¿Cómo pueden las startups cumplir con los requisitos de segregación de funciones y control de acceso?

¿No estás seguro de qué marcos de seguridad y privacidad necesita cumplir tu organización para tu industria y clientes? ¿Te preguntas cómo determinar el alcance de tu auditoría? ¿Buscas mejores prácticas para implementar nuevas políticas o procesos de seguridad? Nuestra serie Secureframe Office Hours | Pregunta a un Experto está diseñada para ti, específicamente para que obtengas información, mejores prácticas y respuestas a tus preguntas.

Nuestra serie Secureframe Office Hours | Pregunta a un Experto es un foro abierto para que los asistentes puedan resolver sus preguntas sobre seguridad, privacidad y cumplimiento con uno de nuestros expertos en cumplimiento internos y ex auditores, y para escuchar lo que otras organizaciones enfocadas en la seguridad están pensando y preguntando.

La segunda sesión, celebrada el jueves 3 de noviembre, tuvo como invitado a Jonathan Leach, CISSP, CCSFP, CCSK. Jonathan es un ex auditor y consultor de seguridad de la información con más de una década de experiencia ayudando a las empresas a implementar y mejorar su postura de seguridad. Ahora Jonathan ayuda a los clientes de Secureframe a lograr el cumplimiento con marcos como SOC 2, ISO 27001, GDPR y HIPAA.

Durante la sesión de preguntas y respuestas en vivo de 30 minutos, Jonathan respondió a preguntas sobre temas que van desde la monitorización continua hasta cómo poner en marcha un nuevo programa de cumplimiento. Si te lo perdiste, recapitulamos algunas de sus respuestas a continuación.

1. ¿Qué estándares de seguridad recomiendas para las empresas SaaS?

Jonathan: Mi primera recomendación es ISO 27001. ISO 27001 es un estándar reconocido globalmente, y no solo establece las políticas y procedimientos de seguridad fundamentales, sino un verdadero sistema de gestión de la seguridad de la información que se mejora continuamente.

Es uno de los mejores marcos fundamentales que puedes implementar. Luego puedes profundizar en algunos de los estándares más específicos de la serie ISO 27000 y lograr certificaciones adicionales para mostrar a tus clientes que estás haciendo un esfuerzo adicional para asegurar su información.

Si estás en Estados Unidos, SOC 2 también es un estándar muy reconocido y tiene mucho en común con ISO 27001. Ambos marcos te darán un conjunto sólido de principios de seguridad fundamentales para proteger tu negocio y a tus clientes.

2. ¿Cómo pueden las organizaciones pequeñas (menos de 5 empleados) cumplir con los requisitos de segregación de funciones y control de acceso necesarios para lograr la certificación?

Jonathan: Esta pregunta surge con bastante frecuencia en empresas con pequeños equipos de desarrolladores. Están tratando de estar a la altura de empresas más grandes y lograr certificaciones que suelen ser vistas por empresas más grandes con un equipo de desarrollo ya establecido y controles de seguridad ya en lugar.

Hay algunas soluciones que te permitirán tomar decisiones informadas por riesgos sobre el control de acceso, la segregación de funciones, la doble autorización y la revisión de código adecuada.

El primer paso tiene que ver con la documentación, que es un principio clave de ISO 27001. Cuando se trata de control de acceso con un número limitado de personas que pueden tener (y necesitan) acceso a información sensible y herramientas de desarrollo con la capacidad de implementar actualizaciones, el primer paso es estandarizar los tipos de cambios para limitar la cantidad de revisiones y pruebas en profundidad para cambios de bajo riesgo. Puedes identificar tipos de cambios de bajo impacto que requieren una revisión y aprobación mínimas, pero que aún siguen tantas pruebas e inspecciones automatizadas como sea necesario.

La segunda pieza es la autorización dual para cambios más grandes y de mayor impacto. El solicitante del cambio es diferente del aprobador, o en este caso, al menos requiere revisión de otro recurso calificado antes de la aprobación.

Secureframe puede ayudarte a crear y publicar la documentación necesaria, así como confirmar que cualquier cambio o personalización necesaria esté en línea con los requisitos de ISO. Nos gusta pensar en nosotros mismos como una extensión de tu equipo, por pequeño o grande que sea, y estamos encantados de responder cualquier pregunta que puedas tener sobre la documentación.

3. ¿Cómo puedo completar los cuestionarios de seguridad más rápido?

Jonathan: Esto me recuerda a mis días de vCISO ayudando a las empresas a responder todas estas RFP y cuestionarios. Puede ser realmente tedioso tener que responder a tantas solicitudes diferentes y responder a docenas de variaciones de la misma pregunta.

Nuestros equipos de ingeniería y producto han creado un increíble motor de inteligencia artificial con Cuestionarios Secureframe. Con unos pocos ejemplos de cuestionarios respondidos previamente, la IA puede crear una línea base y completar RFPs y cuestionarios no respondidos con un alto grado (90%+) de precisión. Puedes entrar y confirmar o editar las respuestas antes de compartir el cuestionario completado con tu cliente, lo que ayuda a la IA a aprender y aumentar la precisión de las respuestas futuras.

4. ¿Cómo sé si mis políticas contienen toda la información requerida para cumplir? ¿Incluyen las plantillas de políticas de Secureframe todo lo necesario?

