¿Cómo puedo crear políticas y procedimientos SOC y NIST 800-53?

¿Busca consejos para prepararse para una auditoría SOC 2? ¿Se pregunta cuáles son los nuevos controles en ISO 27001:2002? ¿No está seguro de si necesita una auditoría para cumplir con HIPAA?

Nuestra serie Secureframe Office Hours | Pregunta a un Experto está diseñada para ser un foro abierto en el que los asistentes pueden tener sus preguntas sobre seguridad, privacidad y cumplimiento respondidas por uno de nuestros expertos internos en cumplimiento o socios auditores, y para escuchar lo que otros líderes de startups y profesionales de la seguridad están pensando y preguntando.

La cuarta sesión, celebrada el jueves 8 de diciembre, presentó a Cavan Leung, CISSP, CISA, CCSK. Cavan es un ex-auditor con más de ocho años de experiencia ayudando a las empresas a mejorar su postura de seguridad. Ahora, Cavan ayuda a los clientes de Secureframe a lograr el cumplimiento con marcos que incluyen SOC 2, GDPR, CCPA, ISO 27001, ISO 27017, ISO 27018, ISO 27701, ISO 22301, ISO 9001 y otros.

Durante los 30 minutos de preguntas y respuestas en vivo, Cavan respondió preguntas sobre temas que van desde auditorías SOC hasta cumplimiento HIPAA. Si se lo perdió, resumimos sus respuestas a continuación.

1. ¿Cómo puedo acelerar mi preparación para la auditoría SOC 2?

Cavan: La respuesta simple a eso es la automatización. Las herramientas de automatización de cumplimiento aceleran el proceso de obtener el cumplimiento SOC 2. Además, confíe en sus expertos, ya sea que esté contratando consultores externos para ayudarle a implementar procesos y controles SOC 2 o utilizando una plataforma que ofrezca experiencia en cumplimiento.

Hay muchas herramientas de automatización de cumplimiento disponibles, pero el beneficio de Secureframe es que es todo en uno. Tiene un gerente de cumplimiento dedicado para brindarle apoyo completo en cada paso del proceso de cumplimiento SOC 2. Tiene monitoreo continuo. Tiene los controles y requisitos exactos que deben estar en su lugar. Toda la plataforma es fácil de usar y lo guía a lo largo del proceso.

Si no está utilizando una herramienta automatizada o consultando a un experto, la autoeducación es clave. Tendrá que entender los requisitos de SOC 2 y encontrar formas de acelerar el proceso de implementación del control para asegurarse de que está preparado y listo para una auditoría externa.

2. ¿Cuál es la diferencia entre políticas y procedimientos? Además, para una empresa que persigue tanto SOC como NIST 800-53, ¿es mejor tener políticas basadas en NIST y aplicarlas a SOC o políticas basadas en SOC y aplicarlas a NIST?

Cavan: Cada organización debe tener un conjunto de políticas de seguridad de la información. La diferencia entre políticas y procedimientos es que, en términos generales, las políticas son un conjunto de pautas o reglas que el personal de la empresa debe seguir (el "qué"). Los procedimientos son típicamente las instrucciones paso a paso sobre cómo exactamente se pueden lograr esas pautas o reglas (el "cómo").

Nuestra plataforma Secureframe ofrece políticas de seguridad de la información que son aplicables a todos los marcos. Así que, independientemente de si opta por SOC 2, NIST o ambos, nuestro conjunto de políticas de seguridad de la información será aplicable.

Si compras SOC 2, recibirás el conjunto de políticas de seguridad de la información que se requieren para cumplir con los criterios de SOC 2. Si compras NIST, recibirás el conjunto principal de políticas de seguridad de la información y los plantillas adicionales necesarios para cumplir con los requisitos procedimentales.

3. ¿Cuáles son los controles adicionales necesarios para la actualización de ISO 27001?

Cavan: Hay 11 nuevos controles del Anexo A para la ISO 27001:2022. La mayoría, si no todos, estos controles ya estaban implícitamente cubiertos en ISO 27001:2013. En la versión más nueva, los mencionaron como controles individuales para proporcionar más claridad, transparencia e intuición.

