Krypton Solid

Krypton Solid
Krypton Solid

La última tecnología en raciones de 5 minutos

Evite esfuerzos duplicados para reducir el costo del cumplimiento normativo

¿El costo del cumplimiento normativo está afectando su presupuesto? Si es así, no estás solo. Muchas empresas están revisando sus sistemas de información y procesos de gestión para cumplir con los requisitos reglamentarios que se les imponen. Pero el costo del cumplimiento normativo no tiene por qué arruinar el banco, si tiene la mentalidad adecuada y adopta un enfoque inteligente. Específicamente, debe averiguar dónde está duplicando sus esfuerzos y haciendo cosas que realmente no necesita hacer.

En primer lugar, es importante recordar que una estrategia de cumplimiento debe ser un efecto secundario de un programa más amplio de gestión de riesgos de la información. Este aspecto por sí solo puede ahorrarle más dinero y tiempo que cualquier otra cosa, porque le permite mantener todo en perspectiva. Veo que muchas organizaciones luchan por «cumplir» con, digamos, HIPAA. Luego, una vez que alcanzan el cumplimiento en esa área, siguen adelante y luchan por cumplir con PCI DSS, y así sucesivamente. Es un ciclo continuo de comenzar de nuevo con cada regulación de cumplimiento hasta que todo esté bajo control. Todo el tiempo, se agregan nuevos procesos y nuevos sistemas que crean complejidades que casi nadie puede permitirse asumir.

La Figura 1 muestra algunos esfuerzos comunes duplicados en nombre de una estrategia de cumplimiento:


Duplicación de cumplimiento

Figura 1: la duplicación del cumplimiento puede tener un precio elevado y obstaculizar el progreso comercial.

En mi trabajo, a menudo veo numerosas áreas de superposición y redundancia. Mire la esencia de las regulaciones de seguridad y privacidad de la información a las que se enfrenta, y verá que puede abordar la mayoría de los problemas en todos los ámbitos simplemente abordando las cosas desde una perspectiva de riesgo de la información. De hecho, muchas de las regulaciones requieren una evaluación de riesgo formal por adelantado, pero esto a menudo se omite. O las personas asumen que saben lo que se debe hacer y simplemente establecen políticas y controles técnicos sin tener en cuenta el panorama general.

CONTENIDO RELACIONADO  Lo que necesita en un plan de recuperación ante desastres (DR)

Dependiendo de dónde se encuentre actualmente con su estrategia de cumplimiento (pero cuanto más avanzada, mejor), lo mejor que puede hacer es un ejercicio de pensamiento de base cero. Aquí es donde da un paso atrás y se pregunta: si nuestra estrategia de cumplimiento fuera perfecta en todos los sentidos, ¿en qué se diferenciaría de la forma en que existen las cosas en este momento? ¿De qué necesitaríamos más? ¿Menos de? ¿Qué haríamos o no haríamos sabiendo lo que sabemos ahora?

Independientemente de lo que otros le digan, no compre ni implemente nada en nombre del cumplimiento hasta que sepa dónde se encuentra actualmente su empresa, qué controles ya tiene implementados y qué se necesitará para llenar los vacíos en movimiento. hacia adelante. La realidad es que el costo del cumplimiento normativo no tiene por qué ser caro, pero a menudo se hace así porque la gente se apresura a poner las cosas en su lugar para cumplir con los plazos y complacer a sus auditores.

Analice detenidamente cómo está abordando actualmente la estrategia de cumplimiento. Sin duda, si pone un ojo crítico en sus procesos, políticas y tecnologías, descubrirá numerosas formas en las que puede simplificar las cosas. Al igual que con otras cosas en TI, la simplicidad es clave, si no desea que el cumplimiento lo vuelva loco.

Sobre el Autor
Kevin Beaver es consultor de seguridad de la información y testigo experto, así como líder de seminarios y orador principal en Principle Logic LLC, con sede en Atlanta. Beaver es autor / coautor de ocho libros sobre seguridad de la información, que incluyen La guía práctica para el cumplimiento de la privacidad y la seguridad de HIPAA y Hacking For Dummies, tercera edición. Además, es el creador del blog y audiolibros de seguridad de la información Security On Wheels.

CONTENIDO RELACIONADO  Citrix eliminará VDI-in-a-Box a medida que la empresa se reestructura
¡Haz clic para puntuar esta entrada!
(Votos: Promedio: )

También te puede interesar...

