Krypton Solid

Krypton Solid
Krypton Solid

La última tecnología en raciones de 5 minutos

El Marco de cumplimiento unificado deshace los estándares de cumplimiento superpuestos

Las regulaciones y estándares de cumplimiento, al igual que otros cuerpos de leyes, son sencillos en teoría, pero son exasperantemente …

opaco y complejo en la práctica.

Si tiene alguna duda, busque en Google un término como Estándar de seguridad de datos de la industria de tarjetas de pago y observe la gran variedad de enlaces que regresan con la promesa de ayudarlo a resolverlo todo. Ahora multiplique PCI por tres o cuatro o 50 para tener en cuenta los múltiples y superpuestos conjuntos de regulaciones y estatutos que las entidades gubernamentales y las empresas públicas en los EE. UU., Europa y otros lugares deben cumplir, y tendrá una idea de los desafíos que enfrentan. jefes de seguridad de la información y personal de TI para garantizar el cumplimiento.

Una necesidad constante es armonizar los requisitos de diferentes conjuntos de regulaciones y estándares de cumplimiento. Presumiblemente, si las empresas pueden identificar las regulaciones por las que están sujetas y luego las áreas que se superponen, pueden reducir sus costos de cumplimiento adoptando un enfoque de «arreglar una vez, cumplir muchas» que agilizará las auditorías internas y reducirá los gastos de capital.

Este enfoque también permite a las organizaciones dedicar más tiempo y energía a sus áreas de mayor riesgo, exposición y requisitos con los dientes más afilados. Pero dar sentido a los marcos regulatorios enormemente complejos no es una tarea fácil, razón por la cual a muchos les ha resultado más fácil lanzarse a los brazos de consultores (costosos) y empresas de servicios administrados que pueden hacer el trabajo pesado por ellos.

Conectando los puntos de cumplimiento

Lo que se necesita, por supuesto, es una manera fácil de entender las diversas regulaciones que afectan a su negocio: conectar los puntos entre conjuntos de requisitos similares e identificar áreas que son exclusivas de cada uno.

CONTENIDO RELACIONADO  Windows 10 Pilot = clave para el éxito

Este no es exactamente un problema nuevo en la historia del pensamiento humano. De hecho, los eruditos judíos que vivían en la Edad Media tenían un problema muy similar. Tenían un cuerpo definido de la ley judía enraizado en tres textos: la Biblia (o Torá); la Mishná, una codificación de la ley bíblica que data del siglo III; y el Talmud, una especie de comentario rabínico extenso sobre esas leyes. El problema era que los documentos originales eran difíciles de manejar: colecciones vagamente acopladas de historias, leyes y luego reflexiones sobre esas leyes de las que era difícil extraer una guía clara. Puede haber docenas de discusiones directas o indirectas sobre leyes dietéticas, por ejemplo, pero esas discusiones se esparcieron por numerosos textos en diferentes lugares. Algunas recetas pueden contradecir a otras. Mucha zona gris. ¿Empieza a sonar familiar?

Una solución llegó en el siglo XII en la forma de la Mishneh Torá, una obra del famoso erudito medieval Maimónides. Trabajando durante más de una década, consolidó la suma de esos tres textos fuente y otras obras importantes del pensamiento judío en ese momento en 14 volúmenes, organizados por tema (conocimiento, ley, observancia, etc.) y los subdividió en secciones, capítulos y párrafos a los que se pueda hacer referencia fácilmente.

Con la Mishneh Torá (que se traduce, literalmente, como «repetición de la Torá»), un erudito que quisiera responder una pregunta sobre las leyes alimentarias o una disputa civil podría ir a la sección correspondiente y encontrar un compendio claramente redactado de leyes y fallos seleccionados. de todos los documentos fuente relevantes que hablaron, directa o indirectamente, del tema en cuestión.

CONTENIDO RELACIONADO  ¿Qué es Security Analytics y cuáles son sus casos de uso?

