Las organizaciones de todos los tamaños e industrias enfrentan el desafío de cumplir con múltiples leyes, regulaciones y estándares de la industria. Esto puede resultar en que las organizaciones desperdicien tiempo y recursos valiosos creando conjuntos de controles independientes, recopilando las mismas pruebas, realizando pruebas redundantes y repitiendo otras actividades para múltiples auditorías.

Un método que puede ayudar a reducir el tiempo y el esfuerzo requerido para cumplir con múltiples marcos regulatorios es el mapeo de controles. En esta publicación, cubriremos qué es el mapeo de controles, qué beneficios ofrece y cómo la automatización puede simplificar el proceso.

Antes de sumergirnos en la definición de mapeo de controles, expliquemos a qué nos referimos con control.

¿Qué es un control?

Un control es una salvaguardia específica, como una política, proceso, configuración o herramienta, que una organización implementa para proteger sus activos de información, gestionar el riesgo y lograr el cumplimiento con diferentes marcos regulatorios.

Un marco regulatorio como PCI DSS o SOC 2® se desglosa en requisitos clave. Para cumplir con un marco, las organizaciones necesitan implementar un conjunto de controles para satisfacer todos los requisitos que sean relevantes para su organización. Un conjunto de controles normalmente incluye una combinación de salvaguardias de gestión, físicas, legales, operativas y técnicas.

En el caso de una auditoría interna o externa, las organizaciones también deben proporcionar evidencia de que cumplen con estos requisitos y de que los controles que han implementado funcionan según lo previsto. Esta evidencia a menudo se recoge en forma de capturas de pantalla, documentos de políticas y procedimientos, certificados de finalización de concienciación sobre seguridad y/u otros tipos de evidencia.

Si se utiliza una plataforma de automatización de cumplimiento, esta recopila la evidencia a través de integraciones y pruebas. Una vez que configuras las integraciones con las herramientas y aplicaciones que se están utilizando en toda tu organización, la plataforma recopilará automáticamente la evidencia y la asignará a los requisitos y controles del marco a través de pruebas. Estas pruebas estarán aprobadas o reprobadas para indicar el estado de tus controles.

Durante una evaluación de cumplimiento, los auditores evaluarán el conjunto de controles y la evidencia de la organización para asegurarse de que son apropiados, efectivos y cumplen con los requisitos del marco.

Qué controles y evidencia implementa una organización varía según el alcance de su auditoría, riesgos, interpretación del requisito del marco o herramienta de automatización de cumplimiento. Veamos un ejemplo.

PCI DSS tiene varios requisitos de contraseñas y autenticación, incluyendo uno que especifica que las organizaciones solo deben usar cuentas grupales, compartidas o genéricas cuando sea necesario y de manera excepcional. Un control (entre otros) que las organizaciones pueden implementar para cumplir con este requisito es usar una herramienta de gestión de contraseñas para administrar cuentas compartidas y rastrear la responsabilidad individual. Para probar que este control está en su lugar y funcionando de manera efectiva, deben proporcionar evidencia de la herramienta de gestión de contraseñas, incluyendo la configuración de la responsabilidad individual y las restricciones de acceso, como una captura de pantalla.

¿Qué es un control común?

Los controles están diseñados para ser flexibles, de modo que las organizaciones puedan adaptarlos a sus sistemas, servicios y tipos de datos específicos. Esto asegura que las medidas de seguridad sean efectivas para mitigar los riesgos y desafíos únicos que enfrenta la organización y no solo para cumplir con una norma.

Debido a esta flexibilidad, algunos controles pueden cumplir con los requisitos de múltiples marcos. Por ejemplo, el control de usar una herramienta de gestión de contraseñas para manejar cuentas compartidas puede ayudar a cumplir con los requisitos de contraseña para HIPAA e ISO 27001, además de PCI DSS. Este es un ejemplo de un control común.

Muchos marcos de seguridad, privacidad y cumplimiento tienen controles comunes porque fueron creados con propósitos o tipos de organizaciones similares. Por ejemplo, los marcos federales como NIST 800-53 y NIST 800-171 fueron diseñados para ayudar a proteger información gubernamental sensible e infraestructura crítica. De hecho, NIST 800-171 es una derivación de NIST 800-53 por lo que los conjuntos de controles de cada uno se superponen significativamente.

