Preguntas frecuentes

Necesitas cumplir con los marcos de seguridad y privacidad como SOC 2, ISO 27001, PCI DSS, HIPAA, GDPR y NIST CSF para generar confianza con los clientes y cerrar negocios más rápido. Pero no tienes cientos de horas para dedicar a trabajo manual.

Ahí es donde entra en juego la solución de automatización de cumplimiento todo en uno de Secureframe. Junto con nuestra experiencia interna inigualable en cumplimiento, nuestra plataforma ha ayudado a miles de clientes a obtener y mantener el cumplimiento con los estándares globales más rigurosos de manera fácil y rápida. De esa manera, pueden concentrarse en lo que importa: hacer crecer a sus clientes, negocios e ingresos.

En nuestro seminario web de Ideas Expertas de Secureframe celebrado el jueves 12 de enero, el experto en cumplimiento Jonathan Leach, CISSP, CCSFP, CCSK y el gerente sénior de ingeniería de soluciones Kyle Gregoire mostraron lo fácil que es cumplir en semanas, no meses, con nuestra plataforma de automatización.

Si te lo perdiste, mira la repetición del video bajo demanda. También recapitulamos sus ideas y consejos de expertos para lograr una seguridad y privacidad continuas a continuación.

¿Qué es Secureframe?

Secureframe es la plataforma líder de automatización de cumplimiento todo en uno. Ayudamos a las organizaciones a lograr y mantener el cumplimiento continuo con los estándares globales de seguridad y privacidad más rigurosos, incluyendo SOC 2, ISO 27001, HIPAA, PCI, GDPR, CCPA, NIST, y otros.

Lo hacemos ofreciendo soluciones de gobierno, riesgo y cumplimiento de clase mundial, como monitoreo continuo, gestión de personal y proveedores, gestión de políticas empresariales, informes de preparación, cuestionarios de seguridad, capacitación de cumplimiento propia, y más.

Y contamos con más de 30 expertos en cumplimiento y ex auditores a tiempo completo en nuestro personal que están aquí para apoyar a nuestros clientes en cada paso del camino hacia el cumplimiento, ayudando a responder preguntas de los auditores y proporcionando orientación para que los clientes puedan obtener y mantener el cumplimiento con los marcos que son importantes para sus negocios.

Para mostrar cómo las organizaciones usan la plataforma Secureframe para obtener y mantener el cumplimiento, Kyle Gregoire proporcionó una demostración de la plataforma de automatización de cumplimiento todo en uno de Secureframe, desde la incorporación hasta la automatización de cuestionarios de seguridad. Luego, él y Jonathan respondieron preguntas sobre seguridad, privacidad y cumplimiento.

A continuación se muestra una transcripción ligeramente editada de esa demostración y sesión de preguntas y respuestas.

Demostración del Producto Secureframe

La plataforma Secureframe se puede desglosar en tres casos de uso principales.

El primero es utilizar Secureframe como un medio para la incorporación. Puede aprovechar Secureframe para administrar políticas al personal de su organización, rastrear que lean y acepten esas políticas, administrar la capacitación en conciencia de seguridad, iniciar una verificación de antecedentes y luego retener esa evidencia, todo dentro de la plataforma. Así que ya no necesita que la persona que realiza la auditoría utilice múltiples sistemas diferentes, clasifique diversas fuentes de datos y solicite múltiples veces al equipo de recursos humanos que agregue esa evidencia. En cambio, Secureframe automatiza todos los requisitos de seguridad, privacidad y cumplimiento de la incorporación de empleados.

El siguiente caso de uso de la plataforma Secureframe es usarla como una herramienta de análisis de brechas, remediación y monitoreo continuo; elementos comunes de Gobernanza, Riesgo y Cumplimiento (GRC). Con Secureframe, no solo puede entender sus brechas y saber cómo remediarlas, sino que también puede mantener el cumplimiento continuo a través de la automatización e integraciones con las diferentes soluciones tecnológicas, herramientas y aplicaciones que se utilizan en toda su organización.

El tercer caso de uso es permitir que su auditor tenga fácil acceso para revisar toda la evidencia de cumplimiento directamente dentro de Secureframe. Ese es un beneficio realmente importante porque la forma tradicional de someterse a una auditoría es proporcionar evidencia de auditoría directamente a un auditor según la lista de solicitudes de información que proporcionan. Una vez que ha enviado esa evidencia, pasarán mucho tiempo validando la integridad y precisión de los datos. También programarán tiempo con usted para revisarlos. Ese no es el caso con Secureframe. El auditor iniciará sesión en Secureframe y recibirá esa evidencia directamente sin necesidad de solicitarla o reunirse con usted.

Ahora, repasemos algunas de las características que hacen de Secureframe una solución todo en uno para la incorporación de empleados, análisis de brechas, preparación para auditorías y más para ayudarle a mantener una postura sólida de seguridad, privacidad y cumplimiento.

Integraciones

Punto problemático que resuelve esta función: Identificar brechas de seguridad y cumplimiento de privacidad y capturar automáticamente evidencia de cumplimiento de la tecnología, herramientas y aplicaciones que utiliza en su negocio.

Como administrador, tendrá la oportunidad de conectar integraciones durante el proceso de incorporación. Esto desbloquea una enorme cantidad de poder de automatización.