Mi mente se centró en Maimónides y su proyecto masivo el otro día cuando estaba hablando con una empresa, Network Frontiers LLC. Ha emprendido un proyecto muy similar con la red de leyes, industria y regulaciones gubernamentales que, cada vez más, se asemejan a una especie de religión secular para la empresa.

Desatando el nudo de cumplimiento

Trabajando durante los últimos años con un equipo de lingüistas, abogados, expertos en cumplimiento y profesionales, Network Frontiers creó el Marco de cumplimiento unificado (UCF), una base de datos que recopila 450 documentos de autoridad legal y regulatoria (de EE. UU. E internacionales) en un conjunto de 30.000 citas únicas y 2.500 controles distintos, cada uno con una identificación única y persistente.

Los controles se agrupan en 13 «zonas de impacto» de alto nivel: gestión de registros, adquisición de tecnología, gestión de recursos humanos, continuidad de sistemas, seguridad física, etc. Los controles se publican en una serie de hojas de cálculo con tablas dinámicas y enlaces al material de origen original, lo que permite a los profesionales controlar los controles en capítulos y versículos.

Por ejemplo, sabe que cambiar la configuración predeterminada del proveedor es un requisito de PCI, pero ¿sabía que también lo exige la NERC, el Consejo de Examen de Instituciones Financieras Federales y la orientación del Instituto Nacional de Estándares y Tecnología y el IRS? Probablemente no, pero UCF conecta los puntos. Además, debido a que a cada control se le asigna una ID única (UCF ID 00877, en el caso de «valores predeterminados de proveedores siempre cambiantes»), de repente los profesionales tienen un lenguaje común para hablar sobre un requisito que puede enmarcarse de manera diferente en diferentes marcos de cumplimiento.

CONTENIDO RELACIONADO  ¿Qué me puedes oír? (estafa de firma de voz telefónica)?

Finalmente, Network Frontiers descarga la tarea de mantenerse al día con los cambios en las regulaciones existentes, así como incorporar y correlacionar nuevas regulaciones y leyes. (Considere el trabajo de analizar múltiples leyes estatales de privacidad de datos y las leyes federales de privacidad de datos que se abren paso en el Congreso).

En resumen, UCF es una herramienta increíblemente útil que los proveedores de seguridad, especialmente aquellos que tienen como objetivo la gobernanza, el riesgo y el cumplimiento, han comenzado a aprovechar. Proveedores como CA Inc., Archer Technologies LLC, McAfee Inc., Lumension Security Inc. y OpenPages Inc. tienen todo el contenido de UCF con licencia para usar en sus productos de administración de riesgos en los últimos meses, y esperamos que más se registren en 2010, ya que los clientes buscan ayuda para eliminar el nudo gordiano de los mandatos de cumplimiento. Network Frontier gana dinero con la licencia de su hoja de cálculo en un modelo de suscripción anual y también proporciona varios juegos de herramientas de cumplimiento por una tarifa. Pero sus hojas de cálculo UCF están disponibles para su visualización gratuita a través de su sitio web. Échales un vistazo.

Paul Roberts es analista senior de The 451 Group. Háganos saber lo que piensa sobre la historia; Email [email protected].

¡Haz clic para puntuar esta entrada!
(Votos: Promedio: )

También te puede interesar...

Abundan las alternativas a SharePoint

En los últimos años, el software SharePoint de Microsoft se ha convertido posiblemente en el estándar de oro para la colaboración en equipo … y gestión de contenidos. Aun así, es difícil ignorar el hecho

Microsoft anuncia Office 2021, Office LTSC

Microsoft ha programado el lanzamiento de Office 2021 y una nueva versión de Office Long Term Servicing Channel para este año. La compañía ha dirigido los productos a empresas que no desean utilizar el equivalente

¿Qué es Memory Spot? – Definición de Krypton Solid

Memory Spot es un transpondedor pasivo que contiene un chip capaz de almacenar grandes archivos de datos como fotografías digitales, bases de datos o selecciones musicales. El transpondedor, que es una etiqueta RFID (identificación por

