Cumplimiento como una forma de reducir el riesgo de información privilegiada …



Varios recursos y controles clave pueden ayudar a reducir el riesgo basic al proporcionar orientación sobre la implementación adecuada del regulate, medidas preventivas para implementar y un énfasis en la capacitación de toda la organización.

Las amenazas internas han seguido siendo un variable importante en las violaciones de datos durante el último año. De acuerdo con la «Informe de investigaciones de violación de datos de Verizon 2019, «El 34% de las violaciones de datos involucraron a actores internos. Además de esta esquiva amenaza, los entornos empresariales se están volviendo más complejos y los datos se están convirtiendo en un objetivo más lucrativo. Las políticas de traer su propio dispositivo (BYOD) y el trabajo remoto han presentado desafíos que se extienden mucho más allá del entorno tradicional visto hace solo unos años. Sin embargo, no todo es pesimismo, y hay varios pasos a considerar que permiten a las organizaciones comenzar a mitigar este component de riesgo.

Pero, ¿y si dijera que el cumplimiento podría ser un aspect reductor de riesgos? Puede parecer increíble, pero hay varios recursos y controles clave que ayudan a reducir el riesgo normal al proporcionar orientación sobre la implementación adecuada del handle, medidas preventivas para implementar y un énfasis en la capacitación de toda la organización.

Aproveche los recursos de gobierno, riesgo y cumplimiento (GRC) y verifique la madurez de su cumplimiento
Una solución para detectar y frustrar idealmente las amenazas internas es conocer a sus usuarios y cuáles son sus actividades normales. Esto no se logra fácilmente y puede agotar rápidamente los recursos. Además, existen posibles violaciones de la privacidad que podrían ocurrir si el aumento de la supervisión no se divulga adecuadamente. No tengas miedo, ¡tus amigos de GRC están aquí! GRC mantiene varios recursos clave, que a menudo se expanden y cubren diversos requisitos de cumplimiento y normativos. Estos recursos pueden ayudar a sus equipos de SOC a priorizar entornos, datos y usuarios de mayor riesgo.

La preparación es clave
Las evaluaciones de riesgos y el proceso basic de gestión de riesgos pueden ayudar a proporcionar orientación cuando la empresa reconoce mayores riesgos o áreas de gran importancia comercial. Además, las organizaciones que son más maduras en su posicionamiento de cumplimiento también tendrán clasificaciones de sistema y comunicación, clasificaciones de datos y privacidad, y clasificación en torno a varias cuentas o grupos dentro del entorno.

Centrarse en los factores de mayor riesgo y normalizar las actividades dentro de estos entornos proporcionará un mejor punto de vista hacia actividades anómalas o potencialmente maliciosas, sin agotar los recursos o el tiempo. Estos recursos identifican los objetivos más probables, en función de un mayor riesgo y la priorización empresarial. Por lo tanto, puede enfocar una implementación de handle más sólida basada en la priorización objetiva. Dependiendo del incidente, también puede hacer que los libros de jugadas determinen si, cuándo y dónde se necesita aplicar automáticamente una mayor supervisión.

Entrenamiento y Conciencia
Estas fases se han convertido en un objetivo de command estándar en la mayoría de los marcos de cumplimiento. La capacitación standard sobre las mejores prácticas de ciberseguridad y el reconocimiento de posibles ataques es essential en toda la organización. Reconocerá el mayor beneficio al considerar la capacitación y los ejercicios específicos para aquellos equipos que típicamente responderían e informarían sobre una amenaza interna. Esta capacitación adicional y específica puede proporcionar muchas lecciones valiosas y permitir a los equipos de SOC responder, investigar e integrarse con otros equipos en torno a amenazas internas.

El objetivo normal es crear conciencia situacional en toda la organización y capacitar a los empleados para identificar situaciones de preocupación e informar sobre actividades sospechosas. La capacitación adicional debe ser dirigida específicamente a las operaciones del equipo SOC y a los usuarios que probablemente o ya estén interactuando con datos o sistemas de alto riesgo.

SOC + GRC + Legal: los poderes combinados
Aunque cada uno de los grupos funciona individualmente en torno a sus propios objetivos, si se make una amenaza interna, las rutas de estos tres grupos convergerán rápidamente. Comprender el cumplimiento y los requisitos legales que rodean la respuesta a incidentes es important para una planificación adecuada. Los informes posteriores al incidente proporcionan lecciones esenciales que permiten a cada grupo aprender y adaptarse.

Debido a que los equipos SOC son los principales usuarios de las herramientas de orquestación de seguridad, automatización y respuesta, su enfoque generalmente ha sido la automatización y la racionalización. Sin embargo, el equipo de SOC también puede trabajar con GRC y equipos legales para no solo facilitar una mejor respuesta a incidentes y gestión de casos, sino también para ayudar a potenciar el cumplimiento continuo de las obligaciones establecidas por diversas regulaciones y requisitos de cumplimiento. Imagine el tiempo ahorrado si las solicitudes de auditoría o incluso los controles se pueden automatizar, todo mientras se mantiene una pista de auditoría de quejas.

Como profesional con mentalidad de cumplimiento y riesgo que comienza a sumergirse en la seguridad y la automatización, veo un tremendo potencial por delante. La combinación de integraciones, flujo de trabajo automatizado, libros de jugadas híbridos y capacidades de informes puede aliviar algunos de los puntos débiles que rodean el cumplimiento. Estas combinaciones podrían incluso permitir el cumplimiento para empoderar a los equipos de SOC, y viceversa. Uno puede soñar, ¿verdad?

Contenido relacionado:

Bob Swanson se especializa en cumplimiento y privacidad y ha pasado más de 10 años dentro del espacio de gobernanza, riesgo y cumplimiento (GRC) desde los puntos estratégicos de la auditoría interna / externa, desarrollando programas de cumplimiento como un defensor interno para las empresas y en … Ver biografía completa

Lectura recomendada:

Más thoughts





Enlace a la noticia authentic