Secureframe se conecta con más de 100 integraciones, una cantidad sin igual en la industria, a servicios ya dentro del núcleo tecnológico de una organización: suites de productividad empresarial, plataformas de recursos humanos, proveedores de servicios en la nube, soluciones MDM, herramientas SSO, herramientas de gestión de cambios, herramientas para desarrolladores como Github y más.

Cada una de estas integraciones dentro de Secureframe está diseñada específicamente. Una de las más poderosas es con su proveedor de servicios en la nube (CSP), como AWS, Azure y Google Cloud Platform (GCP). Dependiendo de la naturaleza de los servicios que proporciona una organización, existe una enorme cantidad de controles y requisitos en torno a las configuraciones de ese CSP, y nuestra plataforma puede recopilar todos esos datos para usted. Las pruebas que realizamos son muy robustas. Dentro de la industria, proporcionamos las pruebas de integración más detalladas relacionadas con los CSP.

Como una solución de seguridad de endpoints, tenemos un Agente Secureframe. Esto no tiene costo para nuestros clientes. Si actualmente no está utilizando una solución MDM para gestionar sus dispositivos, puede usar el Agente Secureframe. No es un reemplazo para una solución MDM, pero permite que la plataforma consulte dispositivos, extraiga esos detalles relevantes y se los muestre en un formato comprensible para que pueda tomar medidas correctivas. También extrae la evidencia necesaria para el auditor.

Con todas estas integraciones, solo recopilamos la evidencia adecuada que es necesaria para la auditoría o el marco que una organización está siguiendo. Todos estos son datos de solo lectura que estamos extrayendo. Es metadatos. Son datos sobre configuraciones. Son datos sobre la fecha de inicio y finalización de los empleados, su dirección de correo electrónico, su puesto. No tenemos la capacidad de sobrescribir datos. No estamos revisando PII y no estamos revisando cosas que no son necesarias para la auditoría. Hacerlo ayuda a reducir el riesgo para nuestros clientes.

Como parte de este proceso, puedes personalizar un correo electrónico invitando al personal a Secureframe con tu logotipo, firma y lenguaje propio para que coincida con tu estilo y procesos de comunicación interna.

Incorporación de empleados

Punto de dolor que resuelve esta función: Crear un flujo de trabajo de incorporación automatizado para que los nuevos empleados completen la capacitación en concienciación sobre seguridad y revisen las políticas.

Cuando el personal que no es administrador recibe una invitación para unirse a Secureframe, se les envía al módulo de incorporación de empleados dentro de nuestra plataforma. Los administradores también pueden personalizar esta experiencia de incorporación agregando políticas, incluyendo una verificación de antecedentes y añadiendo una opción de instalación para el Agente de Secureframe.

Lo que es único de Secureframe es que hemos desarrollado nuestra propia capacitación propietaria, por lo que no tienes que presupuestar, gestionar ni mantener otra relación con proveedores para la capacitación. Los empleados encontrarán una serie de videos atractivos para ver y responder preguntas para probar su retención directamente en la plataforma Secureframe. Si aprueban, automáticamente reciben la certificación y la plataforma retiene esa evidencia para el auditor.

Este flujo de incorporación también incluirá las políticas que has publicado como organización. Tu personal tendrá la capacidad de leer y aceptar estas políticas al incorporarse o en cualquier momento.

Algunas organizaciones crean y mantienen una presentación de diapositivas en Sharepoint, un documento de Google de sus políticas o algo similar. Con Secureframe, no hay necesidad de crear y mantener un documento separado porque las personas dentro de la organización siempre tienen la capacidad de iniciar sesión en Secureframe y ver las políticas que aceptaron previamente. Una vez que un individuo ha aceptado todas las políticas, recibirá una marca verde en la columna de Políticas aceptadas de la página de Personal, añadiendo a tu evidencia y postura de cumplimiento.

Vamos a entrar en la plataforma ahora.

Tablero de monitorización

Punto de dolor que resuelve esta función: Obtener visibilidad completa con información procesable sobre problemas críticos de seguridad y cumplimiento de privacidad.

El tablero de monitorización es donde la mayoría de los clientes de Secureframe pasan la mayor parte de su tiempo. Es una visión general de alto nivel de qué tan avanzada está una organización en términos de estar lista para la auditoría para los marcos de cumplimiento que está siguiendo.

Dado que muchos de nuestros clientes están buscando múltiples certificaciones, hacemos mucho del mapeo cruzado o la deduplicación a través de los marcos. Por lo general, hay una cantidad considerable de superposición entre SOC 2, ISO 27001 y HIPAA, por ejemplo. Entonces, si cumples con una prueba particular para SOC 2, vamos a mapear eso a cualquiera de los controles que son comunes entre SOC 2, ISO y HIPAA. Este tablero mostrará qué tan cerca estás de completar cada uno de esos marcos individuales, así como una puntuación agregada a través de múltiples marcos.

Toda la información en el tablero es clicable. Puedes navegar rápidamente dentro de la plataforma para ver a tu personal, activos e integraciones. Puedes establecer tareas adicionales para ti mismo y tareas para otros dentro de la organización.

Cómo uses este tablero realmente depende de tu organización. Tal vez tengas a una persona haciéndose cargo para prepararse para la auditoría utilizando este tablero. Tal vez tengas a varias personas en diferentes unidades de negocio que están impulsando el cumplimiento utilizando este tablero. No hay una manera específica en la que tengas que usar la plataforma. Permitimos tanta flexibilidad y personalización como sea necesario para que la herramienta realmente se adapte a tu organización.

