Standard e regolamenti Infosec: una conformità allo smistamento dei primer

Classificare gli standard e i regolamenti InfoSec in diversi gruppi può sembrare sciocco all'inizio poiché dare vita a una serie scritta di linee guida e regole non è qualcosa che le persone serie fanno effettivamente. Tuttavia, ogni categoria presenta una serie di caratteristiche che aiutano a definire le personalità degli studenti. In effetti, diversi siti Web online hanno già raggruppato celebrità, personaggi di Game of Thrones e politici nei propri gruppi. Sebbene gli standard e le normative InfoSec manchino di personalità, le organizzazioni che li sviluppano lo fanno.

La conformità di Infosec non ha la rigida gerarchia che appartiene ad altri campi di conformità. In alcuni casi, gli standard e i regolamenti Infosec fungono sia da suggerimenti che da guida. Anche così, la crescente attenzione dei clienti ha trasformato una parte significativa di questo argomento in conformità che è un aspetto chiave di vendita per le entrate. Tuttavia, l'organizzazione di tali standard e regolamenti InfoSec in una guida più ampia può aiutare a negoziare lo spazio di conformità in continua evoluzione.

Concentrarsi su organizzazioni che hanno trasudato determinazione, coraggio e coraggio nel mondo degli standard e delle normative InfoSec implica guardare a entità che sembrano guidare la carica di sicurezza nel tentativo di migliorare la sicurezza informatica nel mondo. Loro includono:

• OWASP: The Open Web Application Security Project è stato istituito nel 2001 per operare come una comunità globale aperta che consente alle organizzazioni di operare, acquisire, sviluppare, concepire e mantenere applicazioni affidabili. Anche se prevede più risorse e meno conformità, OWASP merita un posto in questo elenco grazie al suo sforzo eroico di innovazione del settore, che fornisce una guida ai membri. Inoltre, sembra essere un'organizzazione i cui obiettivi chiave si sovrappongono principalmente ai tradizionali obiettivi di conformità posti in essere da organizzazioni più formalizzate.
• NIST : altrimenti noto come National Institute of Standards and Technology, il NIST pubblica gratuitamente il suo rispettato Cybersecurity Framework. Sia il NIST 800-53 che il Cybersecurity Framework aiutano a fornire alle organizzazioni una tecnica per iniziare a organizzare le loro migliori pratiche senza dover spendere soldi automaticamente. Progettato per proteggere la sicurezza informatica, il sito Web del National Institute of Standards and Technology fornisce uno strumento di riferimento gratuito, che rappresenta il Framework Core, un gruppo di pratiche, linee guida e standard del settore.
• Quadro della politica di sicurezza Regno Unito : la professione di sicurezza del governo, la sicurezza nazionale e l'intelligence e l'ufficio del gabinetto del Regno Unito hanno pubblicato questo documento di undici pagine per aiutare a guidare la protezione dei beni del governo. Comprende venti Requisiti obbligatori che sono classificati in sette aree chiave di sicurezza personale, contrassegno di protezione e controllo delle risorse, continuità aziendale, antiterrorismo, sicurezza e assicurazione delle informazioni, sicurezza fisica e governance, gestione del rischio e conformità.
• COBIT : l'Associazione per l'audit e il controllo dei sistemi informativi è alla base della creazione del quadro degli obiettivi di controllo per la tecnologia dell'informazione (COBIT). La struttura funge da strumento che aiuta a colmare le lacune esistenti tra questioni tecniche e requisiti aziendali, nel tentativo di assicurarsi che i controlli siano mappati in modo appropriato. È importante sottolineare che COBIT funge da strumento per la modellazione basata sui processi.

Inoltre, il framework fornisce modelli di maturità per valutare i cambiamenti necessari man mano che le imprese crescono. Lo fa suddividendo trentaquattro processi nei quattro domini particolari di monitoraggio e valutazione, acquisizione e implementazione, organizzazione, fornitura e supporto.

