Krypton Solid

Krypton Solid
Krypton Solid

La última tecnología en raciones de 5 minutos

Siete supuestos de requisitos de cumplimiento normativo comunes que se deben evitar

Cumplimiento significa diferentes cosas para diferentes personas. De hecho, los requisitos de cumplimiento normativo se manejan (y deben) manejarse de manera diferente en función de las necesidades únicas de la empresa. La fea realidad es que se hacen tantas suposiciones sobre el cumplimiento que a menudo sesga la percepción de lo que realmente está sucediendo.

Estas son las que creo que son las suposiciones más peligrosas que hacemos sobre los requisitos de cumplimiento normativo y cómo pueden llevarnos a nosotros, y a nuestras empresas, al agua caliente:

1. Cumplimos con las normas, por lo que nuestra información está segura. La suposición más común es que el cumplimiento es igual a la seguridad. No es así. Nunca lo ha hecho y nunca lo haré. Es posible que su empresa cumpla con las normas en este momento, pero lo más probable es que todavía tenga toneladas de frutos maduros que deben arreglarse. Es hora de profundizar más.

2. Nuestro abogado está a cargo, así que todo está bien. Los abogados deberían tener la última palabra, pero no deberían llamar todos los disparos. El cumplimiento es mucho más complejo que los informes de auditoría y los contratos. Hay evaluaciones de riesgos de la información, gestión de vulnerabilidades, respuesta a incidentes, controles de acceso, etc. Todas las personas adecuadas en todos los ámbitos deben participar en todo el proceso de cumplimiento.

3. No vale la pena el dinero para cumplir, y mantenerse, en cumplimiento. Según el Instituto Ponemon, el costo del incumplimiento es 2,65 veces el costo de cumplir con los requisitos de cumplimiento normativo. Haga lo que sea necesario y ahorrará una enorme cantidad de dinero y esfuerzo. A medida que pase el tiempo, eventualmente se verá obligado a cumplir. ¿Por qué no empezar ahora?

CONTENIDO RELACIONADO  ¿Qué es 70-20-10 (regla 70-20-10)?

4. Encriptamos nuestra PII: ese es el control de seguridad definitivo. A pesar de que los datos están encriptados, existen numerosas formas de explotar fallas conocidas, especialmente si el cifrado no se implementó correctamente o no se administra de la forma necesaria. Necesita cifrado, pero no asuma que funciona según lo previsto.

5. Nuestras herramientas nos dicen que cumplimos; basta de charla. Las buenas herramientas de red y seguridad son esenciales para la visibilidad y el control, pero nunca puede confiar completamente en ellas. Ya sea administración de identidad, monitoreo de red, administración de vulnerabilidades, lo que sea, los informes enlatados de tales herramientas a menudo no reflejan la realidad. Tienes que mirar más de cerca y validar por ti mismo.

6. Hemos hecho todo lo que exige la normativa, eso es todo lo que tenemos que hacer. Centrarse en lo que se requiere no significa que haya cubierto todas sus bases. Los requisitos mínimos de cumplimiento normativo suelen ser una base de sugerencias, pero es posible que no sean lo que su empresa realmente necesita. Además, no puedo decirle cuántas veces he visto empresas «volverse» compatibles sin haber realizado ni una sola evaluación de riesgos de la información. No es posible que implemente los controles de seguridad adecuados si ni siquiera sabe qué necesita atención.

7. Tuvimos una infracción y sanciones de cumplimiento posteriores, por lo que aprendimos nuestras lecciones y ahora estamos mucho más seguros. Los seres humanos a menudo asumen lo que otras personas están pensando y que otros se están ocupando de lo que se necesita. El mejor momento para que esto suceda es después de que ocurre una infracción y volvemos a nuestro trabajo diario, luego nos volvemos complacientes. Asumir que todo ha sido descubierto y arreglado es una excelente oportunidad para que las personas bajen la guardia y que algo más salga mal. Experimentar una violación de datos significa que debe mejorar su juego, a lo grande, y estar al tanto de las cosas sin bajar la guardia.

CONTENIDO RELACIONADO  Utilice estos métodos de desplazamiento a la derecha para probar el código en producción

No puedes cambiar lo que tolera. Solucione sus descuidos y las lagunas que rodean los requisitos de cumplimiento normativo ahora, antes de que muerdan cuando menos lo espera.