Beneficios de Amazon SES en la empresa

¿Qué es Amazon SES y cómo podría beneficiarse mi empresa de él? Amazon Simple Email Service es un motor de distribución de correo electrónico de pago por uso. Este servidor de Protocolo simple de transferencia

¿Cómo inicio en modo seguro en Windows 10?

El modo seguro ha sido una característica clave de Windows durante muchos años. Le permite iniciar el sistema operativo Windows con un conjunto mínimo de controladores. Cuando la instalación de un controlador de dispositivo incorrecto

¿Qué es ISV (proveedor de software independiente)?

Un ISV (proveedor de software independiente) fabrica y vende productos de software que se ejecutan en una o más plataformas de hardware o sistema operativo (SO). Los ISV suelen proporcionar software junto con un proveedor

6 razones por las que fallan las opciones de autoservicio

Muchas empresas han integrado opciones de autoservicio en sus modelos comerciales y, cuando se hacen correctamente, pueden mejorar enormemente la experiencia del cliente. Sin embargo, las iniciativas de autoservicio pueden fallar por una variedad de

¿Qué es Amazon EC2 (Elastic Compute Cloud)?

Amazon Elastic Compute Cloud (Amazon EC2) es un servicio basado en web que permite a las empresas ejecutar programas de aplicaciones en la nube pública de Amazon Web Services (AWS). Amazon EC2 permite a un

Administrar dispositivos PCI en máquinas virtuales

En una configuración predeterminada, todos los dispositivos PCI (interconexión de componentes periféricos) están disponibles para todas las máquinas virtuales. En algunos casos, esto no debería suceder. Piense, por ejemplo, en dongles que deberían estar disponibles

HPE Aruba aumenta la inversión en el mercado de IoT

Aruba Networks, un proveedor de redes y empresa de Hewlett Packard Enterprise, presentó una cartera ampliada destinada a respaldar las iniciativas de IoT en la Conferencia HPE Discover en Londres hoy. Los nuevos productos, que

Cómo lograr la aceptación del cambio organizacional

Estamos atravesando una gran reorganización y no hay mucha aceptación. ¿Cuáles son algunas formas en las que puedo ganar aceptación? El cambio organizacional toma tiempo. Algunos grupos elaborarán un «Plan de aceptación de cambios» para

Migre Exchange a Office 365 con estos consejos

Dado que varios productos de servidor de Microsoft están a punto de perder soporte, es probable que algunas organizaciones migren Exchange a Office 365 o hagan otra transición de plataforma de mensajería. En enero de

tecnología de libro mayor distribuido (DLT)

La tecnología de libro mayor distribuido (DLT) es un sistema digital para registrar la transacción de activos en el que las transacciones y sus detalles se registran en varios lugares al mismo tiempo. A diferencia

Automatizando su camino hacia el éxito

¡Gracias por unirte! Accede a tu Pro + Contenido a continuación. «La automatización casi siempre da como resultado una mayor eficiencia, una mayor consistencia del servicio y mayores márgenes de ganancia», dijo Charles Weaver, director

Una vista del director de análisis

Para Joe DeCosmo, la analítica ya no es adecuada para TI. El director de análisis de la empresa de servicios financieros en línea Enova dice que el análisis es mucho más que tecnología, que es

10 pasos para socios de canal

Nota del editor: Los socios de canal dedican mucho tiempo a aprender sobre los entornos de los centros de datos y la infraestructura de red de sus clientes. Es lógico: tendrá dificultades para llegar a

Cómo mapear su curso

¡Gracias por unirte! Accede a tu Pro + Contenido a continuación. Los socios de canal han sido testigos del surgimiento de vastos ecosistemas de computación en la nube alrededor de una multitud de plataformas, como

¿Qué es el análisis de operaciones de TI (ITOA)?

El análisis de operaciones de TI (ITOA) es la práctica de monitorear sistemas y recopilar, procesar, analizar e interpretar datos de varias fuentes de operaciones de TI para guiar decisiones y predecir problemas potenciales. La

¿Cómo se mantiene legal la gestión de datos móviles?

Trae tu propio dispositivo (BYOD) es mucho más que una palabra de moda corporativa. Las empresas que permiten el uso de dispositivos móviles y otros dispositivos personales pueden beneficiarse de una mayor flexibilidad y productividad

Descubriendo detalles sobre New Relic APM

La suite de supervisión del rendimiento de aplicaciones (APM) de New Relic se utiliza principalmente en el desarrollo de software web. Permite a los usuarios seguir el desempeño de transacciones críticas a través de una

Deja un comentario