• ISO : l'ISO o l'Organizzazione internazionale per la standardizzazione fornisce alcuni degli standard più spesso rispettati e riconosciuti. La conformità ISO/IEC/27000 insieme agli standard associati guida la carica, in particolare per coloro che intraprendono standard e regolamenti InfoSec. Essendo uno dei massimi specialisti quando si tratta di sicurezza delle informazioni, ISO ha sfruttato questo attributo per presentarsi come un'impresa in corso con un'ambizione impressionante.
• HITRUST : Fondata nel 2007, l'Health Information Trust Alliance (HITRUST) aiuta a proteggere le informazioni sui pazienti. Il suo modello mira a costruire linee di base in tutto il settore sanitario, che possono essere applicate alle imprese in base sia alla loro maturità che al rischio. HITRUST ha valutato il settore sanitario e ha deciso che solo alcuni rischi erano probabili per i suoi membri invece di iniziare con il rischio e costruire controlli come risposta a tali rischi. In tal modo, il suo modello consente alle entità coperte dall'HIPAA di personalizzare i propri programmi tramite il modello Common Security Framework.
• HIPAA : L'Health Insurance Portability and Accountability (HIPAA) del 1996 ha esortato il Segretario della Salute e dei Servizi Umani ad attuare normative sulla privacy volte a salvaguardare le informazioni sanitarie che fossero identificabili individualmente. Inoltre, gli standard di sicurezza HIPAA comportano un requisito normativo in base al quale le imprese di sua competenza creano procedure amministrative volte a proteggere e gestire la protezione dei dati, servizi di sicurezza tecnica che esaminano l'accesso alle informazioni e meccanismi di sicurezza tecnica che evitano la trasmissione non autorizzata di informazioni e protezioni fisiche sui sistemi informatici.
• GDPR : il GDPR o il regolamento generale sulla protezione dei dati dell'UE è noto per aver reso la governance e la responsabilità una delle sue direttive chiave. Crea un'unica raccolta di regole che si applicano a tutti i membri. Tuttavia, amplia l'ambito di applicazione ai responsabili del trattamento dei dati coinvolti nella raccolta di informazioni da residenti nell'Unione europea tratte da residenti nell'UE. Ciò significa che anche senza essere nell'UE, un'organizzazione che gestisce le informazioni sui residenti nell'UE in tali modi deve essere conforme. Il GDPR mira a ridurre la quantità di dati coinvolti, limitare l'obiettivo di utilizzare le informazioni, determinare l'equità, la liceità e la trasparenza della privacy, rafforzare l'integrità e la riservatezza delle informazioni e limitare la quantità di spazio di archiviazione che un'organizzazione conserva su un individuo.
• SOX : Il Sarbanes-Oxley Act (SOX) è stato emanato nel 2002 come risposta all'ampia gamma di segnalazioni fraudolente aziendali. Anche se la SEC aveva svolto un lavoro encomiabile quando si trattava di affrontare la maggior parte delle preoccupazioni di SOX, l'avidità aziendale ha portato diverse società a violare le leggi. SOX mira a imporre l'etica a tali società creando sanzioni per coloro che segnalano erroneamente. Inoltre, la sezione SOX 404 invita le aziende a valutare il proprio ambiente IT nel tentativo di determinare se esistono rischi di rendicontazione finanziaria (interni o esterni) e misure che li vestono.
• PCI-DSS : PCI o Payment Card Industry Security Standards Council è stato organizzato da varie entità finanziarie tra cui Visa, Mastercard, JCB International, Discover Financial Services e American Express. Svolge un ruolo importante nella promozione della sicurezza delle informazioni, in particolare sui sistemi elettronici. In effetti, il PCI Data Security Standard o (PCI-DSS) è emerso come uno standard di conformità non solo per nessuno ma per tutti i processori di pagamento. Inoltre, i fornitori devono valutare il panorama nel tentativo di determinare la portata del loro rischio, il che consente loro di essere conformi allo standard PCI-DSS.
• COSO : La Securities and Exchange Commission, o popolarmente conosciuta come SEC, ha formato un comitato negli anni '80 per esaminare attentamente le segnalazioni fraudolente. Nel processo, cinque organizzazioni di supporto di contabili e revisori dei conti si sono unite alla revisione, che ha portato alla creazione del Comitato delle organizzazioni promotrici della Treadway Commission (COSO). Successivamente, nel 2013, un'importante revisione è stata inclusa nel quadro iniziale.

Il controllo interno di COSO riconosce i cinque elementi correlati di attività di controllo, ambiente di controllo, monitoraggio, informazione e comunicazione e attività di controllo. Inoltre, il suo Enterprise Risk Management –Integrated Framework, che è stato creato da PricewaterhouseCoopers, includeva obiettivi aziendali strategici, di reporting, operazioni e conformità con otto elementi del framework di identificazione degli eventi, monitoraggio, informazioni e gestione, attività di controllo, risposta al rischio, definizione degli obiettivi, ambiente e valutazione del rischio.

Ken Lynch è un veterano delle startup di software aziendali, che è sempre stato affascinato da ciò che spinge i lavoratori a lavorare e da come rendere il lavoro più coinvolgente. Ken ha fondato Reciprocity per perseguire proprio questo. Ha promosso il successo di Reciprocity con questo obiettivo basato sulla missione di coinvolgere i dipendenti con gli obiettivi di governance, rischio e conformità della loro azienda al fine di creare cittadini aziendali più socialmente orientati. Ken ha conseguito la laurea in Informatica e Ingegneria Elettrica presso il MIT.