Resumen de las Horas de Oficina de Secureframe: Respuestas a Todas Sus Preguntas Específicas Sobre la Auditoría
¿No estás seguro de qué esperar de tu auditor antes, durante y después del proceso de auditoría? ¿Te preguntas qué criterios usar para seleccionar un auditor o una firma de auditoría? ¿No sabes cómo determinar tu ventana de auditoría?
Nuestra serie de Secureframe Office Hours | Pregunta a un Experto está diseñada para que obtengas conocimientos, mejores prácticas y respuestas a tus preguntas sobre todos los aspectos del proceso de cumplimiento, incluyendo antes y después de una auditoría.
Esta serie es un foro abierto para que los asistentes tengan sus preguntas sobre seguridad, privacidad y cumplimiento respondidas por uno de nuestros expertos internos en cumplimiento o socios de auditoría, y para escuchar lo que otras organizaciones preocupadas por la seguridad están pensando y preguntando.
La tercera sesión, celebrada el jueves 17 de noviembre, contó con Steve Seideman, CISSP, Director de Hacking Ético en Prescient Assurance. Steve es un auditor con casi 30 años de experiencia en la industria de la seguridad, privacidad y cumplimiento.
Durante los 30 minutos de preguntas y respuestas en vivo, Steve respondió preguntas específicas sobre auditoría que están en la mente de los líderes de startups y profesionales de la seguridad. Si te lo perdiste, resumimos sus respuestas a continuación.
1. ¿Qué herramientas se utilizan para auditar la seguridad y el cumplimiento del sistema de una organización?
Steve: Secureframe es la herramienta principal que usamos en Prescient Assurance cuando hacemos auditorías. Por supuesto, Secureframe tiene cientos de integraciones y piezas de automatización que son parte de ese proceso, como llamadas de API y verificaciones. Por ejemplo, si conectas tu entorno de AWS, la plataforma Secureframe consultará tu entorno de AWS para encontrar una serie de diferentes configuraciones. Confiamos en Secureframe para hacer ese tipo de trabajo por nosotros.
2. ¿Cómo se mide el cumplimiento con el GDPR? Para una empresa con presencia global, ¿qué medidas específicas podemos tomar?
Steve: Voy a comenzar respondiendo preguntas sobre GDPR con una nota importante: Los estándares de privacidad, como GDPR, CCPA, HIPAA, los estándares de privacidad de Canadá y otros estándares de privacidad regulados por el gobierno no tienen un organismo rector que defina lo que significa cumplir con estos estándares.
Cuando hacemos una auditoría SOC 2 o una auditoría ISO 27001, por ejemplo, hay un organismo rector que dice lo que significa cumplir y define los estándares por los cuales debe hacerse una auditoría. No existe tal cosa para el GDPR.
Lo que eso significa efectivamente es que el cumplimiento con el GDPR se reduce a la opinión del auditor o, en muchos casos, a la opinión de la empresa que dice que cumple con ese estándar. Entonces, cuando preguntas ¿qué se necesita para cumplir con el GDPR? La respuesta es lo que creas que se necesita, porque no hay nadie que diga que no cumples con el GDPR. A menos, claro, que tengas una brecha significativa de privacidad y un organismo regulador de la UE te multe por no cumplir.
Así que primero quería dejar claro que cuando hacemos una declaración de cumplimiento para un estándar de privacidad como el GDPR, es nuestra opinión y estamos siguiendo principios de auditoría generalmente aceptados para cómo llevamos a cabo esa auditoría.
En Prescient Assurance, hemos desglosado los diversos controles de tecnología y gobernanza que están definidos en la legislación del GDPR y los hemos aplicado a esas piezas de legislación. Hay varias formas de hacerlo. Secureframe tiene su mapeo de controles, por ejemplo. También puedes mirar la ley en sí y lo que te pide que hagas. La principal cosa a recordar sobre los controles de privacidad en general es que requieren transparencia. Requieren que definas claramente lo que haces y por qué lo haces, si compartes datos con alguien, con quién los compartes, y requiere que obtengas consentimiento de cualquier persona cuyos datos recopiles.