Kevin Beaver es consultor de seguridad de la información y testigo experto, así como líder de seminarios y orador principal en Atlanta. Principle Logic LLC. Beaver es autor / coautor de ocho libros sobre seguridad de la información, que incluyen La guía práctica para el cumplimiento de la privacidad y la seguridad de HIPAA y el recién actualizado Hacking For Dummies, tercera edición. Además, es el creador de la Seguridad sobre ruedas Blog y audiolibros de seguridad de la información.

¡Haz clic para puntuar esta entrada!
(Votos: Promedio: )

También te puede interesar...

¿Qué es Adobe Flash Player?

Adobe Flash Player es un software que se utiliza para transmitir y ver video, audio y multimedia y aplicaciones de Internet enriquecidas (RIA) en una computadora o dispositivo móvil compatible. Flash Player fue creado originalmente

Cómo ha evolucionado y crecido

Si bien el marco Mitre ATT & CK comenzó como una hoja de cálculo interna de Excel, ha evolucionado hasta convertirse en una base de conocimiento global de actividad, técnicas y modelos de amenazas que

Reduzca la pila de herramientas DevOps y aumente su poder

El cambio organizacional de DevOps impone un replanteamiento de las herramientas de TI. Equipos multidisciplinarios, empoderados y centrados en el producto, luchan con una variedad de opciones superpuestas, y se produce una expansión de herramientas.

La importancia del nodo coordinador

Soy un gran admirador de Hyper-V, pero no de su tecnología de agrupación en clústeres subyacente. La arquitectura de clústeres de conmutación por error de Windows se diseñó originalmente como una infraestructura de clústeres de

Contáctenos – SearchWindowsServer

Envíanos tus comentarios SearchWindowsServer agradece sus comentarios. Nuestro objetivo es crear el mejor sitio web específico para Windows Server. Una forma de hacerlo es escuchando sus comentarios. Intentaremos abordar todos los comentarios caso por caso.

Desglose de la base de la plataforma MobileFirst de IBM

Fundación de la plataforma MobileFirst de IBM (anteriormente conocido como IBM Worklight) es una plataforma de desarrollo de aplicaciones móviles más adecuada para la creación de aplicaciones nativas y multiplataforma de nivel empresarial para dispositivos

Transforme las ventas para transformar su negocio

Salesforce ha sido pionera en capacitar a las organizaciones para que modernicen las ventas y las relaciones con los clientes a través de la colaboración digital, la movilidad, las redes sociales, conocimientos en tiempo real

Correcciones de pantalla negra RDP Win10

Después de instalar Insider Preview 18227.1006 en mis dos PC de prueba a principios de esta semana, inmediatamente encontré un problema interesante. Esas dos PC son Dell. Uno es un Venue Pro 11 7130 antiguo

Premios Impacto de la Infraestructura Moderna 2016

Nota del editor El Infraestructura moderna Los premios Impact reconocen los mejores productos, tecnologías y servicios en las áreas esenciales de tecnología que Infraestructura moderna cubiertas. Las herramientas galardonadas ayudan a administrar negocios empresariales con

Cómo convertirse en proveedor de servicios gestionados

Resumen ejecutivo En un mundo tecnológico cada vez más mercantilizado, los revendedores de valor agregado (VAR) están gravitando hacia los servicios administrados como un área con un buen potencial de crecimiento. Muchos VAR operan con

Explore nuevos enfoques para la gestión de macOS

Las organizaciones tienen una gran cantidad de opciones para administrar y proteger los escritorios de Windows, pero los escritorios de Apple OS a menudo se tratan como una ocurrencia tardía. Sin embargo, en los últimos

Aprenda a administrar entornos de vSphere con SaltStack

requiere un sistema de gestión coherente. SaltStack está emergiendo como una herramienta que ofrece una alternativa a ofertas como Puppet, Ansible y Chef. En este artículo, analizaremos cómo se puede usar para administrar entornos de

Cómo crear máquinas virtuales

En las dos primeras partes de esta serie sobre Xen, ha leído sobre qué es Xen y cómo preparar SUSE Linux Enterprise Server para la virtualización de Xen. Según esa información, debe tener un servidor

Las diez cosas que deberían suceder en 2020

Este es el primero de una serie de dos partes. DesignOps, AppDev, innovación digital, IA, aprendizaje automático, IoT, bots y movilidad son tecnologías líderes que han dominado la industria de TI, y es esa época

Un glosario para usuarios de IA en RR.HH.

