{"id":970884,"date":"2023-09-26T13:57:09","date_gmt":"2023-09-26T13:57:09","guid":{"rendered":"https:\/\/teknomers.com\/es\/guia-esencial-para-el-cumplimiento-de-la-ciberseguridad\/"},"modified":"2023-09-26T13:57:13","modified_gmt":"2023-09-26T13:57:13","slug":"guia-esencial-para-el-cumplimiento-de-la-ciberseguridad","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/guia-esencial-para-el-cumplimiento-de-la-ciberseguridad\/","title":{"rendered":"Gu\u00eda esencial para el cumplimiento de la ciberseguridad"},"content":{"rendered":"


\n<\/p>\n

\n
<\/div>\n

SOC 2, ISO, HIPAA, Cyber \u200b\u200bEssentials: todos los marcos y certificaciones de seguridad actuales son una sopa de siglas que puede hacer que incluso a un experto en cumplimiento le d\u00e9 vueltas la cabeza. Si se est\u00e1 embarcando en su viaje de cumplimiento, siga leyendo para descubrir las diferencias entre los est\u00e1ndares, cu\u00e1l es mejor para su negocio y c\u00f3mo la gesti\u00f3n de vulnerabilidades puede ayudar al cumplimiento.<\/p>\n

\u00bfQu\u00e9 es el cumplimiento de la ciberseguridad?<\/h2>\n

El cumplimiento de la ciberseguridad significa que ha cumplido con un conjunto de reglas acordadas con respecto a la forma en que protege la informaci\u00f3n confidencial y los datos de los clientes. Estas reglas pueden ser establecidas por ley, autoridades reguladoras, asociaciones comerciales o grupos industriales. <\/p>\n

Por ejemplo, el GDPR lo establece la UE con una amplia gama de requisitos de ciberseguridad que toda organizaci\u00f3n dentro de su alcance debe cumplir, mientras que ISO 27001 es un conjunto voluntario (pero reconocido internacionalmente) de mejores pr\u00e1cticas para la gesti\u00f3n de la seguridad de la informaci\u00f3n. Los clientes esperan cada vez m\u00e1s la seguridad que brinda el cumplimiento, porque las filtraciones y la divulgaci\u00f3n de datos tambi\u00e9n afectar\u00e1n sus operaciones, ingresos y reputaci\u00f3n.<\/p>\n

\u00bfQu\u00e9 est\u00e1ndar de cumplimiento de ciberseguridad es el adecuado para usted?<\/h2>\n

Cada negocio en cada industria es operativamente diferente y tiene diferentes necesidades de ciberseguridad. Las salvaguardas utilizadas para mantener la confidencialidad de los registros de los pacientes hospitalarios no son las mismas que las regulaciones para mantener segura la informaci\u00f3n financiera de los clientes. <\/p>\n

Para determinadas industrias, el cumplimiento es la ley. Las industrias que manejan informaci\u00f3n personal confidencial, como la atenci\u00f3n m\u00e9dica y las finanzas, est\u00e1n altamente reguladas. En algunos casos, las regulaciones de ciberseguridad se superponen en todas las industrias. Por ejemplo, si tiene una empresa en la UE que maneja pagos con tarjeta de cr\u00e9dito, deber\u00e1 cumplir con las regulaciones sobre tarjetas bancarias y de cr\u00e9dito (PCI DSS) y el RGPD. <\/p>\n

Los conceptos b\u00e1sicos de seguridad, como evaluaciones de riesgos, almacenamiento de datos cifrados, gesti\u00f3n de vulnerabilidades y planes de respuesta a incidentes, son bastante comunes en todos los est\u00e1ndares, pero qu\u00e9 sistemas y operaciones deben protegerse, y c\u00f3mo, son espec\u00edficos de cada est\u00e1ndar. Los est\u00e1ndares que exploramos a continuaci\u00f3n est\u00e1n lejos de ser exhaustivos, pero son el cumplimiento m\u00e1s com\u00fan para las empresas emergentes y SaaS que manejan datos digitales. Vamos a sumergirnos.<\/p>\n