Jonathan: Todas las políticas preaprobadas y aprobadas que proporcionamos están redactadas intencionalmente para ser tan amplias como sea necesario para cubrir los requisitos y, al mismo tiempo, ser fácilmente personalizables cuando sea necesario. Señalamos secciones específicas que necesitan una revisión o personalización adicional antes de la publicación para tener el equilibrio adecuado de preparación y aplicabilidad a tu entorno específico.

5. Nuestra organización necesita cumplir con GDPR, pero ha sido difícil dedicar tiempo al proceso de cumplimiento. ¿Dónde deberíamos comenzar?

Jonathan: GDPR puede ser desalentador, particularmente porque es una ley. Secureframe lo hace tan fácil como sea posible para ti con nuestros propios expertos en cumplimiento interno y exauditores para que sepas sin la menor duda que estás haciendo todo lo necesario para proteger los datos de los ciudadanos de la UE.

Aunque el cumplimiento de GDPR se basa más en políticas, documentos y en el cumplimiento de requisitos legales, ayudamos proporcionando las políticas y procedimientos que necesitará para demostrar el cumplimiento si opta por una auditoría (aunque no hay una “auditoría” o “certificación” oficial requerida para GDPR).

6. ¿Qué deben hacer las entidades cubiertas y los consultorios médicos para tener un cifrado compatible con HIPAA?

Jonathan: Hemos ayudado a muchas organizaciones a implementar de manera efectiva las políticas y procedimientos que se requieren para estar cumpliendo con HIPAA. Y no solo marcando casillas en nombre de HHS, sino en nombre de los pacientes y sujetos de datos cuya información de salud protegida usted tiene la responsabilidad de salvaguardar, ya sea una entidad cubierta o un asociado de negocios. El cifrado es solo una parte de eso.

Se han producido divulgaciones no autorizadas debido a que los datos no se cifraron en reposo. Alguien deja una computadora portátil en un coche o desatendida en una oficina y alguien la roba. Cifrar esa información para asegurarse de que, si alguien obtiene acceso físico no autorizado a un dispositivo, no pueda ver ni acceder a datos protegidos.

7. ¿Cómo funciona la monitorización continua de Secureframe?

Jonathan: La monitorización continua realmente brinda a nuestros clientes la tranquilidad de saber que nuestra plataforma buscará brechas en el cumplimiento, alertará a los clientes y les mostrará lo que necesitan corregir y cuándo.

Esto funciona de varias maneras, principalmente designando y asignando propietarios de pruebas que se asignan a todos los diferentes controles de los diferentes marcos. Entonces, una persona específica en un departamento específico es responsable de pruebas específicas, las cuales están relacionadas con controles específicos.

Puede establecer frecuencias para cada prueba, por lo que si se trata de una tarea recurrente como revisiones de acceso trimestrales o pruebas anuales de pines, el propietario del control recibe un recordatorio.

Secureframe elimina mucho estrés del proceso. Primero, saber lo que necesita hacer para cumplir, y luego saber con certeza quién es responsable de qué y cuándo, para mantenerse en conformidad.

8. Desde la perspectiva del cumplimiento de PCI DSS, ¿existen criterios que descarten a Microsoft Bitlocker como una herramienta eficaz de cifrado de discos cuando no hay un directorio activo disponible para almacenar la clave de recuperación?

Jonathan: No estoy familiarizado con ningún requisito de PCI DSS que descarte la efectividad de Bitlocker. Pero si no hay una clave de recuperación disponible en un directorio activo, y siempre que haya alguien con acceso autorizado que pueda recuperar esa clave de manera segura si es necesario, no debería ser un problema.

El único problema que he visto con Bitlocker es con Microsoft Home Windows Edition. Eso requeriría factores de mitigación adicionales para asegurar que los datos sensibles nunca lleguen al nivel del endpoint y que estén almacenados de manera segura en otro lugar donde se pueda aprovechar una encriptación efectiva.

9. ¿Cómo defino el alcance de mi auditoría?

Jonathan: Secureframe también ayuda con esto. Definir el alcance de un producto, herramienta o sistema individual que contiene información sensible puede complicarse, ya que a menudo se extienden a sistemas de soporte.

Siempre recomiendo, siempre que sea posible, incluir a toda la organización en el alcance de la auditoría. De esa manera, sabes que estás seguro de arriba a abajo. Cada vez que lanzas nuevos productos o servicios, sabes que van a cumplir con los mismos requisitos.

También está el elemento humano. Si puedes incluir a todos en la organización, no necesitas adivinar quién debe ser incluido en el alcance para las revisiones de políticas y la capacitación en seguridad.

A veces, ese alcance más amplio es más fácil decirlo que hacerlo desde una perspectiva presupuestaria. Siempre discutimos el alcance de la auditoría durante el proceso de incorporación con los múltiples recursos dedicados que obtienes cuando te conviertes en cliente de Secureframe.

Únete a nuestro próximo seminario web de Secureframe Expert Insights

Organizamos seminarios web de Secureframe regularmente para abordar los mayores puntos de dolor en seguridad, privacidad y cumplimiento que escuchamos de posibles clientes, clientes y nuestros expertos internos en cumplimiento. Encuentra seminarios web próximos así como grabaciones bajo demanda de los anteriores en nuestra biblioteca de recursos de cumplimiento.