Un ejemplo de un nuevo control es la gestión de configuraciones, asegurándose de que, si configuras tu infraestructura en la nube, pase por los procesos apropiados de gestión de cambios. Eso ya era parte de un control existente de la versión 2013, pero lo separaron en la versión 2022 para hacerlo más claro.

Otros controles incluyen actividades de monitoreo, que la mayoría de las organizaciones realizan como parte del monitoreo de su infraestructura en la nube, por ejemplo. Otro es la inteligencia de amenazas, asegurándose de que tengas capacidades para monitorear amenazas y vulnerabilidades.

A continuación se presentan los 11 nuevos controles:

1. Inteligencia de amenazas: La información relacionada con las amenazas a la seguridad de la información debe ser recopilada y analizada para producir inteligencia de amenazas.
2. Seguridad de la información para el uso de servicios en la nube: Se deben establecer procesos para la adquisición, uso, gestión y salida de los servicios en la nube de acuerdo con los requisitos de seguridad de la información de la organización.
3. Preparación de las TIC (tecnologías de la información y la comunicación) para la continuidad del negocio: La preparación de las TIC debe ser planificada, implementada, mantenida y probada sobre la base de los objetivos de continuidad del negocio y los requisitos de continuidad de las TIC.
4. Monitoreo de la seguridad física: Los locales deben ser monitoreados continuamente por acceso físico no autorizado.
5. Gestión de configuraciones: Las configuraciones, incluidas las configuraciones de seguridad, del hardware, software, servicios y redes deben ser establecidas, documentadas, implementadas, monitoreadas y revisadas.
6. Eliminación de información: La información almacenada en sistemas de información, dispositivos o en cualquier otro medio de almacenamiento debe ser eliminada cuando ya no sea necesaria.
7. Enmascaramiento de datos: El enmascaramiento de datos debe ser utilizado de acuerdo con la política específica de acceso de la organización y otras políticas específicas relacionadas, y los requisitos comerciales, teniendo en cuenta la legislación aplicable.
8. Prevención de fugas de datos: Se deben aplicar medidas de prevención de fugas de datos a sistemas, redes y cualquier otro dispositivo que procese, almacene o transmita información sensible.
9. Actividades de monitoreo: Las redes, sistemas y aplicaciones deben ser monitoreados por comportamientos anómalos y tomar las acciones apropiadas para evaluar posibles incidentes de seguridad de la información.
10. Filtrado web: Se debe gestionar el acceso a sitios web externos para reducir la exposición a contenido malicioso.
11. Codificación segura: Se deben aplicar principios de codificación segura al desarrollo de software.

4. ¿Cuál es la mejor práctica al decidir agregar políticas de seguridad?

Cavan: Necesitas saber qué te está impulsando a crear nuevas políticas de seguridad. Tal vez estás tratando de cumplir con los requisitos de ciertos marcos de cumplimiento. O quizás haya un cliente exigiendo ciertas políticas antes de que pueda ocurrir un acuerdo.

Una vez que entiendas el "por qué" de implementar nuevas políticas, necesitas evaluar qué políticas ya tienes implementadas y luego agregar nuevas secciones o lenguaje en tus políticas existentes, o crear nuevas políticas. De esa manera, no tendrás verborrea repetitiva o conflictiva dentro de tus políticas de seguridad de la información.

5. ¿Qué buscan la mayoría de las startups en términos de certificaciones de auditoría y cumplimiento?

Cavan: Si principalmente estás haciendo negocios dentro de América del Norte, el marco de cumplimiento más popular es SOC 2. Esencialmente, SOC 2 es un conjunto de requisitos de seguridad de la información que una organización debe tener implementados. Es una declaración, no una certificación. Lo que eso significa es que se requiere que un auditor externo te audite según los requisitos de SOC 2. Una vez que el auditor haya terminado, proporcionará una opinión sobre si tus controles están diseñados y operan de manera efectiva y confiable. Es por eso que se llama una declaración: es una opinión de una firma de auditoría sobre si cumples o no con SOC 2.