Debido a que SOC 2 e ISO 27001 están diseñados para ayudar a las organizaciones de servicios a proteger los datos de los clientes y ambos cubren principios de seguridad fundamentales como la seguridad, integridad, disponibilidad y confidencialidad de los datos, hay muchos controles que podrían cumplir con los requisitos de ambos marcos. De manera similar, PCI DSS e HIPAA son marcos diseñados para ayudar a las organizaciones a proteger datos de clientes altamente sensibles y pueden tener una superposición significativa en sus conjuntos de controles.

Los controles comunes, que cumplen con la intención de los requisitos entre marcos, pueden ayudar a las organizaciones a lograr el cumplimiento con múltiples marcos más rápidamente y evitar el trabajo duplicado. Veamos cómo a continuación.

¿Qué es el mapeo de controles?

El mapeo de controles es el proceso de implementar un conjunto de controles que cumpla con los requisitos de un marco y luego mapear ese conjunto de controles a los requisitos de otro marco. El objetivo es identificar controles comunes que puedan cumplir con los requisitos mapeados de múltiples marcos. Dado que los controles comunes solo necesitan implementarse y probarse una vez para validar que son efectivos, las organizaciones pueden utilizar estos resultados como evidencia de adherencia a los requisitos de múltiples marcos. Por lo tanto, las organizaciones pueden lograr el cumplimiento con múltiples marcos más rápidamente y evitar el trabajo duplicado con el mapeo de controles.

Veamos más de cerca los beneficios a continuación.

Beneficios del mapeo de controles

El mapeo de controles ofrece varios beneficios, incluyendo acelerar el tiempo de cumplimiento para múltiples marcos y proporcionar información para desarrollar tu hoja de ruta de cumplimiento. También proporciona beneficios que van más allá del cumplimiento.

1. Reducir el trabajo duplicado y acelerar el tiempo de cumplimiento para múltiples marcos.

Mapear controles a través de regulaciones y estándares relevantes puede facilitar el proceso de evaluación y cumplimiento general de múltiples marcos, ahorrando tiempo a las organizaciones que ya han invertido recursos en lograr el cumplimiento de un marco regulatorio.

Por ejemplo, supongamos que empiezas con el cumplimiento de NIST 800-53. Determinas que el conjunto de controles apropiado para tu organización es moderado y los adaptas en consecuencia. Luego los mapeas a estándares y regulaciones adicionales que son requeridos por tu organización.

Por ejemplo, el control AC-1 de NIST 800-53 es Política y Procedimientos de Control de Acceso. Esto se puede mapear a controles en otros marcos, como el Anexo A.5: Políticas para la Seguridad de la Información en ISO 27001. Las pruebas que validan el control AC-1 de NIST 800-53 podrían aplicarse a los controles mapeados para los requisitos de ISO 27001, evitando que implementes un control y prueba redundantes. Este es el concepto “probar una vez, cumplir muchos”.

Al mapear y probar controles comunes para demostrar que cumplen con los requisitos de múltiples marcos, las empresas pueden extender efectivamente sus esfuerzos de cumplimiento a múltiples marcos con un trabajo adicional mínimo.

2. Comprender qué marcos tienen más sentido para tu negocio

El mapeo de controles puede proporcionar información valiosa para desarrollar tu hoja de ruta de cumplimiento. Ayudando a las organizaciones a identificar solapamientos y brechas a través de los marcos, el mapeo de controles puede ayudarles a decidir a qué marcos buscar el cumplimiento y cuándo.

Por ejemplo, NIST 800-53 tiene un conjunto de controles comprensivo que se divide en 26 familias de controles diferentes. Muchas de estas familias de controles, como Controles de Acceso, Respuesta a Incidentes, Planificación de Contingencia y Gestión de Configuración, se pueden encontrar en otros marcos como:

• NIST 800-171
• CMMC
• NIST CSF
• HIPAA
• PCI DSS

Eso significa que NIST 800-53 puede ser un gran punto de partida para muchas organizaciones que necesitan cumplir con múltiples leyes, regulaciones y estándares ahora o en el futuro a medida que su negocio y clientes crecen. Al buscar primero el cumplimiento de NIST 800-53, podrán simplificar el proceso de cumplir con otros marcos más adelante utilizando el mapeo de controles. NIST 800-53 es tan comprensivo que podrían incluso cumplir con otros marcos sin saberlo.

