Lograr y mantener el cumplimiento es un proceso que consume tiempo y recursos, y las startups están limitadas en ambos aspectos.

En el seminario web de Secureframe Expert Insights, realizado el martes 8 de noviembre, el experto en cumplimiento y ex auditor Marc Rubbinaccio explicó los cinco mayores problemas de cumplimiento de seguridad y privacidad que enfrentan los líderes de startups y cómo resolverlos.

Si te lo perdiste, resumimos sus opiniones y mejores prácticas para simplificar y agilizar el proceso de cumplimiento para las startups a continuación. También puedes ver la grabación aquí.

Por qué importa la seguridad, la privacidad y el cumplimiento para las startups

La razón principal es que deseas poder asegurar suficientemente los datos de tus clientes y aliviar sus preocupaciones de privacidad.

Los clientes buscan empresas, pequeñas y grandes, que puedan proteger la seguridad y privacidad de sus datos e intereses.

Lograr el cumplimiento con los requisitos de seguridad y privacidad, como SOC 2 e ISO 27001, y mantener el cumplimiento con regulaciones de privacidad de datos como GDPR y CCPA es una forma ideal de demostrar tu compromiso con la seguridad y la privacidad.

Construir un programa sólido de ciberseguridad que cumpla con los requisitos de cumplimiento ayuda a las startups a obtener beneficios adicionales, entre ellos:

• Crear procesos internos simplificados y escalables para cosas como la incorporación y exclusión de empleados;
• Prevenir violaciones de datos que pueden ser costosas en términos de ingresos y reputación; y
• Atraer a las partes interesadas que desean limitar su riesgo legal y reputacional al tomar decisiones de inversión.

Las startups que cumplen también pueden diferenciarse de los competidores que no cumplen, cerrar más tratos rápidamente con clientes que piden pruebas de cumplimiento y expandirse a nuevos mercados, incluyendo el ascenso en el mercado.

Los mayores problemas de cumplimiento de seguridad y privacidad para líderes de startups y cómo solucionarlos

1. Falta de experiencia interna para comenzar el proceso de cumplimiento

A menos que hayas realizado auditorías o trabajado en cumplimiento interno en una organización, es poco probable que hayas memorizado los requisitos establecidos en estos marcos de seguridad. También puede ser difícil comprenderlos.

Por lo general, los requisitos del marco son muy específicos y complejos o amplios y demasiado generales para saber qué exactamente necesita implementarse.

Por ejemplo, SOC 2 es una guía creada por el AICPA. Esta guía puede ser interpretada de manera diferente entre empresas o incluso por firmas de auditoría que tienen sus propias listas de solicitudes de información e interpretaciones.

Estos marcos también están cambiando a medida que nuestra tecnología cambia. ISO 27001 lanzó una actualización importante. PCI DSS 4.0 también ha sido lanzado oficialmente. Leer y entender los marcos ya es bastante difícil: realizar un seguimiento de sus cambios y cómo pueden aplicarse a su organización es aún más complicado.

Como startup, es posible que no tenga un equipo dedicado que sea responsable de entender y mantener ese entendimiento de estos marcos a lo largo del tiempo.

Soluciones

Bueno: Lea la orientación

Es increíblemente importante tener al menos una comprensión básica de lo que se requiere de usted para estos esfuerzos de cumplimiento. Sin embargo, esto puede ser difícil sin experiencia previa en auditoría o cumplimiento.

Mejor: Contrate a un consultor

Contratar a un consultor que tenga un conocimiento profundo de estos marcos de cumplimiento y pueda traducir la orientación en tareas accionables es una mejor opción. Un consultor podrá trabajar con usted en relación a su entorno y sus procesos tal como están ahora y darle pasos para alcanzar esos requisitos de cumplimiento. Sin embargo, esto puede ser costoso, especialmente si está utilizando un consultor para ayudarlo a mantener el cumplimiento.

