Resumen de Secureframe Office Hours: Respuestas a sus preguntas sobre recopilación de pruebas, capacitación en seguridad y auditorías anuales
¿No está seguro de con qué marcos de seguridad y privacidad necesita cumplir para su industria y clientes? ¿Se pregunta cómo delimitar su auditoría? ¿Busca mejores prácticas para implementar nuevas políticas o procesos de seguridad? Nuestra serie de Secureframe Office Hours | Pregúntele a un Experto está diseñada para usted.
Secureframe Office Hours | Pregúntele a un Experto es un foro abierto para que los asistentes tengan sus preguntas específicas sobre seguridad, privacidad y cumplimiento respondidas por uno de nuestros expertos internos en cumplimiento y ex auditores.
La primera sesión, realizada el jueves 20 de octubre, contó con la participación de Rob Gutierrez, CISA, CSSK. Rob es un ex auditor con una amplia experiencia en FedRAMP, auditorías de estados financieros y FISMA. Ahora Rob comparte su conocimiento en auditoría y seguridad de la información con los clientes de Secureframe para ayudarlos a lograr el cumplimiento y construir posturas de seguridad y privacidad robustas.
Durante la sesión de preguntas y respuestas en vivo de 30 minutos, Rob respondió a más de una docena de preguntas sobre temas que van desde la capacitación en seguridad de los empleados hasta el futuro de las normas globales de ciberseguridad. Si se lo perdió, resumimos algunas de sus respuestas a continuación.
1. ¿Qué tipo de pruebas debería recopilar por adelantado o durante el período de observación de la auditoría? No tengo un proceso bien establecido y me gustaría entender las mejores prácticas.
Rob: El tipo más importante de pruebas que se deben recopilar durante una ventana de auditoría son los elementos que van a ser “muestreados” por el auditor. Esto incluye cosas como tickets de nuevas contrataciones/terminaciones, solicitudes de cambio, evaluaciones de desempeño, esencialmente cualquier cosa que sea un proceso repetitivo. Esos son los elementos de los cuales el auditor pedirá ejemplos al final del período de observación. Secureframe lo guía a través de su viaje de preparación para la auditoría en términos de saber lo que necesita y recopilarlo por usted.
2. Necesitamos que nuestros empleados completen la capacitación anual en seguridad para nuestra certificación de cumplimiento. La mayoría de nuestro equipo ya ha hecho su capacitación — ¿cómo sabemos cuándo expira esa capacitación?
Rob: Si usa Secureframe, puede verificar en la plataforma ya que esa es una característica que hemos incorporado. Pero en términos generales, querrá asegurarse de que la capacitación de sus empleados se haga dentro de su ventana de auditoría. Si tiene una ventana de auditoría de 12 meses, asegúrese de que la capacitación de los empleados se haya realizado durante ese período de 12 meses. Si está utilizando una herramienta de capacitación, debe indicarle cuándo se completó la capacitación y ofrecer la capacidad de enviar recordatorios a los empleados que no han completado su capacitación.
Definitivamente es una mejor práctica que los empleados completen la capacitación en seguridad anualmente y asegurarse de que el contenido de la capacitación esté actualizado, sea relevante y aplicable a sus empleados.
3. ¿Hay recursos que recomiende para ayudar a crear un plan de continuidad del negocio?
Rob: La plataforma Secureframe ofrece una buena plantilla para un plan de continuidad del negocio. Además, recomendaría crear un grupo de trabajo en su organización con las personas que estarían involucradas y trabajando en algunos de los diferentes detalles y procedimientos que son importantes para el BCP.
Realizar un simulacro de recuperación ante desastres también puede ayudar a su organización a determinar qué debería incluirse en el BCP. Cualquier lección aprendida de un simulacro de recuperación ante desastres debe ser añadida al BCP de aquí en adelante.
4. ¿Prevé un estándar armonizado de ciberseguridad que todos los países reconozcan?
Rob: Potencialmente, sí. En este momento, muchos países están creando su propia legislación, pero considerando que hay una legislación completa para la UE (GDPR), me sorprendería que otros continentes o aliados (i.e. OTAN, TLCAN, etc.) no creen su propio tipo de legislación adicional para estar unidos en sus esfuerzos cibernéticos.
5. ¿Cuál es la mejor manera de gestionar las auditorías anuales?
