Normes et réglementations Infosec - une amorce de conformité au tri

Catégoriser les normes et réglementations InfoSec en différents groupes peut sembler idiot au début, car donner vie à un ensemble écrit de directives et de règles n'est pas quelque chose que les gens sérieux font réellement. Cependant, chaque catégorie présente un ensemble de caractéristiques qui aident à définir la personnalité des étudiants. En fait, plusieurs sites Web en ligne différents ont déjà regroupé des célébrités, des personnages de Game of Thrones et des politiciens dans leurs propres groupes. Bien que les normes et réglementations InfoSec manquent de personnalités, les organisations qui les élaborent en ont.

La conformité Infosec n'a pas la hiérarchie stricte appartenant aux autres champs de conformité. Dans certains cas, les normes et réglementations Infosec servent à la fois de suggestions et de conseils pour les pairs. Même ainsi, l'attention croissante des clients a déformé une partie importante de ce sujet en faisant de la conformité un aspect clé de la vente pour les revenus. Néanmoins, l'organisation de ces normes et réglementations InfoSec dans un guide plus large peut aider à négocier l'espace de conformité en constante évolution.

Se concentrer sur les organisations qui ont fait preuve de détermination, de bravoure et de courage dans le monde des normes et réglementations InfoSec implique d'examiner les entités qui semblent être le fer de lance de la sécurité dans le but d'améliorer la cybersécurité dans le monde. Ils comprennent:

• OWASP : L'Open Web Application Security Project a été créé en 2001 pour fonctionner comme une communauté mondiale ouverte qui permet aux organisations d'exploiter, d'acquérir, de développer, de concevoir et de maintenir des applications de confiance. Même s'il projette plus de ressources et moins de conformité, l'OWASP mérite une place sur cette liste grâce à son effort héroïque d'innovation dans l'industrie, qui fournit des conseils aux membres. De plus, il s'agit d'une organisation dont les principaux objectifs recoupent principalement les objectifs de conformité traditionnels mis en place par des organisations plus formalisées.
• NIST : Autrement connu sous le nom de National Institute of Standards and Technology, le NIST publie gratuitement son cadre de cybersécurité très respecté. Le NIST 800-53 et le Cybersecurity Framework aident à donner aux organisations une technique pour commencer à organiser leurs meilleures pratiques sans avoir à dépenser automatiquement de l'argent. Conçu pour protéger la cybersécurité, le site Web de l'Institut national des normes et de la technologie fournit un outil de référence gratuit, qui représente le Framework Core, un groupe de pratiques, de directives et de normes de l'industrie.
• Cadre de la politique de sécurité au Royaume-Uni : La profession de la sécurité gouvernementale, la sécurité nationale et le renseignement et le Cabinet Office du Royaume-Uni ont publié ce document de onze pages pour aider à orienter la protection des actifs du gouvernement. Il comprend vingt exigences obligatoires classées en sept domaines clés de sécurité personnelle, de marquage de protection et de contrôle des actifs, de continuité des activités, de lutte contre le terrorisme, de sécurité et d'assurance de l'information, de sécurité physique et de gouvernance, de gestion des risques et de conformité.
• COBIT : L'Information Systems Audit and Control Association est à l'origine de la création du référentiel COBIT (Control Objectives for Information Related Technology). La structure fonctionne comme un outil qui aide à combler les écarts qui existent entre les problèmes techniques et les exigences commerciales dans le but de s'assurer que les contrôles sont cartographiés de manière appropriée. Surtout, COBIT agit comme un outil de modélisation basée sur les processus.

De plus, le cadre fournit des modèles de maturité pour évaluer les changements nécessaires à mesure que les entreprises se développent. Pour ce faire, il répartit trente-quatre processus dans les quatre domaines particuliers du suivi et de l'évaluation, de l'acquisition et de la mise en œuvre, de l'organisation et de la prestation et du soutien.

