Qué tener en cuenta al implantar el Cumplimiento Normativo para TI

Por Hugo Ángel, el 21 de septiembre, 2018

h_como-proceder-en-el-cumplimiento-normativo-para-it

El cumplimiento normativo, fundamental en la implantación de un gobierno corporativo sólido, se apoya en estándares internacionales que son publicados por grupos de interés públicos especializados según los temas correspondientes. Las normas o patrones de referencia surgen en países industrializados y especializados en los temas de interés, que luego son adaptadas y adoptadas en otros países. 

En el caso específico de los sistemas de información, muchas organizaciones intervienen dependiendo de la actividad específica y sector económico a proteger. En general cada país hace sus observaciones específicas, pero hay un cierto consenso mundial en los temas tratados y la forma que adoptan en las normas, en gran parte debido a que los temas de TI se tratan en foros internacionales y que siempre han estado regidos por normas aceptadas mundialmente. Éstas son algunas de las organizaciones que expiden normas y los temas de los cuales tratan:

Para buenas prácticas de TI:


COBIT 5.
Business framework for the governance and management of enterprise IT
El poder de COBIT 5 radica en su amplitud de herramientas, recursos y orientación. El valor de COBIT 5 está en cómo se aplica a su profesión. COBIT 5 ahora está en línea, busca usos específicos por área temática y aporta la potencia y el valor de COBIT 5 a tu organización.

Auditoría y Aseguramiento: Administra el origen de las vulnerabilidades y garantiza el cumplimiento normativo.

Gestión de Riesgo: Evaluar y optimizar el riesgo empresarial.

Seguridad de la Información: Supervise y administre la seguridad de la información.

Conformidad y Reglamentación: Apoya en mantenerse al frente de los cambios de las regulaciones

Gobernanza de las TI corporativas: Alinear los objetivos de TI y los objetivos comerciales estratégicos.

Para gestión de Riesgo: 
FISMA 
(Federal Information Security Modernization Act) 
producido por el  Computer Security Resource Center de de NIST

Para protección de  datos
GDPR expedido por la Comunidad Europea


El caso especial de NIST (Instituto Nacional de Normas y Tecnología) merece ser mencionado con más detalle. La crisis financiera de 2008 y la amenaza terrorista  desde 2001, han hecho que los Estados Unidos tomen medidas, tanto defensivas como preventivas, muy rigurosas.

Reconociendo que la seguridad nacional y económica de los Estados Unidos dependen de la función confiable de la infraestructura crítica, en febrero de 2013 se emitió una Orden Ejecutiva 13636 que orientó al NIST a trabajar con los interesados para desarrollar un Marco basado en estándares, directrices y prácticas existentes para reducir los riesgos cibernéticos a la infraestructura crítica. Este Marco fue creado con la colaboración entre la industria y el gobierno. El enfoque priorizado, flexible, repetible y rentable del Marco que ayuda a los propietarios y operadores de la infraestructura crítica a gestionar los riesgos relacionados con la ciberseguridad. 

El Marco, que es una organización temática que comprende los siguientes puntos:

IDENTIFICAR (ID)

  • Asset Management (ID.AM): Los datos, el personal, los dispositivos, los sistemas y las instalaciones que permiten a la organización alcanzar objetivos comerciales se identifican y administran de forma coherente con su importancia relativa para los objetivos comerciales y la estrategia de riesgos de la organización. 
  • Entorno empresarial (ID.BE): La misión, los objetivos, las partes interesadas y las actividades de la organización se entienden y se priorizan; esta información se utiliza para informar las funciones, responsabilidades y decisiones de gestión de riesgos de ciberseguridad.
  • Gobernanza (ID.GV): Las políticas, procedimientos y procesos para administrar y monitorear los requisitos regulatorios, legales, de riesgo, ambientales y operativos de la organización se entienden e informan a la administración sobre el riesgo de ciberseguridad.
  • Evaluación de riesgos (ID.RA): La organización entiende el riesgo de ciberseguridad para las operaciones de la organización (incluida la misión, las funciones, la imagen o la reputación), los activos de la organización y las personas.
  • Estrategia de gestión de riesgos (ID.RM): Las prioridades, limitaciones, tolerancias de riesgos y suposiciones de la organización se establecen y utilizan para respaldar las decisiones de riesgos operacionales.

