SOC 2, ISO, HIPAA, Cyber Essentials: todos los marcos y certificaciones de seguridad actuales son una sopa de siglas que puede hacer que incluso a un experto en cumplimiento le dé vueltas la cabeza. Si se está embarcando en su viaje de cumplimiento, siga leyendo para descubrir las diferencias entre los estándares, cuál es mejor para su negocio y cómo la gestión de vulnerabilidades puede ayudar al cumplimiento.
¿Qué es el cumplimiento de la ciberseguridad?
El cumplimiento de la ciberseguridad significa que ha cumplido con un conjunto de reglas acordadas con respecto a la forma en que protege la información confidencial y los datos de los clientes. Estas reglas pueden ser establecidas por ley, autoridades reguladoras, asociaciones comerciales o grupos industriales.
Por ejemplo, el GDPR lo establece la UE con una amplia gama de requisitos de ciberseguridad que toda organización dentro de su alcance debe cumplir, mientras que ISO 27001 es un conjunto voluntario (pero reconocido internacionalmente) de mejores prácticas para la gestión de la seguridad de la información. Los clientes esperan cada vez más la seguridad que brinda el cumplimiento, porque las filtraciones y la divulgación de datos también afectarán sus operaciones, ingresos y reputación.
¿Qué estándar de cumplimiento de ciberseguridad es el adecuado para usted?
Cada negocio en cada industria es operativamente diferente y tiene diferentes necesidades de ciberseguridad. Las salvaguardas utilizadas para mantener la confidencialidad de los registros de los pacientes hospitalarios no son las mismas que las regulaciones para mantener segura la información financiera de los clientes.
Para determinadas industrias, el cumplimiento es la ley. Las industrias que manejan información personal confidencial, como la atención médica y las finanzas, están altamente reguladas. En algunos casos, las regulaciones de ciberseguridad se superponen en todas las industrias. Por ejemplo, si tiene una empresa en la UE que maneja pagos con tarjeta de crédito, deberá cumplir con las regulaciones sobre tarjetas bancarias y de crédito (PCI DSS) y el RGPD.
Los conceptos básicos de seguridad, como evaluaciones de riesgos, almacenamiento de datos cifrados, gestión de vulnerabilidades y planes de respuesta a incidentes, son bastante comunes en todos los estándares, pero qué sistemas y operaciones deben protegerse, y cómo, son específicos de cada estándar. Los estándares que exploramos a continuación están lejos de ser exhaustivos, pero son el cumplimiento más común para las empresas emergentes y SaaS que manejan datos digitales. Vamos a sumergirnos.
RGPD
El Reglamento General de Protección de Datos (GDPR) es una ley de gran alcance que regula cómo las empresas (incluidas las de EE. UU.) recopilan y almacenan los datos privados de los ciudadanos de la Unión Europea. Las multas por incumplimiento son elevadas y la UE está no es tímido a la hora de hacerlas cumplir.
¿Quién debe cumplir con el RGPD?
Abróchate el cinturón porque es cualquiera que recopile o procese datos personales de cualquier persona en la UE, dondequiera que vaya o compre en línea. La información personal o «datos personales» incluye casi cualquier cosa, desde el nombre y la fecha de nacimiento hasta información geográfica, dirección IP, identificadores de cookies, datos de salud e información de pago. Por lo tanto, si hace negocios con residentes de la UE, debe cumplir con el RGPD.
Cómo el análisis de vulnerabilidades puede contribuir al cumplimiento del RGPD
Su política de seguridad de TI para GDPR no tiene por qué ser un documento complicado: solo necesita exponer en términos fáciles de entender los protocolos de seguridad que su empresa y sus empleados deben seguir. También puedes utilizar plantillas gratuitas de SANS como modelos.
Puede comenzar a tomar medidas sencillas de inmediato. Existen plataformas automatizadas que facilitan determinar qué requisitos ya cumple y cuáles debe corregir. Por ejemplo, debe «desarrollar e implementar salvaguardias apropiadas para limitar o contener el impacto de un posible evento de ciberseguridad», cuyo escaneo de vulnerabilidades utiliza una herramienta como Intruso puede ayudarte a lograrlo.
SOC 2
Las empresas SaaS y nacidas en la nube que brindan servicios y sistemas digitales estarán más familiarizadas con el SOC 2, ya que cubre el almacenamiento, manejo y transmisión de datos digitales, aunque la certificación se está volviendo cada vez más popular entre todos los proveedores de servicios.
Hay dos informes: el tipo 1 es una evaluación puntual de su postura de seguridad cibernética; El tipo 2 es una auditoría continua realizada por un evaluador externo para comprobar el cumplimiento de estos compromisos, revisada y renovada cada 12 meses. SOC 2 le brinda cierto margen de maniobra sobre cómo cumplir con sus criterios, mientras que PCI DSS, HIPAA y otros marcos de seguridad tienen requisitos muy explícitos.
¿Quién necesita el cumplimiento de SOC 2?
Si bien SOC 2 no es un requisito legal, es el marco de seguridad más buscado por los proveedores de SaaS en crecimiento. Es más rápido y económico de lograr que la mayoría de los demás estándares de esta lista, y al mismo tiempo demuestra un compromiso concreto con la seguridad cibernética.
¿Cómo se cumple con SOC 2?
El cumplimiento de SOC 2 requiere que usted implemente controles o salvaguardas en el monitoreo del sistema, violaciones de alertas de datos, procedimientos de auditoría y análisis forense digital. El informe SOC 2 posterior es la opinión del auditor sobre cómo estos controles se ajustan a los requisitos de cinco «principios de confianza»: seguridad, confidencialidad, integridad del procesamiento, disponibilidad y privacidad.