Informe de preparación

Problema que resuelve esta característica: Rastrear fácilmente el progreso hacia una auditoría como SOC 2 o rastrear qué tan de cerca estás siguiendo las guías de cumplimiento legal como GDPR.

La forma tradicional de realizar una auditoría es recibir una lista de solicitud de información (IRL) o una solicitud de información (RFI) de un auditor. Básicamente, esto es una hoja de cálculo que tiene 150-200 elementos individuales que dicen “Esto es lo que tienes que hacer. Muéstrame la evidencia de que haces esto.” Es bastante abrumador, especialmente si es tu primera vez pasando por una auditoría. Usualmente, la forma en que las cosas están redactadas es muy confusa, y estás luchando para entender exactamente qué están buscando, y mucho menos si la evidencia que estás proporcionando es válida.

La otra cosa a considerar, también, es que los auditores están obligados por la independencia. Los auditores no pueden calificar su propia tarea, por así decirlo, por lo que estás limitado en las preguntas que puedes hacerle a tu firma auditora. Si estás tomando la ruta tradicional, eso significa que te quedarás tratando de entender qué están buscando y averiguar cuáles son tus deficiencias, o trabajar con un consultor externo. Eso va a costar entre $200 y $300 por hora en promedio. En algunos casos, podría ser más si estás buscando PCI o uno de los marcos federales.

En Secureframe, los informes de preparación de SOC 2 y otros reemplazan esa lista de solicitud de información, y sirve como un análisis de brechas constantemente evolutivo y actualizado para tu organización.

En el informe de preparación de SOC 2, por ejemplo, diferentes familias de control están identificadas en el lado izquierdo. En el lado derecho, verás diferentes controles con pruebas individuales que se ejecutan debajo de cada control. Estas son todas las cosas que tú, como organización, tienes que hacer y están siendo probadas para que puedas decir que sí, tenemos todo en su lugar para cumplir con este requisito de control particular dentro de SOC 2.

Tan pronto como conectes integraciones en el flujo de incorporación, la plataforma comenzará a desarrollar este análisis de brechas. Entonces, lo que podría tomar semanas, si no meses, a través de la ruta tradicional sucede inmediatamente con Secureframe. Tan pronto como comencemos a ejecutar esas sincronizaciones, va a reconocer qué configuraciones tienes en su lugar versus lo que no tienes en su lugar.

Desde el principio, si conectas tus integraciones y miras este informe, reconocerá que no tienes políticas publicadas. No tienes identificados a los responsables de las políticas. Tu personal no ha leído las políticas. A medida que trabajas en esas actividades dentro de la plataforma Secureframe, este informe se actualizará mostrando tu progreso hacia estar listo para la auditoría y en cumplimiento.

Esto es lo que el auditor va a utilizar principalmente para basar su evaluación una vez que tenga acceso a Secureframe.

También puedes personalizar este informe. Digamos que un control particular no se aplica a ti. Tal vez eres un proveedor de servicios gestionados, por ejemplo, y no estás alojando datos ni proporcionando ningún tipo de software como servicio o aplicación. En ese caso, es probable que los controles y las pruebas relacionadas con la seguridad de la información dentro de un proveedor de servicios en la nube, el cifrado de datos en reposo y en tránsito, el registro, las alertas y la monitorización de algunos de esos diferentes servicios no se apliquen a ti. Así que puedes desactivarlos dentro de la plataforma. Este es otro gran ejemplo de la personalización que llevamos al proceso de cumplimiento. Esa capacidad de personalización te permite hacer que la experiencia de Secureframe sea tan personalizada como sea necesario para que el proceso sea lo más eficiente posible.

Otra cosa interesante sobre este informe de preparación es que puedes exportarlo. Aunque esto no reemplaza un informe SOC 2, te permite proporcionar a los clientes u otros interesados clave una actualización sobre tu progreso hacia SOC 2. Tal vez esto sea parte de una reunión del comité ejecutivo de supervisión o una reunión del comité de dirección. Cualesquiera que sean tus necesidades, puedes optar por exportar todos los controles o solo los controles que estás pasando en este informe.

Pruebas

Problema que resuelve esta característica: Automatizar la recopilación manual de pruebas y detectar y remediar continuamente problemas en todo tu entorno con pruebas que están directamente asignadas a los controles y requisitos del marco de cumplimiento.

También puedes ver la información presentada en el informe de preparación de una manera más detallada en la página de Pruebas. Piensa en esto como una biblioteca de pruebas. La plataforma puede seleccionar entre más de 1000 pruebas según su aplicabilidad a tu organización y los filtros que configures.

Pero esta página y realmente la conexión con tu proveedor de servicios en la nube es dinámica. Lo que quiero decir con eso es que tenemos más de 150 pruebas individuales en torno a AWS. Eso no significa que 150 sean aplicables a tu organización. Por ejemplo, la captura de pantalla anterior solo muestra 32 pruebas individuales que están en el alcance para SOC 2 donde AWS es el proveedor. La plataforma también reconocerá los servicios que estás utilizando dentro de AWS, por lo que si no estás utilizando clústeres EKS, Kubernetes, el Servicio de Contenedores Elásticos o la funcionalidad Lambda, entonces las pruebas para esos diferentes servicios no aparecerían en esta página. Siempre estarían disponibles, solo tendrías que agregar algunos filtros adicionales para que aparezcan en esta lista.

