Los CISO están luchando por prepararse para las auditorías de cumplimiento de seguridad


Los CISO están recurriendo a la automatización para abordar las preocupaciones sobre hacer más con menos, prepararse para las auditorías de forma remota y acelerar la recopilación de pruebas, según un estudio recientemente publicado.

«data-credit =» Imagen: iStockphoto / Chainarong Prasertthai «rel =» noopener noreferrer nofollow «>istock-1145787985.jpg

Imagen: iStockphoto / Chainarong Prasertthai

Los calendarios para las auditorías de seguridad y cumplimiento no han cambiado en gran medida a pesar de COVID-19, pero la pandemia está presionando a los equipos de seguridad mientras trabajan de forma remota, según los hallazgos de una encuesta reciente realizada por el proveedor automatizado de preparación de auditorías Shujinko. La encuesta de los CISO de América del Norte documentó los desafíos que enfrentan los profesionales de seguridad y cumplimiento que se preparan para una ola de auditorías próximas y fue realizada por Pulse a fines de junio de 2020. Las respuestas fueron proporcionadas por 100 ejecutivos de seguridad senior de empresas con sede en América del Norte.

La encuesta encontró además que los CISO tienen la tarea de prepararse para más de tres auditorías en promedio en los próximos seis a 12 meses, pero luchan con herramientas inadecuadas, presupuestos y particular limitados y procesos manuales ineficientes. Los resultados muestran que la migración a la nube aumenta drásticamente el alcance y la complejidad de la preparación de auditorías y hace que los métodos y enfoques antiguos sean obsoletos, dijo Shujinko.

«Los CISO de las principales empresas están atrapados entre la espada y la pared cuando se trata de auditorías de seguridad y cumplimiento durante la segunda mitad de 2020 y quieren herramientas automatizadas que los ayuden a desenterrarlas», dijo Scott Schwan, CEO y cofundador de Shujinko, en una declaración. «Desafortunadamente, simplemente no pueden encontrarlos».

VER: Política de protección contra robo de identidad (TechRepublic Quality)

En cambio, los equipos «están armando scripts, hojas de cálculo compartidas, sistemas de tickets y una mezcolanza de otras aplicaciones para tratar de administrar, lo que resulta en ineficiencia, preparación prolongada y visibilidad limitada», agregó Schwan. «Más de dos tercios de los CISO buscan algo mejor».

Los hallazgos clave de la investigación fueron que:

  • Los CISO se están preparando para un promedio de 3.3 auditorías estándar de cumplimiento de seguridad durante los próximos seis a 12 meses. A pesar de los cambios en el clima económico debido a COVID-19, los CISO todavía tienen la tarea de prepararse para más de tres auditorías de cumplimiento próximas en múltiples marcos de seguridad (por ejemplo, PCI, SOC 2, NIST-CSF, ISO 27001, and so forth.).
  • Las auditorías más comunes son para HITRUST, HIPAA y PCI DSS. El 51% de los CISO encuestados indicaron que se están preparando para una auditoría HITRUST en los próximos seis a 12 meses, el 45% se están preparando para HIPAA, el 43% para PCI, el 41% para CCPA y el 36% para una auditoría interna. Además, el 77% de las empresas que se preparan para las auditorías SOC-2 eran empresas de program.
  • A los CISO les preocupa hacer más con menos. COVID-19 ha amplificado las preocupaciones de los CISO sobre hacer más con menos (empleados y presupuesto) con equipos y auditores trabajando de forma remota. Las preocupaciones sobre prioridades en conflicto, el agotamiento de los recursos disponibles y la garantía de que la evidencia esté completa completan sus cinco preocupaciones principales de CISO.
  • Los CISO quieren desesperadamente más automatización. El setenta y dos por ciento de los ejecutivos de seguridad dicen que quieren mejorar la automatización de su proceso de preparación de auditorías y la automatización fue citada como el elemento número uno que la mayoría de los CISO cambiarían si pudieran. La comunicación y la colaboración en equipo completaron las tres mejoras más deseadas.
  • A dos tercios de los CISO no les gusta su conjunto de herramientas actual. La encuesta encontró que los CISO actualmente están utilizando una combinación de scripts, hojas de cálculo, sistemas de emisión de tickets, documentos compartidos, SharePoint y correo electrónico propios para prepararse para las auditorías. Ningún CISO informó tener una herramienta de preparación de auditorías de seguridad con la que esté completamente satisfecho.
  • Los CISO tienen poca visibilidad del proceso de auditoría. Ningún CISO calificó la visibilidad de los pasos clave de preparación de la auditoría como un éxito full y solo uno la calificó con un cuatro de cinco, lo que sugiere una pobre línea de visión ejecutiva para cumplir con los plazos de auditoría.
  • Los procesos de auditoría no se ajustan a un modelo de desarrollo en la nube. Solo el 1% de los CISO dijo que su proceso de preparación de auditorías se alinea completamente con la velocidad y agilidad que se necesitan para el desarrollo rápido de aplicaciones en la nube y la iteración frecuente.

Ver también



Enlace a la noticia primary