Las organizaciones también pueden usar el mapeo de controles para identificar brechas entre marcos y entender cuándo es necesario priorizar múltiples. Supongamos que una organización se encuentra dentro del alcance de PCI DSS y necesita abordar las preocupaciones de privacidad de datos de los clientes de la UE. En ese caso, pueden usar el mapeo de controles para identificar las brechas y ver que muchos controles de PCI DSS no se asignan a un número suficiente de requisitos de GDPR según sus equipos de seguridad o clientes, y luego pueden decidir cómo proceder en consecuencia.

3. Mejorar la gestión de riesgos

El mapeo de controles también puede ayudar a mejorar los esfuerzos de gestión de riesgos de una organización al identificar áreas prioritarias que no fueron abordadas por el cumplimiento. Es por eso que el mapeo de controles puede ser vital para una estrategia efectiva de gobernanza, riesgo y cumplimiento (GRC).

Por ejemplo, una organización puede tener una exposición significativa a riesgos que no se aborda en ningún requisito de cumplimiento o regulatorio. Esta exposición a riesgos puede abordarse por separado mediante requisitos comerciales.

Con el mapeo de controles, las organizaciones pueden mapear controles tanto a marcos como a requisitos comerciales para mejorar su postura de riesgo así como su postura de cumplimiento.

Desafíos que enfrentan las organizaciones cuando realizan el mapeo de controles

Ahora que entendemos los beneficios del mapeo de controles, echemos un vistazo más de cerca a los desafíos comunes que las organizaciones deben abordar para desbloquear esos beneficios.

Falta de visibilidad y estandarización

Si asigna manualmente controles a los requisitos del marco, entonces es probable que su organización dependa de múltiples hojas de cálculo, herramientas, técnicas de mapeo y partes interesadas. Como resultado, puede ser tedioso y llevar mucho tiempo crear, actualizar y comparar estos mapeos entre diferentes herramientas y equipos. También puede resultar en inconsistencias y errores.

Saber si un control cumple con los requisitos mapeados

Para las organizaciones con conocimientos y experiencia limitados en asuntos de cumplimiento y seguridad, uno de los principales desafíos es entender si un control realmente cumple con la intención de un requisito mapeado.

Normalmente, los requisitos del marco son muy específicos y complejos o amplios y demasiado generales para saber qué es exactamente lo que se necesita implementar. Por ejemplo, SOC 2 es una guía creada por AICPA que puede interpretarse de manera diferente entre empresas o incluso firmas de auditoría que tienen sus propias listas de solicitudes de información e interpretaciones. ISO 27001, por otro lado, es más prescriptiva y describe 93 controles, conocidos como “controles del Anexo A”, que las organizaciones deben implementar. Debido a esta disparidad en la flexibilidad, las organizaciones pueden tener dificultades para mapear con confianza los controles de SOC 2 a los requisitos de ISO 27001, o viceversa.

Para evitar los riesgos de submapeo y sobremapeo, las organizaciones generalmente deben contratar un equipo de GRC y/o asesor legal (dependiendo del marco) para comprender si los controles cumplen con la intención de los requisitos mapeados. Esto puede aumentar los costos comerciales y de cumplimiento.

Complejidad de los marcos

El riesgo de submapeo y sobremapeo o de cometer otros errores durante el proceso de mapeo puede aumentar dependiendo del marco.

Tomemos NIST 800-53, por ejemplo. NIST 800-53 tiene tres bases de control de seguridad, o conjuntos de controles de seguridad mínimos para sistemas de información federales según su nivel de impacto. Las tres bases son Baja, Moderada y Alta. Bajo tiene la menor cantidad de controles y puede considerarse el menos estricto. Alto tiene la mayor cantidad de controles y puede considerarse el más estricto. Por lo tanto, mapear el conjunto de controles del mismo marco a diferentes bases de NIST 800-53 cambiará el número de controles comunes.

También hay múltiples niveles de cumplimiento de PCI DSS. Dependiendo del nivel de PCI en el que se encuentren, las organizaciones pueden necesitar probar su cumplimiento de PCI DSS con un informe de cumplimiento o un cuestionario de autoevaluación. Para comerciantes y proveedores de servicios que no necesitan un informe completo de cumplimiento, hay ocho tipos de cuestionarios de autoevaluación. Por lo tanto, mapear un conjunto de controles a PCI SAQ A y al marco base PCI DSS, por ejemplo, cambiará el número de controles comunes.