Los filtros son acumulables, por lo que puedes agregar cualquier número de filtros que desees y guardar estas vistas para que no tengas que volver y agregar continuamente esos filtros para ver la misma información.

También puede asignar la propiedad en bloque. Tal vez su equipo de desarrollo o su equipo de ingeniería sea el responsable de asegurar que el entorno de AWS esté configurado correctamente y cumpla con las normativas. Podría asignar pruebas en bloque a ese equipo o a un individuo para que se encarguen de asegurar que estas pruebas se completen y mantengan.

Esta página de Pruebas se actualiza constantemente. Así que si una prueba está pasando hoy pero luego ejecuta un nuevo recurso y no cuenta con las configuraciones adecuadas, entonces la prueba cambiará a fallida y el propietario de la prueba recibirá una notificación. Ese es el componente de monitoreo continuo.

No adoptamos una mentalidad de una sola vez con las auditorías y el cumplimiento. Es algo que ocurre a perpetuidad y una solución como Secureframe permite a una organización tener una gran visibilidad sobre su postura de seguridad y privacidad en todo su stack tecnológico a través de una sola interfaz para asegurar que pueden obtener y mantener el cumplimiento con mayor eficiencia.

Veamos una prueba específica para ver qué tipo de datos proporciona la plataforma.

Tome la prueba de cifrado de Simple Queue Service (SQS). Si esta prueba está aprobada, se indicará con una marca de verificación verde. Si está fallida, se indicará con una X roja. La plataforma también proporciona orientación para la remediación dentro de la aplicación.

En la siguiente pestaña etiquetada como “evidencia”, verá una tabla de todos los diferentes recursos o activos que están siendo implicados por esta prueba. Si estuviera fallando, podría ser porque tiene un recurso o activo particular que no tiene la configuración adecuada. En ese caso, la plataforma señalaría específicamente ese recurso.

Piense en la eficiencia de esta página. Le está diciendo qué es la prueba y cuál es su estado. También le está diciendo que la razón por la que está fallando es debido a un recurso específico dentro de su entorno de AWS. También le diría cómo solucionarlo. Tendría instrucciones paso a paso con capturas de pantalla directamente en la plataforma sobre cómo remediar esto desde su consola de AWS. También encontraría un enlace a la fuente de verdad. En este caso, es documentación que AWS ha publicado.

Entonces, lo que eso significa es que usted o quien sea el responsable de la prueba sabe exactamente lo que necesita hacer para remediar esta prueba. Lo que podría haberle tomado dos días y un sinnúmero de horas de investigación ahora le toma cinco minutos para entender y tal vez 15-20 minutos para remediar. Entonces estamos reduciendo lo que tomaría horas a cuestión de minutos.

Además, en la captura de pantalla anterior, puede haber notado que esta prueba se aplica a PCI, ISO 27001, HIPAA y SOC 2. Así que si estuviera buscando cumplir con múltiples marcos normativos y remediara con éxito esta prueba, se aplicaría a cada marco normativo aplicable para su organización.

También puede dejar comentarios internos en la página de Pruebas. Suponga que un desarrollador está trabajando en esto y quiere dejar algunas notas a otro desarrollador y preguntar si pueden revisarlo. Pueden escribir eso como un comentario y enviarles un enlace a esta prueba en Slack o por correo electrónico. Este será un enlace directo para que el desarrollador no tenga que iniciar sesión en Secureframe, hacer clic en Pruebas, ejecutar estos filtros y luego encontrar esa prueba. Solo tienen que abrir el enlace.

Personal

Punto crítico que resuelve esta función: Asegurarse de que todo el personal cumpla con los controles de acceso, capacitación y revisiones de políticas correspondientes.

Ya sea que esta sea la primera vez que pasa por un SOC 2 o la décima vez, es importante entender que el cumplimiento no se trata solo de configuraciones de sistemas o servicios técnicos. Hay una gran cantidad de requisitos operativos, como ¿cómo incorpora a su personal? ¿Su personal lee y acepta las políticas? ¿Completan la capacitación en concientización sobre seguridad? ¿Han pasado por una verificación de antecedentes? ¿Tiene un proceso para evaluar al personal y asegurarse de que cumplan con las obligaciones establecidas en su descripción de trabajo?

Secureframe también puede ayudarle a cumplir con esos requisitos. En la pestaña de Personal, puede ver una lista de todo el personal y si han aceptado las políticas, completado la capacitación en concientización sobre seguridad y pertenecen a algún grupo. También puede ver qué servicios están poblados en su registro. Por ejemplo, un empleado podría estar poblado desde Github, AWS, Google Cloud, Azure, Google Workspace, Gusto y Office 365. Eso es realmente poderoso. Supongamos que en 6 meses esta persona ya no está en la organización pero aún está en esta página. Entonces puede pasar el mouse sobre la columna de servicios conectados y ver claramente que aún tiene acceso provisionado en algunos de esos servicios.

También puede hacer clic en una persona para ver información específica relacionada con su acceso a Secureframe, requisitos y políticas de incorporación, y a qué grupos pertenecen. También puede ver cuáles son sus roles para cada servicio y si tienen acceso privilegiado. Puede ver qué dispositivos utilizan y más.

