Krypton Solid

Krypton Solid
Krypton Solid

La última tecnología en raciones de 5 minutos

Mejores prácticas para gestionar el cumplimiento de los estándares de seguridad

Los estándares de seguridad de la información pueden proporcionar a su organización financiera herramientas para fortalecer su postura de seguridad, si las usa correctamente. Así como no es necesario inventar, diseñar y construir un martillo y un clavo cada vez que cuelga un cuadro, no es necesario que construya estándares de seguridad corporativa desde cero. Sin embargo, debe tomar una serie de decisiones importantes y tomar las medidas adecuadas para adaptar estos componentes básicos para satisfacer las necesidades de su organización financiera. A continuación, presentamos cuatro prácticas recomendadas que lo ayudarán a aprovechar al máximo los estándares de seguridad de la industria.

Caveat emptor: comprenda en qué está comprando
No existe un estándar «estándar». Saber qué estándar elegir y cuáles son sus obligaciones como resultado de esa elección es un primer paso clave en la gestión del cumplimiento.

Algunas industrias y organizaciones deben cumplir con los estándares de seguridad de la información establecidos por leyes o regulaciones. La industria financiera está sujeta a los requisitos de la Ley Graham-Leach-Bliley (GLB). Los proveedores de atención médica, las aseguradoras de salud y los procesadores de datos de salud están sujetos a la Ley de Responsabilidad y Portabilidad de Seguros de Salud (HIPAA). Las responsabilidades de las empresas que cotizan en bolsa en virtud de la Ley Sarbanes-Oxley (SOX) incluyen la protección de los sistemas financieros contra el fraude y el abuso.

También hay una serie de estándares voluntarios disponibles para las organizaciones financieras que deseen comparar sus programas de seguridad con las mejores prácticas de la industria. Ejemplos de estos documentos incluyen:

  • Mantenido por la Organización Internacional de Normalización, ISO 17799 es lo más parecido a un estándar generalmente aceptado para la seguridad de la información. Las organizaciones pueden optar por registrarse como en cumplimiento con 17799 contratando a un auditor externo acreditado para que examine sus operaciones.
  • El Estándar de Buenas Prácticas para la Seguridad de la Información es publicado por el Foro de Seguridad de la Información, un grupo global de corporaciones interesadas en mejorar la seguridad. El documento está disponible de forma gratuita. La ISF ofrece a sus miembros una gama de herramientas y servicios relacionados con el Estándar a un costo adicional.
CONTENIDO RELACIONADO  Cómo seleccionar una base de datos MPP: DB2 vs.Teradata

Cualquiera que sea el estándar que elija (o el estándar que elija para usted por ley), es importante comprender lo que obtiene y lo que no obtiene de estas mejores prácticas documentadas. Obtiene principios generales; por ejemplo, los estándares le dicen que el acceso a la información debe estar protegido por credenciales únicas y que la información crítica debe estar protegida por autenticación de dos factores. Sin embargo, los estándares no le dicen qué información es crítica o qué tipo de autenticación de dos factores usar. Estas son preguntas que los estándares están destinados a provocar, no a responder.

Conecte los puntos: vincule sus políticas a los estándares
Los estándares de la industria respaldados por políticas de información personalizadas para su organización financiera son una base clave para el éxito.

Los estándares de la industria deben servir como un esquema y una referencia durante la redacción y actualización de las políticas de seguridad de su organización. Al combinar las mejores prácticas de alto nivel de los estándares con el conocimiento comercial específico distribuido en toda su organización, puede desarrollar políticas que combinen la seguridad con las necesidades comerciales.

Por ejemplo, el Estándar de buenas prácticas de la ISF establece que «los métodos de detección de intrusiones deben estar respaldados por software especializado, como los sistemas de detección de intrusiones en el host o los sistemas de detección de intrusiones en la red. Este software debe evaluarse antes de la compra».

Para convertir esta práctica recomendada en un elemento de política procesable, se deben completar algunos espacios en blanco. La parte correspondiente de una política de seguridad puede leerse de la siguiente manera:

«Los sistemas de detección de intrusiones en la red se colocarán en los puntos de entrada y salida de la red. Los sistemas de detección de intrusiones del host se implementarán en los sistemas identificados como críticos para la empresa. La evaluación, prueba y selección del hardware y software del sistema de detección de intrusiones son las responsabilidades del Departamento de Seguridad de la Información Corporativa. El seguimiento de los sistemas de detección de intrusiones y la interpretación, análisis y difusión de la información de alerta serán responsabilidad de Operaciones de Seguridad «.