Óptimo: Use una plataforma automatizada junto con soporte de cumplimiento

Utilizar una plataforma en la que pueda integrar su tecnología y ver exactamente lo que necesita hacer según sus configuraciones y entorno es lo ideal. Será la forma más eficiente de avanzar en su camino hacia el cumplimiento, especialmente si no tiene a alguien en su equipo que sea un experto en estos marcos.

2. Entender exactamente lo que necesita implementar

Leer la orientación y entenderla no es suficiente: necesita entender exactamente lo que la orientación le está pidiendo que implemente.

Como se mencionó anteriormente para SOC 2, cada auditor podría interpretar esa orientación de manera diferente. Según su interpretación, podrían proporcionarle una lista de solicitudes de información diferente. Así que el auditor que seleccione podría impactar en gran medida su evaluación. Por ejemplo, podría interpretar la orientación de una manera, implementar ciertos procesos para reflejar eso y, descubrir cuando llega el momento de la auditoría que necesita procesos o implementaciones adicionales según la interpretación del auditor. Esto extenderá el tiempo para cumplir con el cumplimiento.

Veamos un ejemplo. Un principio de SOC 2 establece: “La entidad pone en marcha mecanismos efectivos de evaluación de riesgos que implican niveles adecuados de gestión.” Si se pidiera a los clientes de Secureframe que implementaran este control, probablemente todos lo harían de manera diferente, porque es difícil entender qué están buscando solo leyendo la orientación. ¿Qué son exactamente mecanismos efectivos de evaluación de riesgos según los auditores y según su negocio? ¿Cuál es un nivel adecuado de gestión? Todas estas cosas pueden interpretarse de manera diferente. Y este es solo un ejemplo de orientación de implementación en la guía AICPA.

Los cuestionarios de autoevaluación de PCI (SAQ) son otro gran ejemplo de este punto problemático. PCI requiere que cualquier comerciante o proveedor de servicios que almacene, procese, transmita o pueda afectar la seguridad de los datos del titular de la tarjeta bajo la designación de Nivel 2-4 complete y mantenga un SAQ. Esta es una autoevaluación. No se requiere que un QSA o auditor externo certifique sus controles.

Entonces, ¿qué pasa si eres una empresa de cinco personas y nunca has oído hablar de PCI antes? Ahora tienes la complicada tarea de leer estos 300 o más controles PCI, delimitar tu entorno de datos de titulares de tarjetas, incluyendo tus sistemas conectados y aislados, y luego implementar los cientos de controles PCI para completar tu SAQ. Luego, envías esta Attestation of Compliance (AoC) a tu procesador de pagos o clientes indicando que cumples con las normas y todo lo que puedes hacer es esperar que todo esté implementado correctamente y no seas vulnerado.

Para darte una idea de lo difícil que es esto, todos los clientes de startup PCI Secureframe que han pasado por un SAQ por su cuenta tuvieron implementaciones faltantes cuando llegó el momento de la revisión por parte de su gerente de cumplimiento dedicado.

Así que es increíblemente importante entender qué necesitas implementar para cumplir con las normas. Para hacer eso, primero necesitas entender qué tienes y qué no tienes en su lugar.

Soluciones

Bueno: Realizar una evaluación de preparación

Una evaluación de preparación te dará una idea de lo que tienes actualmente y lo que necesitas lograr para cumplir con las normas. Sin embargo, realizar una evaluación de preparación contra un marco que realmente no entiendes puede ser contraproducente.

Mejor: Contratar a un consultor de ciberseguridad para realizar una evaluación de preparación

Es importante que alguien que es experto en el marco y tu entorno realice una evaluación de preparación. Si no tienes a alguien en tu equipo, entonces podrías considerar contratar a un consultor.

Lo mejor: Utilizar una plataforma automatizada que te guíe a través del proceso

La mejor solución es usar una plataforma automatizada donde puedas conectar tu tecnología, ver todas tus configuraciones y utilizar el mapeo de controles a todos estos marcos para decirte exactamente qué tareas necesitas completar para cumplir con las normas.