Así que las principales cosas a recordar sobre el cumplimiento del GDPR es saber lo que haces y por qué lo haces, y ser muy claro y transparente sobre ello. Esa es la forma principal en que medimos el cumplimiento del GDPR.
Lecturas recomendadas
Una lista de verificación de 17 pasos para el cumplimiento del GDPR y mantener los datos personales seguros
3. ¿Cómo se relaciona el GDPR con otros estándares de privacidad?
La ley de privacidad de California, por ejemplo, está muy alineada con el GDPR de la UE. La Ley de Protección de Información Personal y Documentos Electrónicos (PIPEDA) de Canadá también es muy similar.
Las principales diferencias son burocráticas. El GDPR tiene requisitos específicos relacionados con la UE, como tener una presencia en la UE, tener una persona en la UE que sea el oficial de privacidad designado, definir los datos personales como la información personal de los residentes de la UE, ese tipo de cosas.
En el amplio espectro de los requisitos, son aproximadamente los mismos. Así que de nuevo, la transparencia, claridad y consentimiento son las cosas principales.
4. ¿Qué puede esperar una organización de una auditoría por primera vez?
Steve: Cuando pasas por una auditoría por primera vez, una de las cosas más importantes a observar y esperar es que puede que no estés al cien por cien en cumplimiento. Puede haber cosas que no hayas hecho o que aún estén en progreso.
En general, las firmas de auditoría deben tener en cuenta la madurez de tu programa de seguridad y cumplimiento y los riesgos que se aplican a tu organización. Por ejemplo, generalmente es de bajo riesgo no tener todos los detalles de tu programa completamente documentados, pero sería generalmente de alto riesgo no tener un control técnico que evite que los datos se expongan a Internet. Así que cuando hacemos auditorías, se supone que debemos tener en cuenta ese tipo de riesgo.
Las deficiencias menores, como que tu documentación no esté completamente completa, generalmente son aceptables para tener en tu informe. Muchas personas vienen a la auditoría con la idea de que quieren tener un cien por cien de cumplimiento. No quieren que se noten deficiencias en su informe, y eso no es necesariamente el mejor enfoque.
El mejor enfoque es tomar lo que estás haciendo, asegurarte de que lo que estás haciendo sea maduro, repetible y bien documentado, y luego a partir de ahí preocuparte por las cosas que aún no estás haciendo. Puedes trabajar en conjunto con tu auditor y con los equipos de cumplimiento y soporte al cliente de Secureframe para resolver cualquier pregunta sobre cosas que aún necesites hacer.
5. ¿Es cierto que el auditor puede encontrar algunas áreas de oportunidad o mejora y tener una conversación con la empresa que está siendo auditada para que puedan hacer esos ajustes durante el período de auditoría?
Steve: Eso es absolutamente correcto. En particular, nuestra postura en Prescient Assurance es que nos gusta estar involucrados en esas conversaciones lo antes posible. Muchas veces nos hemos involucrado en auditorías en las que una organización acude a nosotros pensando que están completamente listos para la auditoría y se tomaron decisiones que no fueron las mejores decisiones basadas en su situación, y podríamos haberles ahorrado algunos dolores de cabeza si hubiésemos estado involucrados desde antes.
Nuestro objetivo es que tengas éxito en una auditoría. Cuanto antes podamos involucrarnos, antes podremos asegurarnos de que todos estamos en la misma página y que todos tenemos las mismas expectativas en torno a los controles. También podemos responder preguntas y ayudar más, lo cual es mejor para nosotros y para ti.
6. ¿Qué son los Planes de Acción y Hitos (POA&Ms) y los Planes de Seguridad del Sistema (SSPs)?