Instalación de VMware ESXi en un servidor físico

Casi todos los centros de datos tienen servidores físicos infrautilizados que ejecutan aplicaciones únicas, lo que los hace perfectos… candidatos para la virtualización. En esta serie de consejos de dos partes, le mostramos cómo convertir

Numeración de bytes decimales frente a binarios

Una cosa en la que pienso a veces es la diferencia entre números binarios y decimales. Esta diferencia puede ser particularmente interesante cuando se trata de dimensionar el almacenamiento como HD o SSD. Los fabricantes

¿Qué es el modelado de amenazas?

¿Qué es el modelado de amenazas? El modelado de amenazas es un procedimiento para optimizar la seguridad de las aplicaciones, sistemas o procesos comerciales mediante la identificación de objetivos y vulnerabilidades y luego la definición

Que recolectar en la nube

Los CISO necesitan una imagen precisa del rendimiento de la seguridad en la nube. A medida que los ejecutivos de nivel C y las juntas directivas acribillan a la alta dirección de seguridad con preguntas

Palabras para ir: bases de datos de AWS

Las organizaciones deben elegir la base de datos adecuada para sus cargas de trabajo como parte de una estrategia de TI sólida. Este entorno determinará la forma en que administran, monitorean, escalan e interactúan con

Las nuevas funciones de vSphere 7 DRS

Desde que VMware introdujo Distributed Resource Scheduler en 2006, sus fundamentos de comportamiento se han centrado en el uso de recursos de host dentro de un clúster. Ahora, la versión más reciente de DRS, que

¿Qué es Amalga? – Definición de Krypton Solid

Amalga es una plataforma de TI de salud de Microsoft para integrar datos de fuentes dispares. Microsoft promueve Amalga como un «Sistema de inteligencia unificado». La plataforma está diseñada para proporcionar a los profesionales de

La especificación NVMe: una introducción a los socios de canal

Nota del editor: SearchITChannel publica periódicamente características sobre tecnologías emergentes y estándares de interés para los proveedores de servicios. Este artículo examina NVM Express, generalmente conocida como la especificación NVMe, o más bien un grupo

Cómo afectan los cambios en las redes de VPC a AWS Lambda

Las funciones de AWS Lambda pueden reducir significativamente la huella de infraestructura de una organización y la sobrecarga de administración, al mismo tiempo que brindan una escalabilidad más rápida en respuesta a cargas de trabajo

Salesforce renombra CDP y agrega funciones de marketing

La plataforma de datos de clientes orientada al marketing de Salesforce tiene funciones planificadas para su lanzamiento en junio para facilitar una segmentación, análisis e integraciones más granulares con fuentes de datos externas. Las funciones

Guía de aprendizaje de aplicaciones de Oracle

Ya no es solo una empresa de bases de datos, Oracle Corp. ha cambiado su enfoque hacia las aplicaciones en los últimos años, esforzándose por lograr el dominio en gran medida a través de una

Infraestructura convergente e hiperconvergente para VDI

¡Gracias por unirte! Accede a tu Pro+ Contenido a continuación. junio 2016 Infraestructura convergente e hiperconvergente para VDI El uso de una infraestructura convergente e hiperconvergente para la virtualización de escritorios puede reducir los problemas

¿Qué es Uptime Institute, Inc.?

Uptime Institute, Inc. es un consorcio de empresas dedicadas a maximizar la eficiencia y el tiempo de actividad en los centros de datos y las organizaciones de TI (tecnología de la información). Las empresas miembro

Cómo funciona VMware: serie Windows

VMware Server proporciona una entrada gratuita y relativamente fácil a la virtualización de servidores, pero algunos aspectos de la implementación… esto, particularmente la configuración, puede ser complicado. Aunque el producto es gratuito, los errores en

Deja un comentario