Cumplimiento de ciberseguridad desde la perspectiva del CISO

Cumplimiento de ciberseguridad desde la perspectiva del CISO

Los requisitos de cumplimiento están diseñados para aumentar la transparencia y la rendición de cuentas en ciberseguridad. A medida que aumentan las amenazas cibernéticas, también aumenta el número de marcos de cumplimiento, controles, políticas y actividades de seguridad relacionadas. Para los CISO y sus equipos, el cumplimiento puede ser un proceso lento y de alto riesgo que requiere habilidades sólidas en organización, comunicación y experiencia en seguridad.

¿Qué CISO se preocupan más por el cumplimiento?

La percepción del cumplimiento de la ciberseguridad puede variar significativamente entre los CISO, dependiendo del tamaño de la empresa, la ubicación geográfica, el sector, la sensibilidad de los datos y el nivel de madurez del programa de seguridad. Por ejemplo, las empresas que cotizan en bolsa en los Estados Unidos deben cumplir con múltiples regulaciones, así como llevar a cabo evaluaciones de riesgos y planes de acciones correctivas. Las agencias gubernamentales y las empresas que trabajan con el sector público también deben cumplir con requisitos específicos. Además, los bancos, las organizaciones de atención médica, las empresas de comercio electrónico y otros negocios deben seguir reglas de cumplimiento específicas de su industria.

Seguridad no es igual a cumplimiento.

Cumplir con los requisitos de cumplimiento no garantiza la seguridad completa de una organización. Las organizaciones altamente maduras en ciberseguridad consideran el cumplimiento como un requisito mínimo y van más allá de los componentes requeridos para proteger sus organizaciones.

El cumplimiento como facilitador de negocios

Si bien los CISO pueden recomendar inversiones y prácticas de ciberseguridad para cumplir con los requisitos de cumplimiento, no son quienes toman las decisiones finales. Una responsabilidad clave de los CISO es comunicar el riesgo de incumplimiento y trabajar con otros líderes de la empresa para decidir qué iniciativas priorizar. El cumplimiento se debe considerar en el contexto de un programa integral de gestión de riesgos, y las juntas directivas y el liderazgo ejecutivo deben evaluar los costos y beneficios de garantizar el cumplimiento en comparación con los posibles costos del incumplimiento.

Los CISO necesitan socios que cumplan con las normas

Los CISO necesitan establecer asociaciones con equipos legales, funcionarios de privacidad y comités de auditoría o riesgos para comprender los cambios en los requisitos de cumplimiento y determinar cómo abordarlos. Estos socios internos pueden requerir que los equipos de seguridad implementen controles más estrictos, pero también pueden brindar apoyo y verificar que los controles funcionen correctamente. El uso de herramientas como sistemas GRC (Governance, Risk, and Compliance) y el monitoreo continuo del cumplimiento permite realizar un seguimiento de las actividades de seguridad y documentar los resultados.

Cumplir una vez, aplicar a muchas

El cumplimiento puede ser aplicado a múltiples entidades, como organismos de cumplimiento, proveedores, clientes y socios de seguros cibernéticos. Para agilizar el proceso de evaluación, existen técnicas como la implementación de requisitos comunes, por ejemplo, la gestión de acceso privilegiado (PAM), que incluye la gestión de contraseñas, la autenticación multifactor (MFA) y los controles de acceso basados en roles.

Requisitos de cumplimiento emergentes

El cumplimiento es un ámbito en constante cambio, con requisitos que evolucionan para abordar los riesgos emergentes y las condiciones comerciales cambiantes. Los CISO buscan orientación en los organismos de cumplimiento para abordar riesgos emergentes, como la Inteligencia Artificial. En el futuro, se espera que garantizar el cumplimiento se convierta en una parte aún más importante de la labor de los CISO, ya que el cumplimiento es esencial en un enfoque estratégico y completo para la gestión de riesgos de ciberseguridad.

Fuente: thehackernews.com


Deja un comentario


Contacto

  • Calle de la Prosa 136, San Borja Lima
  • (01) 225 1313
  • usuarios@osiptel.gob.pe
  • www.osiptel.gob.pe