RGPD<\/h2>\n

El Reglamento General de Protecci\u00f3n de Datos (GDPR) es una ley de gran alcance que regula c\u00f3mo las empresas (incluidas las de EE. UU.) recopilan y almacenan los datos privados de los ciudadanos de la Uni\u00f3n Europea. Las multas por incumplimiento son elevadas y la UE est\u00e1 no es t\u00edmido a la hora de hacerlas cumplir<\/a>.<\/p>\n

\u00bfQui\u00e9n debe cumplir con el RGPD?<\/h3>\n

Abr\u00f3chate el cintur\u00f3n porque es cualquiera que recopile o procese datos personales de cualquier persona en la UE, dondequiera que vaya o compre en l\u00ednea. La informaci\u00f3n personal o “datos personales” incluye casi cualquier cosa, desde el nombre y la fecha de nacimiento hasta informaci\u00f3n geogr\u00e1fica, direcci\u00f3n IP, identificadores de cookies, datos de salud e informaci\u00f3n de pago. Por lo tanto, si hace negocios con residentes de la UE, debe cumplir con el RGPD. <\/p>\n

C\u00f3mo el an\u00e1lisis de vulnerabilidades puede contribuir al cumplimiento del RGPD<\/h3>\n

Su pol\u00edtica de seguridad de TI para GDPR no tiene por qu\u00e9 ser un documento complicado: solo necesita exponer en t\u00e9rminos f\u00e1ciles de entender los protocolos de seguridad que su empresa y sus empleados deben seguir. Tambi\u00e9n puedes utilizar plantillas gratuitas de SANS<\/a> como modelos. <\/p>\n

Puede comenzar a tomar medidas sencillas de inmediato. Existen plataformas automatizadas que facilitan determinar qu\u00e9 requisitos ya cumple y cu\u00e1les debe corregir. Por ejemplo, debe “desarrollar e implementar salvaguardias apropiadas<\/a> para limitar o contener el impacto de un posible evento de ciberseguridad”, cuyo escaneo de vulnerabilidades utiliza una herramienta como Intruso<\/a> puede ayudarte a lograrlo.<\/p>\n

SOC 2<\/h3>\n

Las empresas SaaS y nacidas en la nube que brindan servicios y sistemas digitales estar\u00e1n m\u00e1s familiarizadas con el SOC 2, ya que cubre el almacenamiento, manejo y transmisi\u00f3n de datos digitales, aunque la certificaci\u00f3n se est\u00e1 volviendo cada vez m\u00e1s popular entre todos los proveedores de servicios.<\/p>\n

Hay dos informes: el tipo 1 es una evaluaci\u00f3n puntual de su postura de seguridad cibern\u00e9tica; El tipo 2 es una auditor\u00eda continua realizada por un evaluador externo para comprobar el cumplimiento de estos compromisos, revisada y renovada cada 12 meses. SOC 2 le brinda cierto margen de maniobra sobre c\u00f3mo cumplir con sus criterios, mientras que PCI DSS, HIPAA y otros marcos de seguridad tienen requisitos muy expl\u00edcitos. <\/p>\n

\u00bfQui\u00e9n necesita el cumplimiento de SOC 2?<\/h3>\n

Si bien SOC 2 no es un requisito legal, es el marco de seguridad m\u00e1s buscado por los proveedores de SaaS en crecimiento. Es m\u00e1s r\u00e1pido y econ\u00f3mico de lograr que la mayor\u00eda de los dem\u00e1s est\u00e1ndares de esta lista, y al mismo tiempo demuestra un compromiso concreto con la seguridad cibern\u00e9tica. <\/p>\n

\u00bfC\u00f3mo se cumple con SOC 2?<\/h3>\n

El cumplimiento de SOC 2 requiere que usted implemente controles o salvaguardas en el monitoreo del sistema, violaciones de alertas de datos, procedimientos de auditor\u00eda y an\u00e1lisis forense digital. El informe SOC 2 posterior es la opini\u00f3n del auditor sobre c\u00f3mo estos controles se ajustan a los requisitos de cinco “principios de confianza”: seguridad, confidencialidad, integridad del procesamiento, disponibilidad y privacidad.<\/p>\n

