La necesidad de cumplimiento en un mundo posterior a COVID-19



Con la agitación precise, los líderes empresariales pueden perder el enfoque y dejar de implementar medidas de seguridad, gestionar riesgos y cumplir con los requisitos de cumplimiento. Eso es un gran error.

Está claro que COVID-19 está cambiando la forma en que las personas interactúan y trabajan. Pero después de que el coronavirus disminuya y la vida comience a volver a la normalidad, ¿cómo será esta «normalidad»?

El trabajo tal como lo conocemos cambiará para siempre. Por ejemplo, los empleados que alguna vez debían venir a la oficina todos los días disfrutarán de la comodidad y la libertad, así como del tiempo private que obtienen del teletrabajo. Las empresas tendrán que volver a examinar las condiciones de trabajo actuales, como la necesidad de desplazamientos diarios, cubículos estrechos y horarios de oficina rígidos, y más.

Pero las amenazas cibernéticas no cambiarán, y es probable que aumenten. Incluso antes de la pandemia, los expertos en seguridad estimaron que el cibercrimen podría costar al mundo billones de dólares anualmente. . Las empresas de todos los tamaños están dirigidas, y tres de cada cinco empresas informan un ataque en 2019, según el Informe de preparación cibernética Hiscock 2019. Aunque las grandes empresas son las más propensas a ser víctimas de ataques cibernéticos, el 47% de las pequeñas empresas informaron un incidente, y el 63% de las medianas empresas informaron ataques, según el informe.

Los funcionarios de ciberseguridad de EE. UU. Y el Reino Unido advierten que los piratas informáticos respaldados por el estado y los delincuentes en línea se están aprovechando de la ansiedad de las personas sobre COVID-19 para atraerlos a hacer clic en enlaces y descargar archivos adjuntos en correos electrónicos de phishing que contienen malware o ransomware. Las redes corporativas también podrían ser vulnerables a los ataques si las empresas no invierten en proporcionar a sus empleados computadoras portátiles seguras de la empresa y configurar redes privadas virtuales (VPN) o soluciones de acceso de confianza cero.

Con todo este trastorno, los líderes empresariales deben mantener la guardia alta. Es fácil perder el enfoque e impulsar la implementación de medidas de seguridad, la gestión de riesgos y el cumplimiento de los requisitos de cumplimiento. Pero esto sería un gran mistake. Los requisitos reglamentarios están diseñados para garantizar que las organizaciones establezcan un programa sólido de seguridad cibernética, y luego lo supervisen y actualicen de manera continua. Es essential que las organizaciones continúen cumpliendo con las normas y pautas de seguridad aplicables, especialmente aquellas relacionadas con políticas y procedimientos, planificación de continuidad comercial y trabajadores remotos.

El cumplimiento es mejor cuando se monitorea continuamente, y debería ser parte de una estrategia typical de gestión de riesgos. Aquí hay preguntas de cumplimiento comunes que recibo de los clientes de C-suite y cómo las respondo.

1. W¿Qué significa el cumplimiento?
El cumplimiento se adhiere a las reglas y regulaciones establecidas, códigos de conducta, leyes o estándares de conducta organizacionales. En el contexto de la ciberseguridad, esto significa seguir las pautas establecidas para proteger la seguridad y la privacidad del sistema de información o empresa de una organización.

2) ¿A qué regulaciones y estándares de conducta organizacionales debo adherirme?
Muchas organizaciones públicas, privadas y sin fines de lucro siguen los requisitos del Instituto Nacional de Estándares y Tecnología (NIST) como una base sólida para la privacidad y la seguridad. Estos estándares enfatizan la necesidad de cumplir e implementar medidas críticas de seguridad, que incluyen acceso, conocimiento y capacitación, gestión de configuración, evaluación y autorización de seguridad, planificación de contingencia, respuesta a incidentes, identificación y autenticación, planificación, seguridad del personal e integridad del sistema y la información.

3) ¿Cómo sé con qué requisitos debo cumplir?
Entendiendo que no todos los riesgos, misiones, organizaciones y agencias requieren el mismo nivel de protección, los requisitos de cumplimiento brindan espacio para la personalización, por lo que las agencias y organizaciones pueden seleccionar los controles más apropiados para cumplir con sus objetivos y / o estándares de la industria.

Un marco de gestión de riesgos aborda el riesgo a nivel de organización, misión / proceso de negocio y sistema de información. Comience con un proceso de categorización de seguridad basado en la determinación del impacto adverso potencial para los sistemas de información organizacional. Los resultados de la categorización de seguridad de su organización pueden ayudarlo a guiarlo e informarlo al seleccionar los marcos de seguridad apropiados (es decir, salvaguardas y contramedidas) para proteger adecuadamente sus sistemas de información.

4) ¿Existen regulaciones específicas que aborden el trabajo remoto?
Este marzo, el NIST lanzó un borrador de revisión de NIST 800-124, Rev 2 Pautas para administrar la seguridad de los dispositivos móviles en la empresa.

NIST también se desarrolló NIST 800-46 Rev. 2 Guía de teletrabajo empresarial, acceso remoto y seguridad para traer su propio dispositivo (BYOD).

Ambas pautas NIST se asignan a los controles de seguridad NIST SP 800-53 aplicables y Marco de seguridad cibernética versión 1.1 funciones, categorías y subcategorías para que pueda verificar su cumplimiento con estos controles y actualizarlos según sea necesario.

5) ¿Cuáles son mis riesgos si no sigo cumpliendo?
Si permite que las medidas de seguridad de su organización se desvanezcan, puede volverse vulnerable a los piratas informáticos y los malos actores que son expertos en encontrar y explotar estas debilidades. Hay un dicho entre los expertos en ciberseguridad: las organizaciones tienen que estar en lo cierto cada hora los hackers solo tienen que estar en lo cierto uno hora.

6. ¿Qué otras consideraciones debo tener en cuenta al desarrollar una estrategia adecuada de gestión de riesgos?
Es importante considerar la estrategia adecuada de gobierno, riesgo y cumplimiento y vincularla con los resultados comerciales deseados de su organización para que pueda operar sin interrupción, independientemente de la interrupción.

Contenido relacionado:

Baan Alsinawi es el Fundador y Director Gerente de TalaTek, LLC. La visión de la Sra. Alsinawi para TalaTek era la necesidad de una plataforma integrada que pudiera controlar la seguridad y minimizar el riesgo, y que pudiera implementarse para garantizar el cumplimiento por parte de agencias y organizaciones. … Ver biografía completa

Lectura recomendada:

Más ideas





Enlace a la noticia first