Reduzca el alcance del cumplimiento



Muchas organizaciones están haciendo más de lo que necesitan con respecto al cumplimiento.

Los presupuestos de cumplimiento ocupan un lugar destacado en la agenda de cada CISO y CIO. Las nuevas regulaciones para cumplir, los nuevos entornos para auditar y los nuevos requisitos para respaldar son líneas de pedido costosas. Sin embargo, por poco intuitivo que parezca, muchas organizaciones realmente están haciendo más de lo que necesitan con respecto al cumplimiento. Algunos lo llaman exceso de cumplimiento, y es una preocupación emergente entre muchas compañías, que requiere un examen más detenido.

El cumplimiento es difícil. Las empresas que trabajan para cumplir se enfrentan a una amplia gama de requisitos introducidos con frecuencia. Para mantenerse al día, se los empuja a administrar muchas herramientas, infraestructura dinámica y cambiante, y aplicaciones. Esto incluye, entre otras responsabilidades, estar al tanto de las pruebas de seguridad, parches, administración de usuarios, registro y administración de proveedores externos. Desde la perspectiva del usuario, estos entornos altamente regulados son más restrictivos y tienden a ser menos cómodos para trabajar libremente. Entonces, ¿qué hace que las empresas gasten de más en el cumplimiento?

Para muchas empresas, el exceso de cumplimiento no ocurre de la noche a la mañana. Considere, por ejemplo, uno de nuestros clientes, una institución financiera. «Cuando comenzamos nuestro negocio, tomamos la decisión estratégica de abarcar todo nuestro entorno de producción», dice el CIO. «Con una pequeña sobrecarga en ese momento, tenía sentido mantener todos los sistemas dentro del alcance». Pero avanzó 10 años y ese entorno de producción, que ya albergaba muchos sistemas fuera de alcance, ahora tenía más del 60% de sus servidores «cargados» innecesariamente con licencias de software program, controles de autenticación y horas de auditoría requeridas para el cumplimiento. Calculó que este «exceso de cumplimiento» le cuesta a la compañía cientos de miles de dólares al año.

La clave para una auditoría exitosa es el alcance. Uno de los mayores errores que vemos que cometen las empresas es comenzar a aplicar el regulate de cumplimiento sin comprender realmente lo que debe considerarse en el alcance. Esto a menudo conduce a un «deslizamiento del alcance», una de las principales causas de que las auditorías se salgan de command, y que también pueden ocasionar demoras significativas y gastos costosos. Para evitar el deslizamiento del alcance, los clientes deben separar sus entornos virtuales (VLAN), pero a menudo esta es una tarea que lleva tanto tiempo que es más fácil mantener toda la VLAN y aplicar la regulación a todos los sistemas.

Tomemos, por ejemplo, la ley de privacidad de la Unión Europea, el Reglamento Common de Protección de Datos, o su contraparte estadounidense, la Ley de Privacidad del Consumidor de California. Una empresa que no tiene el alcance adecuado, ya sea para evitar la separación de VLAN que requiere mucho trabajo o por cualquier otra razón, puede terminar con grandes partes de su entorno reguladas sin justificación true. A medida que la empresa crece, más aplicaciones que no tienen nada que ver con información de identificación individual se agregan al medio ambiente, lo que genera costos y cargas excesivos.

Las organizaciones que decidan cambiar el alcance de sus sistemas enfrentarán varios desafíos, que incluyen:

  • Complejidad de infraestructura: Cómo operar en redes planas con diferentes VLAN requeridas para el alcance.
  • Falta de visibilidad: Cómo obtener visibilidad del entorno requerido para desacoplar el alcance de los sistemas fuera de alcance.
  • Falta del tiempo: Cómo evitar el tiempo de inactividad a menudo unavoidable para aplicaciones críticas para el negocio al mover aplicaciones a través de diferentes VLAN.

Para abordar estos desafíos, aquí hay algunas estrategias que sugiero.

  1. Asegúrese de abarcar bien solo lo que necesita ser regulado. La determinación del alcance correcto del entorno minimize la carga de auditoría y cumplimiento.
  2. Tener una gran visibilidad o una herramienta de mapeo de datos puede ser muy beneficioso. Ver los límites de su área de alcance beneficiará tanto a su organización como a su auditor.
  3. Considere varias tecnologías de segmentación para separar los entornos dentro del alcance de los fuera del alcance. Los enfoques de segmentación modernos pueden ayudar a hacer esto sin entrar en grandes inversiones.
  4. Finalmente, evalúe constantemente el entorno de alcance para evitar el desplazamiento del alcance utilizando herramientas de visibilidad comprobadas.

Contenido relacionado:

Ariel Zeitlin cofundó Guardicore después de pasar 11 años como ingeniero de ciberseguridad e investigador en las Fuerzas de Defensa de Israel (FDI), donde trabajó en estrecha colaboración con el cofundador Pavel Gurvich. En su último puesto en las FDI, Ariel dirigió un equipo de 30 ingenieros e investigadores … Ver biografía completa

Más suggestions





Enlace a la noticia initial