CONTENIDO RELACIONADO  El desarrollo de microservicios no es pan comido ... ¿sabes por qué?

Más detalles, como listas de hardware y software aprobados e instrucciones específicas sobre cómo se llevarán a cabo las funciones de evaluación, prueba, selección, monitoreo, interpretación, análisis y difusión, se establecerían en documentos operativos tales como Normas, Directrices y Procesos.

Prepárate para las excepciones
Llegará el día en que una necesidad empresarial entre en conflicto con las mejores prácticas de seguridad. Estar preparado para hacer frente a esta situación le ahorrará tiempo, dinero y molestias.

Cada negocio tiene diferentes necesidades y tolerancia al riesgo. En algún momento, las necesidades comerciales pueden vencer las mejores prácticas de seguridad de la información. Debe tener un proceso implementado para permitir que la organización:

  • Comprender los riesgos que se corren
  • Documentar estos riesgos y sus factores atenuantes.
  • Tomar y documentar una decisión informada sobre si aceptar un riesgo.
  • Revisar periódicamente los riesgos aceptados para determinar si hay nuevas mitigaciones disponibles y si el riesgo sigue siendo aceptable.

Tener un proceso bien definido para manejar las excepciones permitirá a su organización lidiar con situaciones que quedan fuera de las previstas cuando se redactaron las políticas.

Traducir estándares en acciones medibles
Entregue a sus gerentes de negocios una copia de los estándares típicos de seguridad de información y probablemente terminen usándolos, para apuntalar la pata corta sobre la mesa en la sala de descanso.

La gente de la unidad de negocios quiere que la gente de seguridad de la información les proporcione instrucciones específicas sobre cómo hacer que sus sistemas sean seguros. Decirle al gerente de una unidad de negocios que «use la autenticación de dos factores para proteger la información crítica» no es útil. Debe proporcionar a sus usuarios herramientas específicas de la organización, como criterios para decidir si la información es crítica o no, y listas de soluciones de seguridad probadas y aprobadas específicamente vinculadas a políticas. Recuerde, las políticas no son manuales de instrucciones. Las políticas son declaraciones de alto nivel de la intención de la organización. La información específica sobre cómo implementar la política debe incluirse en los documentos de procedimiento.

CONTENIDO RELACIONADO  Cómo construir una canalización de CI / CD con Azure y GitHub

La clave aquí es la claridad y la coherencia. Debería poder poner los mismos documentos de procedimientos y políticas frente a todos en su organización y hacer que lleguen a las mismas conclusiones en cuanto a las medidas de seguridad que se necesitan para cumplir con el estándar.

Si su organización tiene un departamento de Auditoría Interna, estas son buenas personas para involucrarse en el proceso de desarrollo de acciones medibles. Después de todo, estarán midiendo el cumplimiento y su experiencia en otros tipos de auditorías y estándares es un recurso valioso. Los auditores tienen el enfoque estructurado necesario para poner en práctica esta práctica. Si nuestros amigos en Washington o la capital de su estado dictan sus estándares externos, involucre también a sus abogados para asegurarse de que sus medidas se mantengan en la corte.

Los estándares de la industria para la seguridad de la información no son una cura para todos, y creo que esto es algo bueno en general. Si bien los legisladores y los grupos de la industria pueden decirnos mucho sobre las mejores prácticas y objetivos, depende de la administración y los profesionales de seguridad de la información de nuestras organizaciones encontrar soluciones que permitan realizar negocios con seguridad.

Sobre el Autor
Al Berg, CISSP, es el Director de Seguridad de la Información de Liquidnet, un mercado electrónico para el comercio de bloques. Al ha estado en la industria de la seguridad de la información durante más de 15 años y ha brindado servicios de consultoría a importantes corporaciones y al Departamento de Defensa de EE. UU. Al ha hablado en numerosas conferencias de la industria en los EE. UU. Y Europa, y ha publicado muchos artículos sobre temas de redes y seguridad.