Fuera de América del Norte, el marco de cumplimiento más popular es ISO 27001. Es reconocido a nivel mundial. A diferencia de SOC 2, ISO 27001 es una certificación. Eso significa que una vez que seas auditado externamente por una firma de auditoría acreditada ISO, recibirás un certificado que dice que tu organización tiene un SGS implementado y cumple con los requisitos de ISO 27001.

Esa es la principal diferencia entre los dos desde una perspectiva comercial y de auditoría.

6. ¿Quién puede realizar una auditoría HIPAA y cómo es ese proceso?

Cavan: HIPAA es una ley. Siempre que proceses PHI, ya sea que seas una entidad cubierta (como un hospital o clínica) o un asociado comercial (como un proveedor de un hospital que procesa PHI en su nombre), debes seguir la ley HIPAA. No hay una certificación oficial para HIPAA. Muchas empresas hacen una auditoría externa de HIPAA para obtener esa seguridad adicional de que están cumpliendo la ley como deberían, pero no tienes que realizar una auditoría externa para cumplir con HIPAA.

Muchas firmas de auditoría ofrecen un paquete para múltiples marcos, como SOC 2 y HIPAA por ejemplo. Entonces, si una organización ya está siendo auditada para SOC, también se auditan para HIPAA para obtener esa seguridad adicional.

7. Mi empresa proporciona software para instituciones financieras y estamos buscando cumplir con SOC 2 por primera vez. ¿Qué necesita nuestro programa de seguridad de la información para cumplir con SOC 2 frente a NIST?

Cavan: En última instancia, depende de la demanda de sus socios comerciales y clientes. SOC 2 es excelente. Es un marco general de seguridad de la información que puede ser aplicable a muchos tipos de organizaciones. Dependiendo de cuál NIST — está NIST CSF, NIST 800-53 y otros — están más adaptados al ámbito federal. Entonces, si está trabajando con agencias federales, entonces esa sería la demanda que lo orientaría hacia NIST o FedRAMP. Así que le aconsejaría que lo mirara desde la perspectiva de la demanda. Si los clientes o socios comerciales solicitan SOC 2, entonces obtenga SOC 2. Si están solicitando NIST 800-53, consiga eso.

Si desea buscar e implementar un programa de cumplimiento de seguridad de la información solo para tenerlo, y cualquier organización debería hacerlo independientemente de la demanda, SOC 2 y NIST CSF son ambos excelentes puntos de partida. Ambos marcos incluyen controles y procesos de seguridad de la información comunes a alto nivel que funcionan en muchas industrias. Una vez que los establezca, puede construir controles más detallados y específicos para un marco como FedRAMP.

Por ejemplo, en SOC 2, hay un requisito de tener un control de autenticación, como una identificación de usuario única y contraseña o clave SSH, en su lugar. En un marco más prescriptivo como FedRAMP, hay controles más detallados como que debe autenticarse a través de una contraseña de al menos 8 caracteres y cierta complejidad.

8. ¿Qué credenciales debe tener una firma auditora?

Cavan: En términos generales, depende del marco. Por ejemplo, ISO 27001 requiere que una firma auditora esté acreditada antes de que puedan realizar auditorías ISO. SOC 2 requiere que una firma auditora cumpla con el conjunto de reglas y directrices del AICPA. Un contador público certificado también necesita emitir la opinión. PCI requiere que un QSA realice la auditoría. Entonces, diferentes marcos tienen diferentes pautas o credenciales para los auditores.

Antes de decidir sobre una firma auditora, debe investigar para determinar si están acreditados o cumpliendo con un organismo rector como AICPA o de otra manera siguiendo las pautas necesarias.

También debe considerar la experiencia, reputación, costo, clientes del portafolio y su capacidad para cumplir con las expectativas de cuándo necesita que se complete la auditoría.

Manténgase atento para la próxima sesión Secureframe Office Hours | Pregunte a un Experto

Vamos a seguir organizando sesiones regulares de Secureframe Office Hours a lo largo de 2023. Manténgase atento para actualizaciones.