Steve: Esa terminología es específica para las auditorías gubernamentales, para NIST y FedRAMP y esos tipos de programas. La idea detrás de estos documentos es esencialmente que la expectativa de la mayoría de las auditorías es que no vas a ser perfecto en el momento de la auditoría. La expectativa es que se identifiquen brechas. Y cuando identificas una brecha, esta se agrega a algún tipo de registro de riesgos y hay algún tipo de plan de acción correctiva en torno a ese elemento en particular. Eso es lo que es un POA&M. Es un plan de acción y hitos para abordar una brecha que se ha identificado.
El SSP es más como un documento de descripción del sistema para SOC 2. Estas son cosas que definen el alcance y definen los controles alrededor de tu sistema.
7. Con el fin de cumplir con todos los estándares de los Criterios de Servicios de Confianza, ¿qué preparativos debemos hacer? ¿Puedes darme un formulario de autoevaluación para SOC 2 Tipo II?
Steve: Esa es una de las cosas en las que sobresale Secureframe. La propia plataforma de Secureframe es ese proceso de preparación y autoevaluación a medida que avanzas en las tareas de preparación y las guías que se proporcionan en la plataforma. La plataforma te va a pedir que conectes sistemas y que configures los sistemas de forma segura. Te va a pedir que te asegures de que tienes registros de entrenamiento en seguridad, que has incorporado adecuadamente a los empleados, todas esas cosas.
Ese es el principal caso de negocio para usar una herramienta como Secureframe: A medida que avanzas en esos chequeos y ese tablero comienza a volverse completamente verde, te brindará esa tranquilidad que estás buscando para asegurarte de que estás listo.
8. Actualmente estoy realizando un análisis de brechas ISO 27001:2013 interno para la empresa en la que trabajo. ¿Qué preguntas debo esperar de los auditores en relación a los estándares ISO 27001 para una empresa de 300 personas?
Steve: Esa es una pregunta que solo puedo responder brevemente en este momento. Hay aproximadamente 150 controles, y un auditor te va a preguntar sobre cada uno de ellos.
Lo que diré es que si miras las cláusulas 4-9 en el estándar, te dará una idea del programa general de seguridad de la información que se supone debes tener. Las cláusulas son la pieza de gobierno de esto, y luego los controles del apéndice son más los detalles técnicos sobre cómo logras las cosas en las cláusulas.
Entonces, en un nivel alto, si te enfocas en las cláusulas y te aseguras de que estás haciendo las cosas que las cláusulas están definiendo, en general deberías estar bien.
La guía definitiva para ISO 27001
Si estás buscando construir un SGSI conforme y lograr la certificación, esta guía tiene todos los detalles que necesitas para comenzar.
9. ¿Cómo funciona la monitorización continua dentro de Secureframe?
Steve: Como mencioné anteriormente, Secureframe tiene varios componentes técnicos. Realiza verificaciones diarias, semanales y mensuales contra tus diversos controles. Así que está utilizando automatización, donde la automatización es práctica, para validar que tus controles se mantengan conformes. También hay alertas dentro de Secureframe que te ayudan con tareas más orientadas al proceso. Así que podrías recibir una alerta que diga que una pieza de evidencia que subiste para la auditoría del año pasado ha expirado y necesitas subir nueva evidencia para la auditoría de este año.
Otra característica importante de la monitorización continua de Secureframe es la capacidad de designar a un responsable de prueba para todas las pruebas requeridas, que han sido mapeadas a los diversos controles que las empresas deben implementar y asegurarse de que operen de manera continua.
La plataforma luego te da la capacidad de delegar esas pruebas y establecer fechas de vencimiento, frecuencias y ventanas de tolerancia para esas pruebas. Esto te permite rastrear quién necesita hacer qué, cuándo y cómo.
10. ¿Cómo aconsejas involucrar y conseguir que los ejecutivos compren la importancia del cumplimiento de la seguridad y la privacidad para que finalmente se conviertan en defensores?
Steve: Esa es una pregunta muy importante. Si no tienes un buen apoyo de liderazgo ejecutivo para cualquier tipo de iniciativa de seguridad, ya sea una iniciativa de cumplimiento o técnica, es muy difícil lograr cosas y conseguir que las personas en la organización lo prioricen. Necesitas la ayuda del equipo ejecutivo para lograrlo.