Piense en pasar por una auditoría tradicional que toca múltiples unidades de negocio dentro de una organización. Ahora, para una organización más pequeña, esto no parece problemático porque puede que no tenga múltiples unidades de negocio. Tal vez tenga un equipo de cinco personas compuesto por un fundador, un cofundador, un ingeniero principal, alguien en éxito del cliente y alguien en ventas. En ese caso, todos pueden ser ágiles y tener mucha visibilidad sobre lo que están haciendo los otros miembros del equipo.

Pero a medida que su organización crece, las cosas se aíslan. Por ejemplo, en una organización más grande, puede que no sepa lo que está haciendo RR.HH. o cómo administra las políticas RR.HH. Si usted es la persona encargada de su proyecto SOC 2, entonces tiene que depender de RR.HH. para validar que todos lean las políticas y le proporcionen esa evidencia. Eso podría ser muchos mensajes de ida y vuelta en Slack. La persona de RR.HH. puede que no llegue a sus mensajes porque tienen otras prioridades por encima de recolectar evidencia.

Secureframe, a través de esas integraciones, proporciona a las personas visibilidad en toda la organización. Entonces, si usted es la persona encargada de el proyecto SOC 2, puede ver claramente en esta página de personal quién ha leído y aceptado sus políticas. Entonces, en lugar de pedir esa información a RR.HH., puede pedirles algo más específico. Como, “Oye, Kyle no ha leído ni aceptado todas sus políticas. Necesitamos que eso se haga o vamos a tener algunos desafíos con nuestro SOC 2. ¿Puedes trabajar con Kyle para que lo haga para fin de mes?”

Inventario de Activos

Punto de dolor que resuelve esta característica: Asegurarse de que los dispositivos de su personal, los activos en la nube de la empresa y los repositorios de control de versiones cumplan con las normativas.

Secureframe crea automáticamente un inventario de todos sus activos en base a las integraciones que conectó a la plataforma. La vista predeterminada es dispositivos. Estos son sus puntos finales, sus portátiles, sus escritorios. Puedo ordenar. Puedo filtrar. Puedo exportar estos datos. También puedo hacer clic en la siguiente pestaña para recursos en la nube.

Los recursos en la nube normalmente no están en el alcance a menos que contengan datos de clientes o datos sensibles. Así que puedes marcarlos fuera de alcance siempre y cuando proporciones una razón. Lo que hace esto es evitar que la plataforma Secureframe los escanee. Así que si has marcado un recurso fuera de alcance, por ejemplo, un depósito S3 que es público o no queremos que esté cifrado por alguna razón, entonces ese recurso particular no fallará una prueba que busca el cifrado de depósitos S3.

Lo mismo aplica a las vulnerabilidades. Si marcaste un recurso fuera de alcance aquí y hay una vulnerabilidad asociada con él que es detectada por algo como AWS Inspector, entonces la plataforma no la mostrará como una vulnerabilidad dentro del alcance.

También hay una pestaña de control de versiones en tu inventario de activos.

El control de versiones es realmente poderoso dentro de Secureframe porque damos a nuestros clientes la capacidad de configurar esta integración, lo que puede ayudarte a cumplir con algunos requisitos en términos de gestión de cambios.

Tomemos como ejemplo las solicitudes de extracción. Cada cambio tiene que tener una aprobación independiente antes de ser fusionado en producción. De esa manera, la persona que desarrolla el código no puede ser la misma que lo empuja a producción. Secureframe ofrece múltiples tipos de comprobaciones de pruebas, incluyendo escaneo de dependencias, análisis estático de código y pruebas de integración. Si completas esta sección con información específica de tu organización, entonces podemos marcar las solicitudes de extracción que se fusionaron en tu rama de producción que no cumplieron con esos criterios particulares. Tal vez no tenían una etiqueta de emergencia adjunta, por ejemplo.

Este es otro ejemplo de cómo la plataforma proporciona una tremenda visibilidad para que puedas tomar las medidas correctivas adecuadas con rapidez y eficiencia.

El control de versiones también se puede encontrar en la pestaña de Políticas de la plataforma Secureframe.

Políticas

Punto de dolor que resuelve esta característica: Configurar, gestionar y distribuir políticas rápida y fácilmente para que nunca caigas fuera de cumplimiento.

Como sabes, parte de la incorporación de personal es asegurarse de que lean y acepten nuestras políticas. Secureframe te proporcionará una plantilla para cada política que es necesaria para el marco de cumplimiento que estás buscando. Estas incluyen tu política de uso aceptable, tu política de gestión de cambios, tu política de desarrollo seguro de código y código de conducta.

Mientras que eso significa que no tienes que salir a comprar plantillas de políticas, tienes la capacidad de incorporarlas a la plataforma si lo deseas. Puedes ver el botón Crear política en la esquina superior derecha. Básicamente, eso te permite usar una política existente.

Si no tienes políticas existentes, puedes usar nuestras plantillas. Si haces clic en la plantilla de política de configuración y gestión de activos como ejemplo, verás que contiene todo el lenguaje necesario pero siempre animamos a nuestros clientes a leer y actualizar estas políticas según sea necesario. Puedes hacer algo un poco diferente y queremos documentarlo aquí. Queremos asegurarnos de que lo que dices en tu política es lo que realmente estás haciendo.

Puedes ver el control de versiones directamente aquí dentro de la plataforma. Podemos retroceder y ver versiones anteriores. Podemos tomar una política y eliminar todo y volver a la versión original, si así lo deseamos.