Rob: Es fácil para mí recomendar Secureframe como una excelente manera de gestionar las auditorías anuales. También recomendaría realizar reuniones trimestrales entre las partes interesadas pertinentes, incluidos el personal de seguridad y cumplimiento, solo para asegurarse de que todo su personal y procesos hayan cumplido con las normativas durante el período de 12 meses.
6. ¿Qué ajustes se pueden hacer a las pruebas de cumplimiento cuando son prohibitivamente caras para una startup (como software de prevención de pérdida de datos, monitoreo de amenazas, pruebas de penetración, etc.)?
Rob: Depende de las pruebas, pero generalmente hay soluciones o implementaciones alternativas que pueden ser más rentables para las startups. SOC 2 puede ser un marco bastante maleable o flexible en comparación con otros marcos, por lo que trabajamos con clientes de todos los tamaños y entornos de TI para determinar las mejores soluciones de cumplimiento para sus startups. Por ejemplo, existen herramientas gratuitas de escaneo de vulnerabilidades externas (como OWASP ZAP) que se pueden utilizar.
Específicamente para los elementos que mencionaste:
- DLP es bueno tenerlo, pero no es un requisito obligatorio.
- Algunos Proveedores de Servicios de Configuración (CSP) tienen herramientas de detección de amenazas inherentes y/o hay algunas opciones rentables como Wazuh.
- Las pruebas de penetración, si se realizan a través de su auditor, a veces pueden incluirse en su precio, y/o al menos tiene un proceso más eficiente y simplificado al obtener la prueba de penetración de su auditor en lugar de otro proveedor externo.
7. ¿Qué estrategias o mejores prácticas puede compartir para pequeñas empresas (menos de 15 empleados)?
Rob: Dado que a menudo hay tantas prioridades en competencia en startups, y el cumplimiento generalmente no es una prioridad [en comparación con el ajuste del producto/mercado y el crecimiento de clientes e ingresos], recomendaría establecer políticas que una empresa pequeña pueda implementar y seguir fácilmente.
Además, para las pequeñas empresas que recién comienzan con SOC 2, les aconsejamos que opten primero por su SOC 2 Tipo I, ya que es una buena manera de “probar el agua” y aclimatarse con el cumplimiento.
Una cosa buena de trabajar con Secureframe es que nuestros equipos de éxito del cliente y cumplimiento trabajan muy de cerca con nuestros clientes para ayudarlos a agilizar eficientemente su proceso de preparación de cumplimiento y auditoría. Ayudamos a empresas tan pequeñas como una persona, por lo que nuestro apoyo de asesoría y consultoría realmente ayuda mucho a que las startups más pequeñas estén listas para auditar y cumplir.
Además, es importante tener en cuenta que ciertos auditores pueden no requerir una prueba de penetración para su SOC 2 Tipo I. Generalmente, esto se basa en su entorno. Si tiene muchos vectores web abiertos, es más probable que el auditor requiera una prueba de penetración.
8. ¿Qué pasos deben tomar las startups en etapa temprana para sentar las bases de una seguridad y cumplimiento de clase mundial?
Rob: Lo primero que diría es establecer e implementar políticas que los empleados puedan seguir y cumplir fácilmente.
Lo siguiente es configurar su stack tecnológico para respaldar sus funciones comerciales críticas para la misión, mientras también cumplen con los requisitos de control de SOC 2. Para muchos controles, hay diferentes formas de cumplir con la intención del control. Los equipos de éxito del cliente y cumplimiento de Secureframe frecuentemente trabajan con los clientes para determinar cómo las configuraciones y las implementaciones de control pueden cumplir con los requisitos e intenciones de un control dado.
También ayuda usar herramientas que tienen características integradas que pueden ayudar con el cumplimiento, como AWS, GitHub o Azure. Todos ellos tienen características y servicios que pueden ayudar a facilitar mucho el cumplimiento de su empresa.
Únase a nuestras próximas Secureframe Office Hours | Pregunte a un Experto
Estamos organizando regularmente Secureframe Office Hours durante los próximos meses. Únase a nuestra próxima sesión el jueves 3 de noviembre de 10:30-11:00 AM PST/1:30-2 PM EST con el experto en seguridad, privacidad y cumplimiento Jonathan Leach CISSP, CCSFP, CCSK, para obtener respuestas inmediatas a sus preguntas específicas. Regístrese hoy para reservar su lugar.