Lo que he encontrado útil en mi carrera al trabajar con ejecutivos de nivel C en industrias altamente reguladas, en términos generales, es decir: “Oye, si no hacemos esto, los reguladores van a venir y vas a pagar multas por no cumplir”. Así que, si estás en el cuidado de la salud y necesitas cumplir con HIPAA, tienes ese enfoque de zanahoria y palo que puedes tomar y decir si cumplimos, estaremos más seguros y si un regulador viene y revisa nuestros sistemas, no vamos a meternos en problemas.
Si no estás en una industria regulada y estás tratando de conseguir apoyo para iniciativas de seguridad y cumplimiento, lo que encuentro útil es mirar un incidente de seguridad que haya estado en las noticias recientemente y que esté en la misma industria en la que estás. Un buen ejemplo es la reciente violación significativa de datos de Uber.
Una de las cosas que hicimos en Prescient Assurance es analizar esa violación de datos y analizar cuáles fueron los controles de auditoría que analizamos cuando evaluamos a alguien que podría haberlo prevenido. Así que preguntamos, ¿qué si Uber hubiera pasado por una auditoría con nosotros? ¿Cuáles habrían sido los controles que habríamos evaluado? ¿Y cómo esos controles habrían prevenido esta violación? Pudimos identificar cinco controles diferentes en cinco puntos diferentes en ese proceso donde, si siquiera uno de esos controles hubiera sido efectivo y estuviera en su lugar para Uber, habrían prevenido esa violación de datos.
Así que es realmente efectivo cuando vas a los ejecutivos, y a los CEOs en particular, y les dices: “¡Oye, mira! Estos chicos son como nosotros, y están experimentando mucho dolor público en este momento porque no hicieron este proceso. Aquí están las áreas en las que necesitamos enfocarnos para asegurarnos de no tener el mismo problema que ellos tuvieron.”
También puedes asegurar su apoyo simplemente correlacionando la oportunidad de cerrar tratos, atraer nuevos clientes y aumentar los ingresos y, en última instancia, el negocio. Casi todos los clientes que tenemos que están realizando una auditoría de primer año lo están haciendo porque un cliente con el que están tratando de cerrar un trato les ha dicho que deben hacerlo.
11. ¿Puede comentar sobre la diferencia en el esfuerzo para que una empresa logre la certificación ISO 27001 e ISO 27018?
Steve: Esto depende de si la empresa ya ha sido certificada con la ISO 27001 o no.
Todos los estándares ISO están orientados a los procesos. Así que el propósito de los estándares ISO, el proceso de auditoría y el cumplimiento es tener procesos maduros y documentados. Si ya has pasado por un proceso de certificación ISO 27001, deberías tener buenos procesos documentados sobre cómo mantienes el cumplimiento y la seguridad de tu SGSI. Así que eso reduce significativamente la carga para lograr cualquiera de los otros estándares de la serie ISO 27000.
Lo principal en términos de nivel de esfuerzo es cuánta documentación necesitarás producir y el nivel de madurez que esperas que esos procesos tengan. Así que en muchos casos, cuando vamos a hacer una auditoría ISO, tenemos personas que tienen muchos de los procesos correctos en su lugar, pero no hay documentación que diga que así es como lo hacemos correctamente.
Eso es realmente en lo que hay que enfocarse cuando te estás preparando para ISO: mira los procesos que se requieren, asegúrate de que esos procesos estén bien documentados y asegúrate de que puedes demostrar que estás siguiendo esos procesos de manera consistente.
Lecturas recomendadas
La guía definitiva de la serie ISO 27000
12. ¿Cuál cree que podría ser la evolución de la seguridad, la auditoría y la integración con el proceso de cumplimiento?