Soporte

Punto débil que soluciona esta característica: Obtenga rápidamente respuestas precisas a preguntas de seguridad, privacidad y cumplimiento sobre su entorno único.

Con nuestra plataforma, también obtiene un equipo de soporte de expertos en cumplimiento y exauditores. Se le asigna un gerente de éxito del cliente, así como un gerente de cumplimiento. Nuestros gerentes de cumplimiento son exauditores que tienen una gran cantidad de experiencia en la industria en llevar a los clientes a través de una auditoría. Ese dúo de CSM y gerente de cumplimiento está ahí para apoyarlo durante todo el compromiso.

Le hemos demostrado que la plataforma realiza una gran cantidad del trabajo arduo para cumplir y mantenerse en conformidad en términos de automatizar las pruebas, revisar las pruebas, proporcionar orientación de remediación en la aplicación y otros flujos de trabajo de los que hemos hablado. Pero el cumplimiento sigue siendo matizado. Cada organización puede hacer algo de manera un poco diferente, y necesitamos el elemento humano para asegurarnos de que estamos proporcionando una segunda opinión y respuestas a sus preguntas.

Tome las políticas como ejemplo. Secureframe proporciona plantillas de políticas que puede personalizar. Los clientes pueden apoyarse en los miembros de su equipo de éxito del cliente y cumplimiento para hacer preguntas y tomar decisiones más informadas sobre qué pueden eliminar y qué deben agregar, lo que a su vez resulta en un proceso de preparación aún más eficiente. Porque ahora no se pregunta, bueno, ¿puedo eliminar este lenguaje y agregar este? No tiene que investigar para encontrar respuestas a estas preguntas. Simplemente puede comunicarse o programar llamadas con el equipo para obtener las respuestas más precisas de la manera más eficiente.

Proveedores

Punto débil que soluciona esta característica: Gestionar el ciclo de vida de su relación con los proveedores para mitigar el riesgo y mantener una postura de cumplimiento de seguridad y privacidad sólida.

Para cumplir con SOC 2 y otros marcos, debe mantener procesos de gestión de proveedores, lo que incluye hacer su debida diligencia evaluando el riesgo que los proveedores aportan a la relación. Puede hacerlo directamente dentro de Secureframe.

Supongamos que está utilizando 1Password. En la pestaña Proveedores de Secureframe, tiene la capacidad de completar información de auditoría basada en cómo utiliza 1Password. Este es el tipo de datos o la funcionalidad que tiene este proveedor. A medida que realiza estas selecciones, la plataforma Secureframe proporcionará una recomendación sobre su nivel de riesgo, con la que usted puede estar de acuerdo o no.

Supongamos que 1Password se considera de alto riesgo según sus selecciones en las secciones de tipo de entorno y gestión de datos. Ahora hay pruebas asociadas con eso. Entonces tiene la capacidad de cargar documentos, como un informe SOC 2 Tipo II, un cuestionario de seguridad o un acuerdo de confidencialidad, y mantenerlos directamente dentro de la plataforma para que sirvan como una solución de gestión de proveedores.

Acceso a Proveedores

Punto débil que soluciona esta característica: Monitorear continuamente el acceso de empleados y usuarios a proveedores integrados para cumplir con los requisitos de cumplimiento.

También puede ver el acceso a proveedores en toda la organización. La captura de pantalla de arriba muestra el acceso a proveedores por parte del personal individual. Con esta vista, puede desplazarse rápidamente y ver quién tiene acceso privilegiado y quién no, y tomar las medidas correctivas necesarias.

También puedes escribir una palabra clave como AWS para ver a cada usuario que se está poblando en Secureframe, donde AWS es la fuente de verdad. En esta vista, puedes notar que Brandi tiene acceso privilegiado y no debería. En ese caso, puedes volver a AWS y revocar ese privilegio.

Cuestionarios de Secureframe

Problema que resuelve esta característica: Automatizar y optimizar el proceso manual de responder cuestionarios de seguridad y RFPs para cerrar más tratos más rápido.

Secureframe Cuestionarios es una herramienta de respuesta a cuestionarios automatizada que hemos construido internamente. No salimos a buscar una herramienta que ya existiera, y no etiquetamos algún otro servicio como propio.

Construimos esto internamente porque reconocemos que incluso si nuestros clientes tienen un informe SOC o un certificado ISO, algunos de sus clientes aún pueden pedirles que llenen un cuestionario de seguridad.

Tenemos una cantidad enorme de datos disponibles a través de políticas que nuestros clientes publicaron a través de integraciones. Así que lo que hemos hecho es construir esta herramienta de respuesta automatizada que analiza datos de políticas e integraciones, así como cuestionarios respondidos anteriormente, para proporcionar respuestas automáticamente a las preguntas.

Arriba hay un ejemplo de un cuestionario realmente básico en una hoja de cálculo. Tiene una pregunta, una columna de respuesta Sí/No, y una sección de comentarios que es muy similar a un cuestionario estándar de la industria.

Puedes cargar este cuestionario arrastrándolo desde tu escritorio y soltándolo en la plataforma de Secureframe. Puedes nombrarlo y asignar un propietario y una fecha de vencimiento. Una vez cargado en la plataforma, se convertirá automáticamente en un formato más legible dentro de la interfaz de usuario.