• ISO : L'ISO ou l'Organisation internationale de normalisation fournit certaines des normes les plus souvent respectées et reconnues. La conformité ISO/IEC/27000 ainsi que ses normes associées mènent la charge, en particulier pour ceux qui se lancent dans les normes et réglementations InfoSec. En tant que spécialiste de premier plan en matière de sécurité de l'information, l'ISO a exploité cet attribut pour se présenter comme une entreprise en cours avec une ambition impressionnante.
• HITRUST : Créée en 2007, la Health Information Trust Alliance (HITRUST) aide à protéger les informations des patients. Son modèle vise à établir des bases de référence dans l'ensemble du secteur de la santé, qui peuvent être appliquées aux entreprises en fonction à la fois de leur maturité et de leur risque. HITRUST a évalué le secteur de la santé et a décidé que seuls certains risques étaient probables pour ses membres, au lieu de commencer par les risques et de mettre en place des contrôles en réponse à ces risques. Ce faisant, son modèle permet aux entités couvertes par la loi HIPAA de personnaliser leurs programmes via le modèle Common Security Framework.
• HIPAA : La Health Insurance Portability and Accountability (HIPAA) de 1996 a exhorté le secrétaire à la Santé et aux Services sociaux à mettre en œuvre des réglementations sur la confidentialité destinées à protéger les informations de santé identifiables individuellement. De plus, les normes de sécurité HIPAA entraînent une exigence réglementaire selon laquelle les entreprises relevant de leur compétence élaborent des procédures administratives visant à protéger et à gérer la protection des données, des services de sécurité techniques qui examinent l'accès aux informations et un mécanisme de sécurité technique qui empêche la transmission non autorisée d'informations. et des protections physiques sur les systèmes informatiques.
• RGPD : Le RGPD ou Règlement général sur la protection des données de l'UE est connu pour avoir fait de la gouvernance et de la responsabilité l'une de ses principales directives. Il crée un ensemble unique de règles qui s'appliquent à tous les membres. Néanmoins, il étend le champ d'application aux contrôleurs de données qui sont impliqués dans la collecte d'informations auprès de résidents de l'Union européenne provenant de résidents de l'UE. Cela signifie que même sans être dans l'UE, une organisation qui traite les informations sur les résidents de l'UE de cette manière doit être conforme. Le RGPD vise à réduire la quantité de données impliquées, à limiter l'objectif d'utilisation des informations, à déterminer l'équité, la légalité et la transparence de la vie privée, à faire respecter l'intégrité et la confidentialité des informations et à limiter la quantité de stockage qu'une organisation conserve sur un individu.
• SOX : La loi Sarbanes-Oxley (SOX) a été promulguée en 2002 en réponse au large éventail de rapports frauduleux des entreprises. Même si la SEC avait fait un travail louable lorsqu'il s'agissait de répondre à la plupart des préoccupations de SOX, la cupidité des entreprises a conduit plusieurs entreprises à bafouer les lois. SOX vise à faire respecter l'éthique de ces entreprises en créant des sanctions pour ceux qui font de fausses déclarations. De plus, la section 404 de la SOX demande aux entreprises d'évaluer leur environnement informatique afin de déterminer s'il existe des risques de reporting financier (internes ou externes) et les mesures qui les accompagnent.
• PCI-DSS : PCI ou le Payment Card Industry Security Standards Council a été organisé par diverses entités financières dont Visa, Mastercard, JCB International, Discover Financial Services et American Express. Il joue un rôle majeur dans la promotion de la sécurité de l'information, en particulier sur les systèmes électroniques. En fait, la norme de sécurité des données PCI ou (PCI-DSS) est devenue une norme de conformité non seulement pour tous les processeurs de paiement. De plus, les fournisseurs doivent évaluer le paysage pour tenter de déterminer l'étendue de leur risque, ce qui leur permet d'être conformes à la norme PCI-DSS.
• COSO : La Securities and Exchange Commission, ou populairement connue sous le nom de SEC, a formé un comité dans les années 1980 pour examiner les rapports frauduleux. Dans le processus, cinq organisations de soutien des comptables et des auditeurs se sont jointes à l'examen, qui a abouti à la création du Comité des organisations de parrainage de la Commission Treadway (COSO). Plus tard en 2013, une révision majeure a été incluse dans le cadre initial.

Le contrôle interne du COSO reconnaît les cinq éléments corrélés des activités de contrôle, de l'environnement de contrôle, de la surveillance, de l'information et de la communication et des activités de contrôle. En outre, son cadre intégré de gestion des risques d'entreprise, qui a été créé par PricewaterhouseCoopers, comprenait des objectifs commerciaux stratégiques, de reporting, d'exploitation et de conformité avec huit éléments de cadre d'identification des événements, de surveillance, d'information et de gestion, d'activités de contrôle, de réponse aux risques, de définition d'objectifs, de l'environnement et l'évaluation des risques.

Ken Lynch est un vétéran des startups de logiciels d'entreprise, qui a toujours été fasciné par ce qui pousse les travailleurs à travailler et comment rendre le travail plus attrayant. Ken a fondé Reciprocity pour poursuivre exactement cela. Il a propulsé le succès de Reciprocity avec cet objectif basé sur la mission d'impliquer les employés dans les objectifs de gouvernance, de risque et de conformité de leur entreprise afin de créer des entreprises citoyennes plus socialement responsables. Ken a obtenu son BS en informatique et en génie électrique du MIT.