Permítanme comenzar explicando el modelo tradicional de cómo hacer una auditoría. Comienza con un largo y exhaustivo proceso de entrevistas. El auditor llamaría a las personas a una sala de conferencias, una por una, y les haría una serie de preguntas. Ese proceso continuaría tanto tiempo como fuera necesario, hasta que los auditores estuvieran satisfechos de haber interrogado a todos. Luego seguirían con una serie de solicitudes de documentos. Luego tomaría meses revisar todas esas notas de entrevistas de auditoría y todos esos documentos de auditoría. Habría mucho seguimiento como: "Este documento que me diste no está del todo bien, y necesito uno diferente". Por lo tanto, tomaría meses determinar si una empresa cumplía o no con el estándar que se estaba analizando.
Lo que ves en la evolución del espacio de seguridad en general es que ha habido más empuje para alejarse de lograr esa seguridad y cumplimiento puntuales para querer estar seguros todo el tiempo. Por eso las plataformas de cumplimiento como Secureframe son el futuro.
Ellos monitorean continuamente para que sepas si estás cumpliendo o no en todo momento. Cuando un auditor viene y dice: Muy bien, muéstrame que estás haciendo X, Y y Z, sabes exactamente a dónde ir para encontrar esas piezas de información y puedes mostrárselas muy rápidamente. No solo es más fácil para ti saber si estás cumpliendo o no, sino que también es más fácil para el auditor.
Como auditor, es mucho más fácil usar una plataforma como Secureframe porque puedo entrar y ver qué está cumpliendo y revisar un montón de documentos. No tengo que hacerte ninguna pregunta, y no tengo que hacer un montón de solicitudes de documentos. Así que ahorra a todos mucho tiempo y molestias, y creo que esta es la dirección en la que va la auditoría.
Creo que cualquier empresa en este punto que no esté buscando una herramienta GRC para medir su cumplimiento, tomar sus controles y poder mapearlos a múltiples estándares de auditoría, se va a quedar atrás y experimentar dolores.
Porque hoy en día, la mayoría de las empresas buscan no solo cumplir con SOC 2 sino también con GDPR y CCPA y otros marcos. Por lo tanto, buscan elegir un conjunto de controles y hacer que esos controles sean realmente buenos, maduros y bien documentados para que los puedan aplicar a cualquier estándar de auditoría que necesiten. Esto funciona porque la mayoría de los marcos se superponen en un ochenta a noventa por ciento. Así que si cumples fuertemente con SOC 2, probablemente cumplirás fuertemente con ISO y otros estándares. Esa es la dirección en la que veo que se mueve la industria del cumplimiento.
13. ¿Cómo priorizo mi tiempo para estar listo para una auditoría y por dónde debería empezar?
En cualquier proceso de auditoría, recomiendo encarecidamente comenzar con sus políticas. Asegúrese de que sus políticas realmente reflejen lo que hace, no lo que cree que el estándar quiere que diga la política. Nuevamente, es mucho mejor tener procesos buenos, maduros y bien documentados que sean reales que decir algo que cree que debe pero que en realidad no hace.
Luego, asegúrese de que sus empleados comprendan las políticas y sus responsabilidades y tareas relacionadas con esas políticas. Luego, asegúrese de que realmente estén siguiendo sus políticas. Por ejemplo, si una de sus políticas dice que va a hacer evaluaciones de desempeño trimestrales, haga evaluaciones de desempeño trimestrales y proporcione alguna documentación.
Y finalmente, priorice los controles técnicos. Asegúrese de que su pila tecnológica sea segura, que los procesos alrededor de su tecnología sean seguros.
Así que ese es el proceso de tres pasos que recomendaría: haga bien sus políticas, asegúrese de que su personal esté completamente alineado con esas políticas y luego asegúrese de que su pila tecnológica sea sólida.
Únase a nuestro próximo seminario web de Secureframe Expert Insights
Organizamos seminarios web de Secureframe regularmente para abordar los mayores puntos críticos de seguridad, privacidad y cumplimiento que escuchamos de prospectos, clientes y nuestros expertos internos en cumplimiento. Encuentra próximos seminarios web y grabaciones a demanda de seminarios pasados en nuestra biblioteca de recursos de cumplimiento.