupos. Aunque los estándares y regulaciones de InfoSec carecen de personalidad, las organizaciones que los desarrollan sí lo tienen.

El cumplimiento de Infosec no tiene la jerarquía estricta que pertenece a otros campos de cumplimiento. En algunos casos, los estándares y regulaciones de Infosec sirven como sugerencias y orientación de los compañeros. Aun así, la creciente atención de los clientes ha torcido una parte importante de este tema para que el cumplimiento sea un aspecto de venta clave para los ingresos. Sin embargo, organizar dichos estándares y regulaciones de InfoSec en una guía más amplia puede ayudar a negociar el espacio de cumplimiento en constante cambio.

Centrarse en organizaciones que han exudado determinación, valentía y coraje en el mundo de las normas y regulaciones de InfoSec implica observar entidades que parecen estar encabezando la carga de la seguridad en un intento por mejorar la ciberseguridad en el mundo. Incluyen:

• OWASP: El Proyecto de seguridad de aplicaciones web abiertas se estableció en 2001 para operar como una comunidad global abierta que permite a las organizaciones operar, adquirir, desarrollar, concebir y mantener aplicaciones confiables. Aunque proyecta más recursos y menos cumplimiento, OWASP merece un lugar en esta lista gracias a su heroico esfuerzo de innovación en la industria, que brinda orientación a los miembros. Además, parece ser una organización cuyos objetivos clave se superponen principalmente con los objetivos de cumplimiento tradicionales establecidos por organizaciones que están más formalizadas.
• NIST : también conocido como el Instituto Nacional de Estándares y Tecnología, NIST publica su marco de seguridad cibernética muy respetado sin costo alguno. Tanto NIST 800-53 como Cybersecurity Framework ayudan a brindar a las organizaciones una técnica para comenzar a organizar sus mejores prácticas sin tener que gastar dinero automáticamente. Diseñado para proteger la seguridad cibernética, el sitio web del Instituto Nacional de Estándares y Tecnología proporciona una herramienta de referencia gratuita, que representa Framework Core, un grupo de prácticas, pautas y estándares de la industria.
• Marco de política de seguridad del Reino Unido : la profesión de seguridad del gobierno, la seguridad nacional y la inteligencia y la oficina del gabinete del Reino Unido publicaron este documento de once páginas para ayudar a guiar la protección de los activos del gobierno. Incluye veinte requisitos obligatorios que se clasifican en siete áreas clave de seguridad personal, marcado de protección y control de activos, continuidad comercial, lucha contra el terrorismo, seguridad y garantía de la información, seguridad física y gobernanza, gestión de riesgos y cumplimiento.
• COBIT : La Asociación de Auditoría y Control de Sistemas de Información está detrás de la creación del marco de Objetivos de Control para Tecnologías Relacionadas con la Información (COBIT). La estructura funciona como una herramienta que ayuda a cerrar las brechas que existen entre los problemas técnicos y los requisitos comerciales en un intento por garantizar que los controles se mapeen de manera adecuada. Es importante destacar que COBIT actúa como una herramienta para el modelado basado en procesos.

Además, el marco proporciona modelos de madurez para evaluar los cambios necesarios a medida que crecen las empresas. Lo hace dividiendo treinta y cuatro procesos en los cuatro dominios particulares de monitoreo y evaluación, adquisición e implementación, organización y entrega y soporte.