PROTEGER (PR)

  • Control de acceso (PR.AC): El acceso a los activos y las instalaciones asociadas está limitado a usuarios, procesos o dispositivos autorizados, y a actividades y transacciones autorizadas.
  • Conciencia y capacitación (PR.AT): El personal y los socios de la organización reciben educación sobre la ciberseguridad y están adecuadamente capacitados para realizar sus deberes y responsabilidades relacionados con la seguridad de la información de acuerdo con las políticas, procedimientos y acuerdos relacionados.
  • Seguridad de datos (PR.DS): La información y los registros (datos) se administran de manera coherente con la estrategia de riesgos de la organización para proteger la confidencialidad, la integridad y la disponibilidad de la información.
  • Procesos y procedimientos de protección de la información (PR.IP): Las políticas de seguridad (que abordan propósito, alcance, roles, responsabilidades, compromiso de la gerencia y coordinación entre las entidades de la organización), procesos y procedimientos se mantienen y utilizan para administrar la protección de los sistemas de información y los activos .
  • Mantenimiento (PR.MA): El mantenimiento y la reparación de los componentes del sistema de control e información industrial se realiza de conformidad con las políticas y los procedimientos.
  • Tecnología de protección (PR.PT): Las soluciones de seguridad técnica se administran para garantizar la seguridad y la resistencia de los sistemas y activos, en consonancia con las políticas, procedimientos y acuerdos relacionados.

DETECTAR (DE)

  • Anomalías y eventos (DE.AE): La actividad anómala se detecta de manera oportuna y se entiende el impacto potencial de los eventos.
  • Monitoreo Continuo de Seguridad (DE.CM): El sistema de información y los activos son monitoreados a intervalos discretos para identificar eventos de ciberseguridad y verificar la efectividad de las medidas de protección.
  • Procesos de Detección (DE.DP): Los procesos y procedimientos de detección se mantienen y prueban para garantizar la conciencia oportuna y adecuada de los eventos anómalos.

RESPONDER (RS)

  • Planificación de respuesta (RS.RP): Los procesos y procedimientos de respuesta se ejecutan y mantienen para garantizar una respuesta oportuna a los eventos de ciberseguridad detectados.
  • Comunicaciones (RS.CO): Las actividades de respuesta se coordinan con las partes interesadas internas y externas, según corresponda, para incluir el apoyo externo de las agencias encargadas de hacer cumplir la ley.
  • Análisis (RS.AN): El análisis se lleva a cabo para garantizar una respuesta adecuada y apoyar las actividades de recuperación.
  • Mitigación (RS.MI): Las actividades se realizan para evitar la expansión de un evento, mitigar sus efectos y erradicar el incidente
  • Mejoras (RS.IM): Las actividades de respuesta organizacional se mejoran al incorporar las lecciones aprendidas de las actividades de detección / respuesta actuales y previas.

RECUPERAR (RC)

  • Planificación de recuperación (RC.RP): Los procesos y procedimientos de recuperación se ejecutan y mantienen para asegurar la restauración oportuna de los sistemas o activos afectados por eventos de ciberseguridad.
  • Mejoras (RC.IM): La planificación y los procesos de recuperación se mejoran al incorporar las lecciones aprendidas en las actividades futuras.
  • Comunicaciones (RC.CO): Las actividades de restauración se coordinan con partes internas y externas, como centros de coordinación, proveedores de servicios de Internet, propietarios de sistemas de ataque, víctimas, otros CSIRT y proveedores.

Para cada uno de ellos especifica qué normas concretas se aplican entre las varias existentes.

Además complementado con una hoja de ruta para su implantación en la que se especifican áreas para el desarrollo, la alineación y la colaboración así:

  • Autenticación
  • Uso compartido automatizado de indicadores
  • Evaluación de la conformidad
  • Fuerza de trabajo de ciberseguridad
  • Análisis de datos
  • Alineación de Ciberseguridad de la Agencia Federal
  • Aspectos, impactos y alineación internacionales
  • Gestión del riesgo de la cadena de suministro
  • Estándares de privacidad técnica

 El valor agregado de la gestión integral de riesgos

Temas:Riesgos CiberneticosCumplimiento NormativoGobierno, Riesgo y Cumplimiento (GRC)

Comentarios