ISO 27001<\/h3>\n

ISO produce un conjunto de est\u00e1ndares voluntarios para una variedad de industrias: ISO 27001 es el est\u00e1ndar para las mejores pr\u00e1cticas en un SGSI<\/a> (sistema de gesti\u00f3n de seguridad de la informaci\u00f3n) para gestionar la seguridad de la informaci\u00f3n financiera, la propiedad intelectual, la informaci\u00f3n del personal y otra informaci\u00f3n de terceros. ISO 27001 no es un requisito legal por defecto, pero muchas grandes empresas o agencias gubernamentales solo trabajar\u00e1n con usted si tiene la certificaci\u00f3n ISO. Est\u00e1 reconocido como uno de los marcos m\u00e1s rigurosos, pero completarlo es notoriamente dif\u00edcil, costoso y lleva mucho tiempo.<\/p>\n

\u00bfQui\u00e9n lo necesita?<\/h3>\n

Al igual que SOC 2, ISO 27001 es una buena manera de demostrar p\u00fablicamente que su empresa est\u00e1 comprometida y es diligente en lo que respecta a la seguridad de la informaci\u00f3n, y que ha tomado medidas para mantener seguros los datos que comparte con ella. <\/p>\n

\u00bfC\u00f3mo se cumple con la norma ISO 27001?<\/h3>\n

Los auditores externos validan que haya implementado todas las mejores pr\u00e1cticas relevantes de acuerdo con el est\u00e1ndar ISO. No existe una lista de verificaci\u00f3n universal ISO 27001 que garantice la certificaci\u00f3n. Depende de usted decidir qu\u00e9 est\u00e1 dentro del alcance e implementar el marco, y los auditores utilizar\u00e1n su discreci\u00f3n para evaluar cada caso.<\/p>\n

Recuerde que ISO 27001 trata en gran medida sobre la gesti\u00f3n de riesgos. Los riesgos no son est\u00e1ticos y evolucionan a medida que surgen nuevas amenazas cibern\u00e9ticas, por lo que debe crear gesti\u00f3n automatizada de vulnerabilidades<\/a> con una herramienta como Intruder en sus controles de seguridad para evaluar y analizar nuevos riesgos a medida que surgen. Las plataformas de cumplimiento automatizadas como Drata pueden ayudar a acelerar el proceso.<\/p>\n\n\n\n\n
\"Gesti\u00f3n<\/td>\n<\/tr>\n
Intruder proporciona informes procesables y listos para auditor\u00edas, para que pueda mostrar f\u00e1cilmente su postura de seguridad a auditores, partes interesadas y clientes.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

PCI DSS<\/h3>\n

El PCI DSS (Est\u00e1ndar de seguridad de datos) fue desarrollado por el PCI Security Standards Council y las principales marcas de tarjetas (American Express, Mastercard y Visa) para regular a cualquiera que almacene, procese y\/o transmita datos de titulares de tarjetas. <\/p>\n

\u00bfQui\u00e9n lo necesita?<\/h3>\n

En teor\u00eda, cualquiera que procese transacciones de pago con tarjeta, pero existen diferentes reglas seg\u00fan la cantidad y el tipo de pagos que realice. Si utiliza un proveedor de pago con tarjeta externo como Stripe o Sage, ellos deben gestionar el proceso y proporcionarle validaci\u00f3n.<\/p>\n

C\u00f3mo cumplir con PCI DSS<\/h3>\n

A diferencia de ISO 27001 y SOC 2, PCI DSS requiere un estricto programa de gesti\u00f3n de vulnerabilidades, pero la acreditaci\u00f3n es compleja. Los proveedores de pagos externos generalmente completar\u00e1n el formulario PCI autom\u00e1ticamente, proporcionando validaci\u00f3n con solo hacer clic en un bot\u00f3n. Para las empresas m\u00e1s peque\u00f1as, esto puede ahorrar horas de trabajo. <\/p>\n