Muchas de estas plataformas también tienen el soporte al cliente y la experiencia para poder guiarte a través de ese proceso para que sepas exactamente lo que estás haciendo cuando se trata de la implementación.

3. Adquirir los proveedores y socios adecuados

Otra parte importante del cumplimiento es adquirir los proveedores y socios adecuados para ayudarte con tu esfuerzo de cumplimiento.

Por ejemplo, un auditor es un socio externo que necesitarías para obtener tu AoC. Un tester de penetración de terceros podría ser requerido para algunos marcos. ISO 27001 requiere una auditoría interna, que podrías necesitar que un tercero realice si no tienes los recursos para realizarla tú mismo. PCI DSS requiere escaneos de vulnerabilidad externos realizados por un proveedor de escaneo aprobado por PCI.

Así que necesitas entender no solo qué proveedores y socios necesitas, sino quiénes son los mejores para tu entorno específico.

Soluciones

Bueno: Preguntar a un amigo o colega

Puedes preguntar a tu red personal sobre qué proveedores y socios utilizan. Estas recomendaciones pueden ayudar a reducir tu búsqueda para intentar descubrir quién valdría la pena investigar y entrevistar.

Mejor: Investigar y entrevistar a proveedores y socios

Investigar sobre proveedores y socios y solicitar una entrevista es una buena manera de empezar tu proceso de adquisición de proveedores, pero esto podría llevar mucho tiempo. También sería difícil determinar si un proveedor es el adecuado para ti solo basándote en la investigación en línea.

Lo mejor: Utilizar una red de socios de confianza con proveedores previamente evaluados

Utilizar una red de socios sería la mejor opción. Si tienes un proveedor en quien confías, utilizar su red de socios previamente evaluada es una excelente manera de establecer algunas buenas opciones para luego elegir. Esto sería mucho más fácil que investigar en línea y evaluar a unos cientos de proveedores para intentar entender cuál sería el mejor para tu entorno.

En Secureframe, tenemos una red de socios establecida para evaluadores de seguridad, auditores, escáneres ASV y más, todos ellos evaluados por nuestro equipo interno. Trabajando con tu gestor de cumplimiento dedicado, podrías determinar quién sería el evaluador de seguridad u otro proveedor para tu entorno único. Así no tendrías que hacer tu propia diligencia debida.

4. Gestionar tu tiempo entre lograr el cumplimiento y construir tu servicio

Este es probablemente el mayor punto de dolor para los líderes de startups. Como startup, es probable que haya poco margen para desviar de ingeniería y operaciones para enfocarte en tus esfuerzos de cumplimiento.

Aquí en Secureframe, siempre hay nuevas funciones por desarrollar, errores que arreglar y procesos que mejorar. Esto es cierto para todos ustedes también: siempre están mejorando su producto o servicio para los clientes, lo cual es crítico para hacer crecer su negocio.

El problema es que, si no usas un consultor o una plataforma de cumplimiento, esto puede causar caos durante tu auditoría. A menos que estés realizando una evaluación de preparación con un consultor que entienda exactamente lo que el auditor necesita durante el tiempo de la auditoría o una plataforma para organizar tus pruebas, el proceso de auditoría puede ser complicado y requerir tiempo y recursos valiosos.

Desglosaremos el proceso de auditoría. Normalmente consiste en una semana de trabajo de campo y luego una semana de revisión de pruebas o de redacción del informe. Es críticamente importante que los auditores reciban la mayor cantidad de pruebas exactas posible antes de la semana de trabajo de campo para cumplir con esos plazos. Esto da a los auditores la oportunidad de revisar la mayor cantidad de pruebas posible antes o durante la semana de trabajo de campo, para que puedan realizar todas sus entrevistas y observaciones y generar solo una pequeña lista de elementos de seguimiento, que se pueden recopilar al final de la semana de trabajo de campo o durante la siguiente semana de redacción del informe.

