Las violaciones de datos y los compromisos de privacidad hacen que todos se vean mal: no importa cuán sofisticado sea el atacante, la empresa que recibe tales intrusiones siempre parece lamentablemente desprevenida, si no peor, incluso si no podría haber controlado todos los factores a los que estaba sometido y tenía el talento adecuado a mano para la ciberedeguridad.
Antilavadodedinero / FCPA
Los intrusos se están volviendo mucho más inteligentes, persistentes y pacientes, y mantenerse al día con los contornos de las nuevas amenazas (los actores y la tecnología) es casi imposible. Las empresas tampoco pueden controlar todos los movimientos que realizan sus empleados y socios comerciales.
Pero las empresas deben ayudar a sus empleados a crear una barrera más sustancial alrededor de los datos de la empresa siguiendo los estándares emergentes de seguridad de la información.
Certificación
Los regímenes de certificación de ciberseguridad pueden adoptar muchas formas. Su organización puede lograr ciertos estándares internacionales o basados en los EE. UU. Que significan que utiliza ciertas mejores prácticas para un sistema de administración de seguridad de la información, lo que envía un mensaje contundente al público consumidor y a otras partes interesadas.
ISO 27001
Aquí es donde entra en juego la Organización Internacional de Normalización con su estándar internacional de mejores prácticas relacionadas con un sistema de gestión de seguridad de la información (SGSI) llamado ISO / IEC 27001: 2013.
Un SGSI es un sistema de procedimientos, registros, tecnología y personas que ayuda a controlar, rastrear, auditar y mejorar la seguridad de la información de su organización. El sistema debe adaptarse a las características específicas y los factores de riesgo aplicables al negocio en cuestión.
En ese sentido, ISO 27001 ofrece una lista de controles que una empresa puede utilizar y que se adapta a sus configuraciones digitales, requisitos reglamentarios, etc. Los controles descritos en la norma son salvaguardas que puede implementar para proteger sus propiedades digitales.
La lista de 14 controles de ISO 27001 incluye secciones sobre cuestiones organizativas, cuestiones legales y de recursos humanos y seguridad física, entre otros.
CMMC
La Certificación del Modelo de Madurez de Ciberseguridad (CMMC) es un nuevo régimen de certificación del Departamento de Defensa (DoD) destinado a servir como un mecanismo de verificación para garantizar que sus contratistas implementen procesos de ciberseguridad adecuados para proteger la información de los contratos federales.
Ya sea una empresa principal, un subcontratista o un proveedor secundario, toda organización que haga negocios con el Departamento de Defensa deberá contar con la certificación CMMC antes de que se le otorgue un contrato que cumpla con los requisitos de CMMC.
SOC 2
Desarrollado por el Instituto Estadounidense de Contadores Públicos Contadores Públicos, otro régimen de certificación es SOC 2, que define los criterios para administrar los datos de los clientes en función de cinco principios de servicio de confianza: seguridad, disponibilidad, integridad de procesamiento, confidencialidad y privacidad. De acuerdo con las prácticas comerciales específicas, cada organización diseña sus controles para cumplir con uno o más de los principios de confianza SOC 2.
Los departamentos de seguridad de la información a menudo confían en los informes SOC 2 para evaluar el riesgo de seguridad de un proveedor.
Anuncie la adherencia
Las empresas harían bien en promocionar su adhesión a los regímenes de certificación detallados anteriormente (y otros que no se mencionan aquí) y describir sus requisitos para sus principales proveedores. Amazon, por ejemplo, entra en algunos detalles en su sitio web sobre las certificaciones y atestaciones de cumplimiento que sus socios comerciales han reclamado y cómo Amazon verifica estas afirmaciones.
Certificación ≠ Perfección
Una nota importante aquí es que haber obtenido una certificación no significa perfección e infalibilidad, particularmente a medida que pasa el tiempo, el perfil de riesgo de una empresa evoluciona, su tecnología y estrategias de mejores prácticas envejecen y su personal cambia.
Finalmente, capacitar a los empleados que no son expertos en ciberseguridad es fundamental, y esas certificaciones, como las descritas anteriormente para las organizaciones, son abundantes. Ayudan a garantizar que los empleados hayan desarrollado la higiene de la ciberseguridad crítica para el sustento de la organización, detectan los correos electrónicos de phishing y evitan las descargas de ransomware, y hacen preguntas antes de hacer clic en algo incluso remotamente sospechoso.
Los oficiales de cumplimiento tienen un papel que desempeñar en la evaluación de lo que su organización necesita en términos de sus credenciales de seguridad y la capacitación continua que ofrece a sus empleados. Y también deberían considerar seriamente la posibilidad de realizar una formación basada en ciberseguridad diseñada específicamente para ellos y su función única en mente.
