Certificaciones de cumplimiento: ¿Vale la pena el esfuerzo?



Mientras ayudaba recientemente a un cliente a mitigar una violación de datos, había otro equipo en las instalaciones que se aseguraba de que la organización cumpliera con los estándares de un certificado de cumplimiento de seguridad well-known. Esta no es la primera vez que me encuentro con organismos de certificación que aprueban el cumplimiento de una organización incluso cuando estaba bajo un ataque cibernético. Esta situación irónica ilustra el papel confuso que juega el creciente número de diferentes certificaciones de cumplimiento. Por un lado, estas certificaciones aumentan los esfuerzos de seguridad, pero también está claro que no son una solución general, ya que las empresas certificadas son atacadas todo el tiempo.

Si bien SOC2 e ISO 27001 se encuentran entre las certificaciones más conocidas, existen docenas de esquemas de cumplimiento voluntario que las empresas pueden adoptar. De hecho, las empresas a menudo tienen más de una certificación porque no existe un estándar internacional serious, lo que significa que las organizaciones buscan certificaciones de cumplimiento adicionales cuando ingresan a nuevos mercados para satisfacer las demandas de los clientes y socios. Con SOC2 tarda hasta tres meses en implementarse, mientras que ISO tarda hasta seis meses, las empresas están gastando grandes cantidades de recursos humanos y financieros en estas certificaciones. Así que es hora de preguntarse si este esfuerzo vale la pena.

Las certificaciones pueden traer beneficios inesperados

No hay duda de que tales esquemas ofrecen beneficios, pero no necesariamente los que esperan las organizaciones. Lo que es más importante, aumentan la conciencia de seguridad cibernética en toda la organización, a menudo de manera ascendente.

Debido a que los clientes potenciales y los clientes preguntan rutinariamente acerca de las certificaciones, a menudo son los equipos de marketing y ventas de las organizaciones los que se acercan a su CISO para solicitar la búsqueda de certificaciones. Ya sea que finalmente se busque una certificación, y qué beneficios reales de seguridad trae, si los hay, este impulso es importante y crea vínculos más fuertes entre los equipos de seguridad cibernética y el resto del negocio. Estas relaciones pueden ayudar a sentar las bases para prácticas y políticas de ciberseguridad más holísticas y enfatizar en toda la empresa la importancia de invertir en ciberseguridad.

Las solicitudes de certificaciones de los equipos de ventas, advertising and marketing y otros también ilustran al CISO y a todo el C-suite cómo la ciberseguridad puede ser un habilitador de negocios y una herramienta de advertising and marketing por ejemplo, si una organización tiene una determinada certificación, puede resaltarla para atraer a clientes y clientes potenciales.

De hecho, muchas organizaciones requieren que sus proveedores de servicios, desde soluciones de nómina hasta servicios de entrega, tengan un certificado de cumplimiento determinado. Entonces, no tener dicha certificación podría significar, por ejemplo, que una empresa de gestión de flotas de vehículos no ganará un contrato de una empresa nueva que quiere servicios de transporte. Esto ayuda a las empresas a comprender en common cómo cualquier gasto y práctica de seguridad cibernética debe alinearse con los objetivos comerciales y no ocurrir en el vacío o con una mentalidad de cumplimiento puro.

Falsa sensación de seguridad

Pero las organizaciones que buscan estas certificaciones también deben darse cuenta de que solo pueden hacer mucho. Las organizaciones certificadas son atacadas todo el tiempo. El número de empresas con certificaciones ISO tiene más de cuadruplicado en la última década, pero los ataques siguen aumentando. Esto se debe en parte a que, en el entorno real, nada puede prevenir por completo los ataques. Si bien las certificaciones son un punto de partida, no compensan las evaluaciones de seguridad holísticas que trazan las rutas de ataque más probables, los objetivos más valiosos y vulnerables y luego se enfocan en proteger esos activos.

Además, estas certificaciones y auditorías se pueden implementar de una manera amplia y es difícil saber qué tan completas son en realidad. Esto se debe a que hay cientos de empresas diferentes que ofrecen certificación oficial para SOC2, ISO 27001 y otras. Aunque existen pautas básicas, sus métodos difieren y, francamente, algunos probablemente funcionan mejor que otros.

¿Qué deben hacer las organizaciones?

Al last del día, las empresas deben buscar las certificaciones que son populares en sus mercados. Es una forma de crear conciencia e impulso sobre la seguridad dentro de una organización, y también crea un vehículo para integrar un énfasis en la seguridad cibernética en los esfuerzos de internet marketing y ventas, además de fomentar un entorno donde el gasto en seguridad cibernética está vinculado a los objetivos comerciales. En un nivel práctico, muchas certificaciones, incluida la ISO, pueden evitar multas o daños a la reputación en caso de ataque porque demuestran al público que la organización estaba tomando medidas preventivas.

Al mismo tiempo, las empresas deben asegurarse de que la organización que seleccionen para cualquier certificación haga un trabajo minucioso. Por ejemplo, debe haber una penetración true u otras pruebas realizadas como parte de la evaluación, no solo un cuestionario que se complete sobre las pruebas realizadas en el pasado.

Lo que es más importante, las organizaciones no pueden bajar la guardia incluso después de haber completado el largo, tedioso y costoso proceso de certificación. Deben continuar participando en la evaluación continua de riesgos, centrarse en proteger las partes más valiosas de una empresa y utilizar medidas defensivas proactivas, como la búsqueda de amenazas y la piratería ética.

En resumen, el valor de estas certificaciones se deriva de considerarlas como puntos de partida, en lugar de objetivos finales. Estas certificaciones suelen ser críticas para avanzar en la conversación y la prioridad de la ciberseguridad en las organizaciones.



Enlace a la noticia first