¡Haz clic para puntuar esta entrada!
(Votos: Promedio: )

También te puede interesar...

VSAN all-flash ganando velocidad

LAS VEGAS — VMware apuesta por flash y futuros avances en seguridad y análisis para impulsar su software virtual SAN hiperconvergente en las profundidades de la empresa. VSAN se volvió más compatible con flash con

La integración de OpenText-Salesforce gana impulso

Australia es el hogar de muchos animales mortales, dijo Sean Potter, consultor senior de seguros grupales en MLC Australia, y debería saberlo. Trafica datos de seguros de vida, lo que ayuda a conectar el contenido

Ganadores de Workload Management and Automation 2015

Fuente: VMworld Diseñador: Brian Linnehan/Tecnológico Los participantes legítimos para esta categoría Best of VMworld 2015 ayudan a mejorar el rendimiento o facilitar la administración al aprovisionar, monitorear, administrar o automatizar cargas de trabajo virtuales en

Comience con el control de versiones de API y los URI

El desarrollador responsable de una API debe asegurarse de que otros desarrolladores puedan ver rápidamente cuándo ha cambiado una versión de API, cómo ha cambiado y qué significa esto para ellos. Sin esto, la interfaz

¿Qué es la máquina virtual host (host VM)?

Una máquina virtual host es el componente de servidor de una máquina virtual (VM), el hardware subyacente que proporciona recursos informáticos para admitir una máquina virtual invitada en particular (VM invitada). La máquina virtual host

¿Qué es el almacenamiento blockchain?

¿Qué es el almacenamiento blockchain? El almacenamiento blockchain es una forma de guardar datos en una red descentralizada, que utiliza el espacio no utilizado en el disco duro de los usuarios de todo el mundo

¿Qué es el modelado de idiomas?

El modelado del lenguaje (LM) es el uso de varias técnicas estadísticas y probabilísticas para determinar la probabilidad de que una secuencia dada de palabras ocurra en una oración. Los modelos de lenguaje analizan conjuntos

6 tendencias y predicciones a seguir

Al igual que a las personas les resulta difícil imaginarse un mundo sin teléfonos móviles, es cada vez más difícil imaginar un futuro en el que los objetos no estén conectados a Internet. Los fabricantes

¿Qué es TCPView? – Definición de Krypton Solid

TCPView es una utilidad de monitoreo de red de Windows que muestra una representación gráfica de todos los puntos finales TCP y UDP actualmente activos en un sistema. TCPView permite ordenar por nombre de proceso,

¿Qué es Microsoft SharePoint Online?

Microsoft SharePoint Online es una colección de tecnologías basadas en la nube y en la web que facilita el almacenamiento, el intercambio y la administración de información digital dentro de una organización. SharePoint Online se

Qué significa eso para los clientes

Salesforce compró Salesforce.org, su spin-off que sirve como hogar para Nonprofit Cloud, Education Cloud y Philanthropy Cloud. Si bien las preguntas sobre precios pueden venir con la transacción, los clientes que entrevistamos ven las ventajas

Cómo crear una arquitectura de IAM eficaz

Las cosas a veces pueden ser tan fundamentales que se vuelven difíciles de ver con claridad, o incluso invisibles. Imagine un entorno de oficina típico, por ejemplo, ¿qué ve? Es probable que haya sillas, escritorios,

Opciones de alta disponibilidad en SQL Server 2008

Conclusión del proveedor de soluciones: Los proveedores de soluciones pueden elegir entre cuatro opciones de alta disponibilidad en SQL Server 2008. Las bases de datos son la columna vertebral de toda organización. Se utilizan para

¿Qué es LTE (evolución a largo plazo)?

¿Qué es LTE? LTE (Long-Term Evolution) es un estándar inalámbrico de cuarta generación (4G) que proporciona una mayor capacidad de red y velocidad para teléfonos celulares y otros dispositivos celulares en comparación con la tecnología

Cinco pasos para cerrar los libros más rápido

¿Qué pasos puede tomar un departamento de finanzas para cerrar los libros más rápido? Siga estos cinco pasos para cerrar los libros de manera más eficiente: 1. Sincronice los datos contables y financieros en toda

Deja un comentario