• ISO : ISO o la Organización Internacional para la Estandarización ofrece algunos de los estándares más respetados y reconocidos. El cumplimiento de ISO/IEC/27000 junto con sus estándares asociados lidera el cargo, particularmente para aquellos que se embarcan en estándares y regulaciones de InfoSec. Siendo uno de los principales especialistas en lo que respecta a la seguridad de la información, ISO ha aprovechado ese atributo para presentarse como una empresa en curso con una ambición impresionante.
• HITRUST : Establecida en 2007, Health Information Trust Alliance (HITRUST) ayuda a proteger la información del paciente. Su modelo tiene como objetivo construir líneas de base en todo el sector de la salud, que se pueden aplicar a las empresas en función de su madurez y riesgo. HITRUST evaluó la industria de la salud y resolvió que solo ciertos riesgos eran probables para sus miembros en lugar de comenzar con el riesgo y desarrollar controles como respuesta a dichos riesgos. Al hacerlo, su modelo permite que las entidades cubiertas por HIPAA personalicen sus programas a través del modelo Common Security Framework.
• HIPAA : La Portabilidad y Responsabilidad del Seguro Médico (HIPAA) de 1996 instó al Secretario de Salud y Servicios Humanos a implementar regulaciones de privacidad destinadas a salvaguardar la información de salud que era identificable individualmente. Además, los Estándares de Seguridad de HIPAA generan un requisito regulatorio mediante el cual las empresas dentro de su ámbito construyen procedimientos administrativos destinados a proteger y gestionar la protección de datos, servicios técnicos de seguridad que revisan el acceso a la información y mecanismos técnicos de seguridad que evitan la transmisión no autorizada de información. y protecciones físicas sobre los sistemas informáticos.
• GDPR : GDPR o el Reglamento General de Protección de Datos de la UE es conocido por hacer de la gobernanza y la responsabilidad una de sus directivas clave. Crea una única colección de reglas que se aplican a todos los miembros. No obstante, amplía el alcance a los controladores de datos que participan en la recopilación de información de los residentes de la Unión Europea extraída de los residentes de la UE. Lo que esto significa es que incluso sin estar en la UE, una organización que maneja la información de los residentes de la UE de esa manera debe cumplir. GDPR busca reducir la cantidad de datos involucrados, limitar el objetivo de usar información, determinar la equidad, la legalidad y la transparencia de la privacidad, hacer cumplir la integridad y confidencialidad de la información y limitar la cantidad de almacenamiento que una organización mantiene en un individuo.
• SOX : La Ley Sarbanes-Oxley (SOX) se promulgó en 2002 como respuesta a la amplia gama de informes corporativos fraudulentos. A pesar de que la SEC había hecho un trabajo encomiable a la hora de abordar la mayoría de las preocupaciones de SOX, la codicia corporativa hizo que varias empresas se burlaran de las leyes. SOX tiene como objetivo hacer cumplir la ética en dichas empresas mediante la creación de sanciones para quienes informan mal. Además, la Sección 404 de SOX exige que las empresas evalúen su entorno de TI en un intento por determinar si existen riesgos de información financiera (internos o externos) y las medidas que los enfrentan.
• PCI-DSS : PCI o el Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago fue organizado por varias entidades financieras, incluidas Visa, Mastercard, JCB International, Discover Financial Services y American Express. Desempeña un papel importante en la promoción de la seguridad de la información, particularmente en los sistemas electrónicos. De hecho, el estándar de seguridad de datos PCI o (PCI-DSS) se ha convertido en un estándar de cumplimiento no solo para cualquiera sino para todos los procesadores de pagos. Además, los proveedores deben evaluar el panorama en un intento por determinar el alcance de su riesgo, lo que les permite cumplir con PCI-DSS.
• COSO : La Comisión de Bolsa y Valores, o popularmente conocida como SEC, formó un comité en la década de 1980 para examinar los informes fraudulentos. En el proceso, cinco organizaciones de apoyo de contadores y auditores se unieron a la revisión, lo que resultó en la creación del Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO). Posteriormente, en 2013, se incluyó una revisión importante en el marco inicial.

El Control Interno de COSO reconoce los cinco elementos correlacionados de actividades de control, ambiente de control, monitoreo, información y comunicación, y actividades de control. Además, su marco integrado de gestión de riesgos empresariales, que fue creado por PricewaterhouseCoopers, incluía objetivos comerciales estratégicos, de informes, operaciones y cumplimiento con ocho elementos marco de identificación de eventos, monitoreo, información y gestión, actividades de control, respuesta al riesgo, establecimiento de objetivos, información interna. medio ambiente y evaluación de riesgos.

Ken Lynch es un veterano de la puesta en marcha de software empresarial, que siempre ha estado fascinado por lo que impulsa a los trabajadores a trabajar y cómo hacer que el trabajo sea más atractivo. Ken fundó Reciprocity para perseguir precisamente eso. Ha impulsado el éxito de Reciprocity con este objetivo basado en la misión de involucrar a los empleados con los objetivos de gobierno corporativo, riesgo y cumplimiento de su empresa para crear ciudadanos corporativos más socialmente conscientes. Ken obtuvo su licenciatura en Ciencias de la Computación e Ingeniería Eléctrica del MIT.