Cómo cambiar la auditoría …



Y con más leyes de cumplimiento de datos en camino, la fatiga de las auditorías podría ser un verdadero desafío para los profesionales de la seguridad de la información.

Muchos de ustedes conocen (y algunos aman) la película de 1993 Día de la Marmota. Para aquellos que no lo han visto, el personaje principal, Phil Connors (interpretado por Monthly bill Murray), se ve obligado a vivir el mismo día una y otra vez hasta que lo hace bien. Conoce a las mismas personas en los mismos lugares y vive los mismos momentos allá donde va. Incluso la misma canción, «I Acquired You, Babe» de Sonny y Cher, suena cuando su radio reloj se enciende a la misma hora todas las mañanas.

El desafío al que se enfrenta es que no se le han dado reglas ni pautas sobre cómo salir de esta situación. Nada de lo que haga puede romper el ciclo de despertar y revivir los mismos eventos día tras día tras día. En mis conversaciones con colegas que se ocupan de los riesgos de TI o el cumplimiento de la privacidad, sus experiencias comienzan a parecer idénticas a la existencia atrapada de Phil. ¿Por qué? Creo que gran parte de esto se debe a la frustración y el cansancio de tener que informar sobre los mismos datos sobre los mismos controles de seguridad una y otra vez, cada vez que llega una nueva solicitud de auditoría.

La fatiga se presenta de muchas formas, ya sea fatiga laboral, fatiga Zoom o fatiga COVID. No hay duda de que una gran parte de la fatiga laboral de los profesionales de la seguridad se debe a los requisitos de cumplimiento. Últimamente, parece que se introduce una nueva regulación o estándar de cumplimiento cada pocos meses. En 2018, vimos la introducción del Reglamento typical de protección de datos (GDPR) de la Unión Europea y la Ley de privacidad del consumidor de California (CCPA). Sin duda, dos importantes regulaciones de privacidad en un año dejaron a las organizaciones abrumadas con más estándares que cumplir además de lo que ya estaba en su plato. Si bien estas regulaciones son necesarias, parece que GDPR y CCPA son solo el comienzo.

Los costos del cumplimiento
Ahora que el polvo se ha asentado en estas importantes regulaciones, es solo cuestión de tiempo antes de que otros estados sigan su ejemplo y comiencen a implementar sus propios estándares, lo que inevitablemente significa más dolores de cabeza por el cumplimiento. De acuerdo a una encuesta reciente por Telos Corp., las organizaciones comerciales deben cumplir con un promedio de 13 regulaciones diferentes de seguridad y / o privacidad de TI. Además de eso, las organizaciones gastan alrededor de $ 3.5 millones al año en estas actividades, y se necesitan tres días hábiles para responder a una sola solicitud. Cuando lo desglosa, eso significa que las auditorías de cumplimiento consumen un promedio de 58 días hábiles cada trimestre. Y recordemos que es un promedio en todos los sectores, no solo en industrias fuertemente reguladas como las financieras, la salud o la energía.

Las organizaciones de todas las industrias experimentan universalmente fatiga de auditoría y cumplimiento. Con la fatiga adicional que enfrentan las personas y las empresas en tantas otras áreas en este momento, aliviar esta forma en distinct debería estar en la parte remarkable de la lista de todas las organizaciones. El denominador común detrás de cada empresa es su fuerza laboral, el personal que mantiene las cosas funcionando y responde a cada disaster. Sin embargo, están experimentando una cantidad de estrés sin precedentes y la comunidad de seguridad de la información se está dando cuenta del grave problema y la creciente prevalencia del agotamiento en la industria.

Don&#39t Descuento Burnout
De acuerdo a una Informe de estrés del CISO publicado a principios de este año por Nominet, el 88% de los CISO sufren de estrés moderado o alto. Casi la mitad de los encuestados reveló que estos niveles de estrés han afectado su salud mental. De hecho, las presiones sobre los CISO son tan importantes que Nominet incluso desarrolló un Calculadora de estrés CISO para apoyar este hallazgo. El agotamiento es otra forma de fatiga alimentada en parte por las exigentes regulaciones de cumplimiento, y las organizaciones están trabajando para encontrar formas de aliviar esta carga.

Si bien los CISO y CIO indudablemente experimentan estrés y fatiga, los profesionales de tsecurity, los auditores internos y los equipos de cumplimiento también se agotan. El estrés de las actividades previas a la auditoría, las interminables tareas repetitivas y las constantes solicitudes de ida y vuelta de los mismos datos, una y otra vez, llevan a estos profesionales de la seguridad profesional a quemar sus velas hasta que llegan al ultimate de su mecha.

Los costos del incumplimiento
A pesar de los costos extremos de cumplimiento, en muchos casos, los costos de incumplimiento pueden ser significativamente mayores, ya que a menudo conllevan multas considerables, pérdida de confianza de los inversores y daños en la reputación. Al echar un vistazo a algunos de los mayores errores en los últimos cinco años, hemos visto British Airways ($ 230 millones), Marriott ($ 123 millones), Google ($ 57 millones), y otras grandes corporaciones pagan literalmente el precio del incumplimiento. Según Telos &#39 En la encuesta, las organizaciones enfrentaron un promedio de ocho multas en los últimos dos años, lo que les costó más de $ 460,000.

Conquistando la migración a la nube y mirando hacia el futuro
Para agregar a los desafíos que enfrentan los CISO y los profesionales de la ciberseguridad, la migración de cargas de trabajo compatibles a la nube pública abre un mundo completamente nuevo de actividades de cumplimiento. Aproximadamente el 94% de los que respondieron a la encuesta de Telos informaron que enfrentan desafíos en lo que respecta al cumplimiento de la seguridad de TI y / o las regulaciones de privacidad en la nube. El desafío más possible es su capacidad para realizar un seguimiento de los almacenes de datos confidenciales o cuántas instancias de esos datos existen al mismo tiempo. El costo, junto con los rápidos cambios en las regulaciones de la nube y la falta de familiaridad con la práctica, son los principales obstáculos asociados con el cumplimiento de la nube.

Con todo esto en mente, no hay duda de que se necesita un mejor camino a seguir. Siempre que sea posible, debemos dejar que los datos hablen por sí mismos a través de la automatización, una respuesta real que está lista hoy para aliviar la fatiga de las auditorías. La automatización puede aumentar la precisión de la evidencia de auditoría, reducir el tiempo dedicado a la fase de auditoría y mejorar la capacidad de responder a las solicitudes de evidencia de auditoría con mayor rapidez. Las soluciones adicionales para aliviar la fatiga de las auditorías incluyen el establecimiento de un equipo de riesgo de cumplimiento para clasificar las solicitudes y ofrecer una capacitación de cumplimiento sólida e inteligible que los empleados pueden poner en práctica. Mejorar continuamente su programa de cumplimiento y ser proactivo, especialmente durante los períodos más lentos, es otra forma de mantenerse a la vanguardia.

En cumplimiento, no siempre existe un enfoque único para todos. Encontrar la solución adecuada para manejar el cumplimiento y la fatiga de la auditoría puede llevar algún tiempo para cada organización, pero claramente vale la pena el esfuerzo.

Steve Horvath se incorporó a Telos en 2006 y estableció un nuevo modelo de prestación de servicios profesionales en apoyo de la plataforma de gestión de riesgos Xacta de la empresa. Actualmente se desempeña como vicepresidente de estrategia y nube con un enfoque en asociaciones estratégicas a largo plazo y … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia primary