Estos son solo dos ejemplos que destacan la complejidad del mapeo de controles y las posibles trampas que las organizaciones pueden necesitar evitar si adoptan un enfoque manual.

Mapeo de evidencia así como controles

Ver cuántos controles tienen en común dos marcos es útil, pero no indica cómo el cumplimiento con un marco ayudará a acelerar el cumplimiento con otro. Para hacerlo, también debe mapear la evidencia.

Mapear tanto el conjunto de controles como la evidencia de cumplimiento de un marco a otro puede ser una cantidad significativa de trabajo. Así como algunos requisitos del marco requieren que una organización implemente múltiples controles, algunos controles requieren múltiples piezas de evidencia para evaluar si son efectivos o saludables.

Tomemos el requisito de HIPAA para la eliminación de ePHI, por ejemplo. Esto establece que una entidad cubierta o un asociado de negocios debe, de conformidad con § 164.306, implementar políticas y procedimientos para abordar la disposición final de la información de salud protegida electrónicamente y/o el hardware o medios electrónicos en los que se almacena. Para cumplir con este requisito, las organizaciones pueden tener que implementar y probar múltiples controles como:

• Formalizar una política de retención y disposición de datos
• Implementar un proceso para la eliminación de datos
• Implementar un proceso para responder a las solicitudes de los clientes para eliminar datos

Dado que estos controles también se aplican a otros marcos como CCPA, GDPR, ISO 27001, HIPAA y SOC 2, entonces la evidencia y los procesos subyacentes abordarán múltiples pruebas y requisitos de marcos y también deben ser mapeados.

Echemos un vistazo más de cerca a cómo una plataforma de automatización de cumplimiento como Secureframe puede resolver estos desafíos y simplificar y agilizar el proceso de mapeo de controles.

Cómo una plataforma de automatización de cumplimiento simplifica el mapeo de controles

Ahora que comprende los beneficios y desafíos del mapeo de controles, echemos un vistazo más de cerca a cómo una plataforma de automatización de cumplimiento puede simplificar significativamente el mapeo de controles y maximizar el ROI de este proceso.

1. Centraliza los requisitos del marco, el control y los datos de prueba.

Tener un repositorio central para los requisitos de su marco, control y pruebas puede simplificar significativamente el proceso de mapeo de controles.

Desde esta única fuente de verdad, puede mapeo de controles y pruebas a nuevos requisitos del marco para determinar si pueden ser cumplidos por controles existentes o si necesitan nuevos para ser implementados y probados.

Esta visibilidad por sí sola puede desbloquear sus esfuerzos de mapeo de controles, pero la automatización puede acelerarlos.

2. Automatiza el mapeo de controles para reducir errores y tiempo.

Una plataforma GRC robusta como Secureframe puede automatizar el proceso de mapeo de controles, reduciendo el tiempo que lleva y el potencial de error humano.

Los usuarios de Secureframe pueden acceder a una lista completa de controles que se aplican a su organización y ver qué requisitos del marco están mapeados a cada uno de sus controles directamente en la plataforma.

Por ejemplo, en su instancia de Secureframe, puede ver el control RA-06, que especifica que los nuevos proveedores deben ser evaluados de acuerdo con la Política de Gestión de Riesgos de Proveedores antes de comprometerse con el proveedor y re-evaluados al menos anualmente.

Este control está mapeado a docenas de requisitos para ISO 27001, GDPR, CJIS y otros marcos. Esto se hace automáticamente para que no tenga que empezar de cero al mapear controles o adivinar si un control cumple con un requisito de marco mapeado.

3. También mapea las pruebas automáticamente.

Como se mencionó anteriormente, las organizaciones deben mapear el conjunto de controles y las pruebas subyacentes de un marco a otro para comprender qué trabajo adicional se requiere para cumplir con ese marco y evitar perder tiempo en cualquier trabajo redundante.

Las mejores plataformas de automatización de cumplimiento automatizarán el mapeo de tanto los controles como las pruebas con los requisitos del marco. De esa manera, solo tiene que implementar y probar un control común una vez para cumplir con múltiples requisitos del marco. Tomemos de nuevo el control RA-06 como ejemplo. Una prueba (entre otras) para demostrar que el control está funcionando como se pretende es evaluar los niveles de riesgo de todos los proveedores en el ámbito. Esta prueba está mapeada a controles y requisitos en docenas de marcos, incluyendo SOC 2, ISO 27001, HIPAA, CCPA, NY DFS, Cyber Essentials y más.