ISO 27001
ISO produce un conjunto de estándares voluntarios para una variedad de industrias: ISO 27001 es el estándar para las mejores prácticas en un SGSI (sistema de gestión de seguridad de la información) para gestionar la seguridad de la información financiera, la propiedad intelectual, la información del personal y otra información de terceros. ISO 27001 no es un requisito legal por defecto, pero muchas grandes empresas o agencias gubernamentales solo trabajarán con usted si tiene la certificación ISO. Está reconocido como uno de los marcos más rigurosos, pero completarlo es notoriamente difícil, costoso y lleva mucho tiempo.
¿Quién lo necesita?
Al igual que SOC 2, ISO 27001 es una buena manera de demostrar públicamente que su empresa está comprometida y es diligente en lo que respecta a la seguridad de la información, y que ha tomado medidas para mantener seguros los datos que comparte con ella.
¿Cómo se cumple con la norma ISO 27001?
Los auditores externos validan que haya implementado todas las mejores prácticas relevantes de acuerdo con el estándar ISO. No existe una lista de verificación universal ISO 27001 que garantice la certificación. Depende de usted decidir qué está dentro del alcance e implementar el marco, y los auditores utilizarán su discreción para evaluar cada caso.
Recuerde que ISO 27001 trata en gran medida sobre la gestión de riesgos. Los riesgos no son estáticos y evolucionan a medida que surgen nuevas amenazas cibernéticas, por lo que debe crear gestión automatizada de vulnerabilidades con una herramienta como Intruder en sus controles de seguridad para evaluar y analizar nuevos riesgos a medida que surgen. Las plataformas de cumplimiento automatizadas como Drata pueden ayudar a acelerar el proceso.
 |
| Intruder proporciona informes procesables y listos para auditorías, para que pueda mostrar fácilmente su postura de seguridad a auditores, partes interesadas y clientes. |
PCI DSS
El PCI DSS (Estándar de seguridad de datos) fue desarrollado por el PCI Security Standards Council y las principales marcas de tarjetas (American Express, Mastercard y Visa) para regular a cualquiera que almacene, procese y/o transmita datos de titulares de tarjetas.
¿Quién lo necesita?
En teoría, cualquiera que procese transacciones de pago con tarjeta, pero existen diferentes reglas según la cantidad y el tipo de pagos que realice. Si utiliza un proveedor de pago con tarjeta externo como Stripe o Sage, ellos deben gestionar el proceso y proporcionarle validación.
Cómo cumplir con PCI DSS
A diferencia de ISO 27001 y SOC 2, PCI DSS requiere un estricto programa de gestión de vulnerabilidades, pero la acreditación es compleja. Los proveedores de pagos externos generalmente completarán el formulario PCI automáticamente, proporcionando validación con solo hacer clic en un botón. Para las empresas más pequeñas, esto puede ahorrar horas de trabajo.
HIPAA
HIPAA (Ley de Responsabilidad y Portabilidad de Seguros Médicos) regula la transferencia y el almacenamiento de datos de pacientes en la industria de la salud de EE. UU., donde el cumplimiento es un requisito legal.
¿Quién lo necesita?
El cumplimiento de HIPAA es obligatorio para cualquier empresa que maneje información de pacientes en los EE. UU., o para cualquier persona que haga negocios en los EE. UU. con empresas que también cumplan con la HIPAA.
Cómo cumplir con HIPAA
HIPAA puede ser difícil de navegar. Requiere un plan de gestión de riesgos con medidas de seguridad suficientes para reducir el riesgo a un nivel razonable y apropiado. Aunque HIPAA no especifica la metodología, los escaneos de vulnerabilidades o las pruebas de penetración con una herramienta como Intruder deben ser componentes integrales de cualquier proceso de análisis y gestión de riesgos.
Esenciales cibernéticos
Cyber Essentials es un plan respaldado por el gobierno del Reino Unido diseñado para comprobar que las empresas estén adecuadamente protegidas contra los ciberataques comunes. Al igual que en SOC 2, considérelo una buena higiene cibernética, como lavarse las manos o cepillarse los dientes. Diseñado para empresas más pequeñas sin experiencia en seguridad dedicada, debería ser solo el punto de partida de un programa de seguridad más sólido.
¿Quién necesita el cumplimiento de Cyber Essentials?
Cualquier empresa que presente ofertas para un contrato del gobierno o del sector público del Reino Unido que involucre información personal y confidencial o que proporcione ciertos productos y servicios técnicos.
Cómo cumplir con Cyber Essentials
El certificado básico es una autoevaluación de los controles básicos de seguridad. Cyber Essentials Plus es una certificación técnica práctica, integral y más avanzada que incluye una serie de pruebas de vulnerabilidad que puede proporcionar una herramienta automatizada como Intruder. La prueba interna es un análisis interno autenticado y una prueba de la configuración de seguridad y antimalware de cada dispositivo.
El cumplimiento no tiene por qué significar complejidad
El cumplimiento puede parecer un ejercicio costoso y que requiere mucha mano de obra, pero puede palidecer en comparación con el costo de solucionar una infracción, pagar acuerdos a los clientes, perder la reputación o pagar multas. También puede perder negocios potenciales si no cuenta con las certificaciones que los clientes esperan.
Pero el cumplimiento de la ciberseguridad no tiene por qué ser difícil con las herramientas automatizadas actuales. Si utiliza la gestión de vulnerabilidades de Intruder que ya se integra con plataformas de cumplimiento automatizadas como Drata, la auditoría, los informes y la documentación para el cumplimiento se vuelven mucho más rápidos y sencillos. Ya sea que recién esté comenzando su viaje de cumplimiento o esté buscando mejorar su seguridad, Intruder puede ayudarlo a llegar allí más rápido. Comience hoy con un prueba gratis.