Sergey Nivens – Fotolia El aprendizaje automático, el procesamiento del lenguaje natural y la computación cognitiva se encuentran entre los nuevos términos de inteligencia artificial que enfrentan los gerentes de recursos humanos en la literatura

Cobertura de la conferencia VMworld 2015

Nota del editor Durante años, VMware estuvo dirigiendo el futuro de la TI empresarial, permitiendo la consolidación, la agilidad y siendo pionera en una visión para el centro de datos definido por software. Aunque su

Deshabilitar transmisiones dirigidas por IP

Su enrutador es obediente. Hará lo que se le diga, sin importar quién lo diga. Un ataque Smurf es una versión de un ataque de denegación de servicio (DOS) en el que un atacante envía

Certificación CompTIA A + y la credencial MCSA

¿Cómo influye la certificación CompTIA A + en el programa MCSA? Microsoft se da cuenta del beneficio de las certificaciones de otras organizaciones. Como muestra de aprobación y para mostrar su … apoyo, han realizado

Pros y contras del almacenamiento remoto

Las crecientes preocupaciones sobre la protección de datos en infraestructuras virtuales están impulsando el crecimiento del almacenamiento externo o remoto. La virtualización es una opción natural para el almacenamiento externo, siempre que preste atención a

Cómo prevenir ataques de inyección SQL en su empresa

El lenguaje de consulta estructurado se utiliza para programar y administrar datos en bases de datos relacionales. Primero haciendo una aparición … en un artículo de IBM Research en 1974, SQL ha ganado mucha popularidad

Granularidad en el diseño de casos de prueba

La granularidad de los casos de prueba probablemente será uno de esos puntos de discordia en la industria del control de calidad que nunca desaparece. Sin embargo, es una gran discusión, y la responderé filosóficamente

Cómo funciona y cuándo decir que no

Llega un momento en la vida de cualquier DBA, ya sea que desee ser DBA o no, en el que comienza a pensar en SQL … Replicación del servidor. Este artículo está diseñado para rápidamente

Requisitos inadecuados y qué hacer al respecto.

John Scarpino En mi propia experiencia profesional, he sido testigo de una práctica cada vez más común de analistas de negocios y gerentes de proyectos que brindan a los probadores de software muy pocos requisitos,

Versiones de MySQL, en cifras

Números de versión de MySQL Incluso para los conocedores de MySQL, es un desafío realizar un seguimiento de qué versión de MySQL es la actual y qué funciones están contenidas en qué versiones. Esta sección

¿Qué es VSMP (multiprocesamiento simétrico virtual)?

VSMP (multiprocesamiento simétrico virtual) es un método de SMP (multiprocesamiento simétrico) en el que se asignan dos o más procesadores virtuales dentro de una sola partición o máquina virtual. Esto hace posible asignar múltiples procesadores

Contratos de servicios gestionados

Por Yuval Shavit, escritor de artículos Nuestra serie Channel Explained proporciona artículos específicos que detallan la terminología del canal pero evitan la sobrecarga de información. Esta semana examinamos la pregunta: ¿Qué es un contrato de

Comprensión de las licencias de Salesforce App Cloud

AppExchange es un escaparate para aplicaciones de terceros que puede complementar la funcionalidad de Salesforce. Salesforce dejó en claro que no estaba intentando crear todas las aplicaciones. Su funcionalidad principal es CRM, e incorporó AppExchange

Cómo implementar Microsoft Endpoint Manager paso a paso

Microsoft Endpoint Manager proporciona una gran cantidad de utilidades de administración de escritorio como una plataforma local con Configuration Manager, una plataforma en la nube con Microsoft Intune y un puente desde el local a

Cómo aprovechar los beneficios de la diversidad

Recientemente se ha dedicado mucha prensa al problema de la diversidad en Silicon Valley, pero ¿cómo se relaciona el problema específicamente con el canal de TI? Las empresas de canales podrían hacerlo mejor. En el

Deja un comentario