Si no estabas completamente preparado para la auditoría y no proporcionas la mayor cantidad de pruebas posible antes de esa semana de trabajo de campo, esta lista de seguimiento será mucho más larga. Si no completas esta lista de elementos de seguimiento antes del final de la semana de redacción del informe, el auditor ya no estará dedicado a ti. Estarán dedicados a otro cliente y solo tendrán tanto tiempo para revisar las pruebas que proporciones. Esto puede extender el proceso de auditoría enormemente. Incluso puede causarte perder la fecha de tu auditoría.

Soluciones

Bueno: Delinear tareas a partir de la guía documentada

Delinear tus tareas a partir de evidencia documentada es un buen comienzo, pero te llevará mucho tiempo.

Mejor: Contratar a un consultor para que te enumere las tareas

Usar un consultor para ayudar con la delineación de esas tareas ahorrará mucho tiempo, pero puede ser muy costoso.

Mejor: Usar una plataforma de automatización que te guíe a través del proceso

Usar una plataforma de automatización es ideal. Una plataforma que no solo delineé esas tareas, sino que recopile las pruebas automáticamente ahorrará un tiempo considerable antes y durante el proceso de auditoría.

En Secureframe, invitamos a nuestros auditores a evaluar pruebas antes de la semana de auditoría para determinar que son aceptables. Cualquier lista de elementos de seguimiento será corta y se proporcionará durante la semana de auditoría para asegurar que no estamos extendiendo la auditoría a una semana en la que el auditor esté dedicado a otro cliente.

5. Monitoreo continuo para mantener el cumplimiento

Prepararte para tu primera evaluación es solo el primer paso — mantener el cumplimiento es crítico. Hay muchos procesos que requieren revisiones regulares durante el año, como revisiones de acceso trimestrales, escaneos de vulnerabilidad y pruebas de penetración. Perderte alguna de estas tareas recurrentes podría afectar tu estatus de cumplimiento. Si los procesos no se siguen precisamente, esto también puede ser un problema crítico durante el proceso de auditoría.

Para las auditorías que revisan pruebas durante un período de tiempo, un escaneo de vulnerabilidad faltante o una revisión faltante contra un cambio de código crítico podría poner en peligro tu estatus de cumplimiento. Por ejemplo, puede resultar en una excepción o informe calificado.

Eso sería increíblemente desafortunado porque has pasado por mucho esfuerzo y tiempo para cumplir con los requisitos. Y si no cumples el próximo año, tendrás que decirles a todos tus clientes que están solicitando tu estatus como parte de su proceso de diligencia debida.

Soluciones

Bueno: Programa revisiones regulares para comprobar todos los sistemas, aplicaciones, herramientas e integraciones

Programar estas revisiones con anticipación es una buena manera de prepararse a lo largo del año, pero esto no es ideal debido al error humano. La persona responsable de esto podría dejar la organización, programar incorrectamente estas tareas o faltar a una tarea requerida y no programarla.

Mejor: Establece recordatorios para que los responsables de las tareas completen las comprobaciones

Podrías establecer recordatorios para que los responsables de las tareas completen las comprobaciones, pero este proceso manual seguiría siendo propenso a errores humanos.

Óptimo: Usa una plataforma de automatización que envíe recordatorios automáticos

Utilizar una plataforma que programe automáticamente estas tareas requeridas, te permita asignar responsables y también envíe notificaciones será la manera más eficiente de asegurar que todas estas tareas se completen a lo largo del año.

Para escuchar qué preguntas se hicieron y respondieron en vivo durante este seminario web de Secureframe, mira la grabación comenzando alrededor del minuto 27.

Únete a nuestro próximo seminario web de Secureframe Expert Insights

Organizamos seminarios web de Secureframe regularmente para abordar los puntos de dolor más importantes en seguridad, privacidad y cumplimiento que escuchamos de prospectos, clientes y nuestros expertos internos en cumplimiento. Encuentra seminarios web próximos, así como grabaciones a pedido de seminarios anteriores en nuestra biblioteca de recursos de cumplimiento.