Ahora tienes que decirle a la plataforma qué es una pregunta y qué es una respuesta seleccionando una etiqueta del menú desplegable. Una vez que hayas etiquetado esa primera fila, vas a etiquetar automáticamente el resto del documento para que no tengas que etiquetar filas una por una. Eso sería muy tedioso.

Ahora la plataforma tomará esas etiquetas, ingresará en la base de conocimientos y extraerá las respuestas que considere más apropiadas para cada pregunta. Es nuestra IA en acción.

Supongamos que la pregunta es, “¿Existe un programa de evaluación de riesgos que haya sido aprobado por la administración, comunicado a los constituyentes y que tenga un propietario para mantener y revisar el programa?” La respuesta sugerida de Sí/No es “Sí.” Y la respuesta en forma libre que generó con alta confianza es “Sí, nuestra política de gestión de riesgos es revisada por la administración, comunicada y mantenida por nuestro equipo de seguridad.” Puedes hacer clic aquí y sobrescribir esto o agregar texto adicional. También puedes seleccionar del menú desplegable de sugerencias, que están etiquetadas con niveles de confianza alto, medio o bajo.

Si te gusta esta respuesta, puedes finalizarla, colapsarla y pasar a la siguiente. Si completaras este documento, tomaría esas respuestas finalizadas que predijo, las aplicaría a esa hoja de cálculo y generaría una hoja de cálculo completada en tu barra de Descargas en tu navegador, así como aquí en esta tabla.

Base de conocimientos

Punto problemático que soluciona esta característica: Mantener actualizadas las respuestas a RFP y preguntas de seguridad y facilitar a toda la organización encontrarlas.

La Base de conocimientos es la base de datos detrás de las respuestas que se generan para esos cuestionarios. Piense en esto como una herramienta que cualquier unidad de negocio dentro de la organización puede usar.

Ventas es un gran ejemplo. El equipo de ventas recibe muchas preguntas sobre políticas, funcionalidad y dónde se encuentran los datos dentro de una organización. Por lo general, ventas debe acudir a ingeniería de soluciones, cumplimiento o desarrolladores para obtener sus respuestas. Con la Base de conocimientos de Secureframe, estas respuestas han sido preaprobadas. Ventas puede usar esto para buscar respuestas con las palabras clave "monitor" y "monitoreo", por ejemplo, y los resultados incluirían cualquier pregunta o respuesta. Ventas puede copiar rápidamente esa respuesta y enviarla a los clientes.

Puede agregar etiquetas en la Base de conocimientos para que sea más fácil de buscar. Si una pregunta está relacionada con intrusión, prevención y detección, por ejemplo, puede etiquetarla como IPS y filtrar todos los resultados por IPS.

Extensión de Chrome de la Base de Conocimientos

Punto problemático que soluciona esta característica: Acceder fácilmente a respuestas a preguntas de seguridad desde su navegador.

También ofrecemos una extensión de Chrome que facilita la búsqueda en la Base de conocimientos de Secureframe y le permite responder a cualquier tipo de cuestionarios.

Reconocemos que no todos los cuestionarios vienen en forma de un documento ingerible. Es posible que deba iniciar sesión en algún tipo de portal o que un cliente envíe un formulario de Google con un montón de preguntas que necesita responder. O ventas puede recibir tres o cuatro preguntas por correo electrónico. Para situaciones como estas, aún queríamos permitir que los clientes usaran el poder de la Base de conocimientos de Secureframe para predecir esas respuestas.

Arriba hay un cuestionario de seguridad de proveedor simulado en un formulario de Google. Está solicitando información que espera que ingrese directamente en este documento. No puede cargar esto en los Cuestionarios de Secureframe, pero lo que puede hacer es abrir la extensión de Chrome.

Si busca AWS, se le devolverán todas las preguntas y respuestas que se hayan etiquetado con AWS. Puede copiar cualquier respuesta y pegarla en el formulario de Google.

Lo que es realmente poderoso aquí es que si resalta una pregunta en el formulario de Google como, "¿Dónde se alojarán nuestros datos? Indique los nombres y ubicaciones del proveedor de infraestructura en la nube." La extensión de Chrome consultará automáticamente su Base de Conocimientos de Secureframe y proporcionará una respuesta de forma libre. Puede hacer doble clic en eso o presionar el botón de copiar y luego pegarlo en el formulario.

Dado que Cuestionarios de Secureframe, la Base de conocimientos de Secureframe y la extensión de Chrome se basan no solo en una búsqueda por palabra clave, sino en una búsqueda inteligente. Reconocerá si otra pregunta como "¿Qué país y proveedor de nube alojará nuestros datos?" es similar y proporciona la misma respuesta.

Ahora que ha visto cómo la plataforma Secureframe puede simplificar y agilizar el proceso de cumplimiento y desbloquear beneficios adicionales, como hacer que responder cuestionarios sea rápido y fácil con IA, pasemos a cualquier pregunta que tenga.

Preguntas frecuentes

1. ¿Ayudan a las organizaciones a cumplir con el RGPD, incluido el requisito de mapeo de datos?

Jonathan: También ofrecemos cumplimiento del RGPD y yo mismo u otro experto en cumplimiento de Secureframe podemos ayudarte a completar un mapeo de datos en profundidad o un diagrama de flujo de datos. Básicamente sería una superposición de cualquier diagrama de arquitectura o red que tengas, que muestre un día en la vida de los datos desde que se crean, por dónde fluyen una vez ingeridos, qué servicios realizan qué procesos con los datos —es decir, cómo se usan, modifican, manipulan— y luego dónde se almacenan.