Entonces, digamos que ha implementado y probado el control RA-06 como parte de sus esfuerzos de cumplimiento SOC 2. Si está persiguiendo el cumplimiento de ISO 27001 a continuación, el control y las pruebas se mapearán automáticamente al requisito ISO 27001 relevante para que pueda demostrar su adherencia sin trabajo adicional.

4. Utiliza controles comunes cuando sea posible.

Una plataforma de automatización de cumplimiento que ofrece marcos, controles y pruebas preconstruidos puede simplificar significativamente el proceso de cumplimiento al mostrar exactamente lo que necesita hacer para cumplir. Si esos marcos preconstruidos utilizan controles comunes, su equipo puede ahorrar aún más tiempo y evitar hacer trabajo duplicado.

Todos los marcos redactados por Secureframe utilizan controles comunes. Eso significa que cuando un cliente existente de Secureframe agrega un nuevo marco a su instancia, verá automáticamente dónde se encuentra con ese marco y cuánto se superpone con otros marcos. Debido a tal superposición común entre marcos, los clientes existentes de Secureframe que añaden nuevos marcos a su instancia nunca comienzan en 0%.

5. Puede mapear riesgos a controles

Una plataforma de automatización del cumplimiento con capacidades avanzadas de mapeo puede incluso permitirle mapear sus controles a riesgos para alinear sus programas de cumplimiento y gestión de riesgos. Al hacerlo, puede mostrar los pasos que ha tomado para mitigar el riesgo y identificar más fácilmente las brechas para tratar y responder proactivamente al riesgo.

Cómo Secureframe puede ayudarlo a acelerar el tiempo de cumplimiento

Secureframe está diseñado para ayudar a las organizaciones a reducir el trabajo duplicado y acelerar el tiempo de cumplimiento, ya sea que estén buscando cumplir con un marco o con muchos.

Todos los marcos desarrollados por Secureframe utilizan controles comunes siempre que sea posible para garantizar un programa de cumplimiento eficiente. Eso significa que puede acceder a una lista completa de controles que se aplican a su organización y ver qué requisitos y pruebas del marco están mapeados a cada uno de sus controles directamente en la plataforma Secureframe.

También tiene la capacidad de crear sus propios marcos personalizados y mapear tanto controles y pruebas personalizados como predefinidos a esos requisitos del marco. Incluso puede editar controles y mapas de prueba para ajustar la plataforma y cumplir con sus requisitos de manera efectiva a lo largo del tiempo.

También puede mapear controles a riesgos así como a requisitos de cumplimiento. De esa manera, si su organización tiene una exposición significativa al riesgo que no está abordada por ningún requisito de cumplimiento o regulatorio, puede identificarla y responder a ella.

Una encuesta de usuarios de Secureframe realizada por UserEvidence confirmó que el uso de una plataforma de automatización del cumplimiento ayuda a reducir la complejidad y el costo del riesgo y el cumplimiento. Cuando se les preguntó cómo Secureframe les ayudó a mejorar:

• El 97% dijo que fortalecieron su postura de seguridad y cumplimiento
• El 92% dijo que redujeron el tiempo dedicado a tareas manuales
• El 89% dijo que aceleraron el tiempo de cumplimiento para múltiples marcos
• El 85% dijo que liberaron ahorros de costos anuales
• El 75% dijo que redujeron el riesgo de incumplimiento

Para obtener más información sobre los marcos, controles y pruebas de Secureframe, programa una demostración con uno de nuestros expertos en cumplimiento. También puede consultar nuestro glosario de marcos para obtener una visión general de algunos de los cientos de estándares y marcos que pueden aplicarse a su organización.

Sobre la encuesta de UserEvidence

La información sobre los usuarios de Secureframe se obtuvo a través de una encuesta en línea realizada por UserEvidence en febrero de 2024. La encuesta incluyó respuestas de 44 usuarios de Secureframe (la mayoría de los cuales eran de nivel gerente o superior) de las industrias de tecnología de la información, consumo discrecional, industriales, finanzas y salud.