HIPAA<\/h2>\n

HIPAA (Ley de Responsabilidad y Portabilidad de Seguros M\u00e9dicos) regula la transferencia y el almacenamiento de datos de pacientes en la industria de la salud de EE. UU., donde el cumplimiento es un requisito legal. <\/p>\n

\u00bfQui\u00e9n lo necesita?<\/p>\n

El cumplimiento de HIPAA es obligatorio para cualquier empresa que maneje informaci\u00f3n de pacientes en los EE. UU., o para cualquier persona que haga negocios en los EE. UU. con empresas que tambi\u00e9n cumplan con la HIPAA. <\/p>\n

C\u00f3mo cumplir con HIPAA<\/h3>\n

HIPAA puede ser dif\u00edcil de navegar. Requiere un plan de gesti\u00f3n de riesgos con medidas de seguridad suficientes para reducir el riesgo a un nivel razonable y apropiado. Aunque HIPAA no especifica la metodolog\u00eda, los escaneos de vulnerabilidades o las pruebas de penetraci\u00f3n con una herramienta como Intruder deben ser componentes integrales de cualquier proceso de an\u00e1lisis y gesti\u00f3n de riesgos.<\/p>\n

Esenciales cibern\u00e9ticos<\/h2>\n

Cyber \u200b\u200bEssentials es un plan respaldado por el gobierno del Reino Unido dise\u00f1ado para comprobar que las empresas est\u00e9n adecuadamente protegidas contra los ciberataques comunes. Al igual que en SOC 2, consid\u00e9relo una buena higiene cibern\u00e9tica, como lavarse las manos o cepillarse los dientes. Dise\u00f1ado para empresas m\u00e1s peque\u00f1as sin experiencia en seguridad dedicada, deber\u00eda ser solo el punto de partida de un programa de seguridad m\u00e1s s\u00f3lido.<\/p>\n

\u00bfQui\u00e9n necesita el cumplimiento de Cyber \u200b\u200bEssentials?<\/h3>\n

Cualquier empresa que presente ofertas para un contrato del gobierno o del sector p\u00fablico del Reino Unido que involucre informaci\u00f3n personal y confidencial o que proporcione ciertos productos y servicios t\u00e9cnicos.<\/p>\n

C\u00f3mo cumplir con Cyber \u200b\u200bEssentials<\/h3>\n

El certificado b\u00e1sico es una autoevaluaci\u00f3n de los controles b\u00e1sicos de seguridad. Cyber \u200b\u200bEssentials Plus es una certificaci\u00f3n t\u00e9cnica pr\u00e1ctica, integral y m\u00e1s avanzada que incluye una serie de pruebas de vulnerabilidad que puede proporcionar una herramienta automatizada como Intruder. La prueba interna es un an\u00e1lisis interno autenticado y una prueba de la configuraci\u00f3n de seguridad y antimalware de cada dispositivo. <\/p>\n

El cumplimiento no tiene por qu\u00e9 significar complejidad<\/h2>\n

El cumplimiento puede parecer un ejercicio costoso y que requiere mucha mano de obra, pero puede palidecer en comparaci\u00f3n con el costo de solucionar una infracci\u00f3n, pagar acuerdos a los clientes, perder la reputaci\u00f3n o pagar multas. Tambi\u00e9n puede perder negocios potenciales si no cuenta con las certificaciones que los clientes esperan.<\/p>\n

Pero el cumplimiento de la ciberseguridad no tiene por qu\u00e9 ser dif\u00edcil con las herramientas automatizadas actuales. Si utiliza la gesti\u00f3n de vulnerabilidades de Intruder que ya se integra con plataformas de cumplimiento automatizadas como Drata, la auditor\u00eda, los informes y la documentaci\u00f3n para el cumplimiento se vuelven mucho m\u00e1s r\u00e1pidos y sencillos. Ya sea que reci\u00e9n est\u00e9 comenzando su viaje de cumplimiento o est\u00e9 buscando mejorar su seguridad, Intruder puede ayudarlo a llegar all\u00ed m\u00e1s r\u00e1pido. Comience hoy con un <\/em><\/strong>prueba gratis<\/em><\/strong><\/a>.<\/em><\/strong><\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n