2. ¿Añadirá Secureframe HITRUST a su suite de servicios?

Jonathan: Últimamente ha habido más y más interés en HITRUST y lo tenemos en el roadmap. Yo mismo y otros expertos en cumplimiento también completaremos su formación de auditor para HITRUST en los próximos meses.

3. Mi empresa nunca ha realizado una auditoría. ¿Recomendarían encontrar un proveedor de auditoría primero antes de incorporarse a Secureframe? Si no, ¿tienen socios de auditoría preferidos a los que puedan referir a un nuevo cliente?

Kyle: Te animaría a que te incorpores primero a Secureframe porque tenemos docenas de socios de auditoría de confianza con los que trabajamos hoy y ese número sigue creciendo.

El beneficio de usar uno de los socios de auditoría de nuestra red es la alineación. Entonces, lo que han hecho es alinear sus procesos y matrices de prueba con lo que Secureframe busca para que haya una correlación directa uno a uno. No hay nada que no verifiquemos y que ellos te pedirían.

Y luego el otro beneficio está del lado comercial. Hemos negociado tarifas con esas firmas de auditoría, por lo que usando Secureframe, obtendrás un descuento significativo debido a la eficiencia que nuestra plataforma les introduce. Pueden realizar de 2 a 3 veces más auditorías en el mismo tiempo que normalmente sin nuestra plataforma.

4. ¿Tienen experiencia trabajando con desarrollo de software, principalmente empresas web e internet que no ofrecen SaaS o hospedaje para clientes, y no almacenan datos sensibles?

Jonathan: Absolutamente. Hemos trabajado con empresas de todas las industrias, que han ofrecido todo tipo de servicios y productos, y que han tenido ámbitos muy únicos. En el pasado, hemos tenido que hacer ajustes interesantes en cómo vamos a delimitar este producto o este servicio en lugar de hacerlo a nivel de toda la organización.

Aunque siempre recomiendo delimitar a nivel de toda la organización si podemos, sé que eso no siempre es posible, así que en ese caso estamos encantados de trabajar contigo para asegurarnos de que se activen y se apliquen las pruebas correctas, basadas no solo en qué servicios e integraciones tienes activos y que la plataforma detecta, sino también en cualquier cosa sobre la que tengas preguntas. Tal vez algo está desactivado o activado, y no estás seguro de si realmente necesitas tenerlo activado porque estás haciendo algo diferente a lo que la prueba busca, estamos encantados de tener esas discusiones y asegurarnos de que estés completamente preparado para el éxito con esa auditoría.

5. ¿Trabajan con organizaciones de todos los tamaños?

Jonathan: Sí, hemos trabajado con empresas grandes y pequeñas. Creo que técnicamente la empresa más pequeña que hemos certificado, y esto fue para SOC, era de una persona.

Como mencionó Kyle anteriormente, cada situación es diferente con las empresas, ya sean grandes o pequeñas. Podrías tener una empresa grande con solo una persona a cargo del proceso de preparación y auditoría. En resumen, podemos trabajar con empresas grandes o pequeñas, con una persona, 100 personas o 1,000 personas.

Nos gusta decir que nos encontramos con nuestros clientes dondequiera que estén en términos de seguridad. Tenemos una solución de seguridad llave en mano que, una vez que implementas las políticas y procedimientos, estarás listo. Por eso decimos que podemos ayudarte a estar listo en semanas, no en meses. Si tienes los recursos, la capacidad y la disponibilidad para moverte rápidamente, realmente puedes y estarás listo en semanas. Te permitimos hacer eso con todas las políticas y procedimientos que proporcionamos, las pruebas automatizadas, ese platillo de plata de evidencia proporcionada para los auditores una vez que estemos listos para darles ese acceso limitado al sistema.

El beneficio de estos marcos que puede obtener y con los que puede lograr la certificación y el cumplimiento es que realmente permite a nuestros clientes sobresalir y eliminar las barreras para ascender en el mercado. Puede demostrar a sus prospectos y clientes el grado en el que va a mantener segura su información confidencial, sin importar el tamaño de su empresa.

Incluso hemos tenido múltiples organizaciones que han pasado por el cumplimiento y han logrado SOC o ISO 27001 antes de tener cualquier cliente. Y creo que esa es la historia de cliente más increíble que una empresa podría contar a sus prospectos: “Antes de que tuviéramos un solo byte de datos de clientes, sabíamos exactamente cómo íbamos a manejarlos, cómo iban a estar seguros, y teníamos la capacidad de mostrar el sistema en su lugar listo para ingerir esos datos de clientes”. Realmente, no se puede ser más proactivo que eso.

Hablemos más sobre sus puntos problemáticos de cumplimiento de seguridad y privacidad.

Si está listo para automatizar y agilizar su seguridad, privacidad y cumplimiento, regístrese para una demostración personalizada de Secureframe para ver cómo podemos satisfacer sus necesidades exactas.

O únase a nuestro próximo seminario web de Secureframe. Organizamos seminarios web regularmente durante los próximos meses para abordar los mayores puntos problemáticos de cumplimiento de seguridad y privacidad que escuchamos y las preguntas que recibimos de prospectos, clientes y profesionales de la seguridad. Puede consultar los próximos seminarios web y grabaciones de eventos pasados si se los perdió en nuestra biblioteca de recursos de cumplimiento.