Tres desafíos de cumplimiento de ciberseguridad y cómo abordarlos
Mantener el cumplimiento: los equipos de seguridad no pueden permitirse el lujo de mantener la vista alejada de los requisitos reglamentarios.
Obtener esos sellos de confianza puede fortalecer las relaciones con los miembros de la junta directiva y los clientes potenciales, pero seguro que no es fácil.
Es posible que el mes de concientización sobre la ciberseguridad haya terminado hace semanas, pero la estricta observancia de las mejores prácticas de ciberseguridad sigue siendo una prioridad para las organizaciones de todos los sectores verticales. Con la mayor agresividad y sofisticación de las ciberamenazas, cada mes debe ser el mes de la ciberseguridad. Los líderes empresariales de hoy reconocen la necesidad de una mejor protección contra los ataques cibernéticos, incluida la necesidad de cumplir con la seguridad cibernética, lo que pone en apuros tanto a los CISO como a los CCO .
Es cierto que cumplir con los principales marcos de ciberseguridad como SOC2, NIST, CIS e ISO no necesariamente equivale a tener una protección adecuada. Por otro lado, sigue siendo importante seguir reglas y políticas legalmente obligatorias como parte de la construcción de defensa cibernética, y ganar esos sellos de confianza puede fortalecer las relaciones con los miembros de la junta directiva y los clientes potenciales.
Sin embargo, el cumplimiento adecuado de la ciberseguridad es más fácil de decir que de hacer. Incluso las organizaciones más grandes encuentran dificultades para cumplir con las regulaciones. A continuación presentamos un vistazo a tres de los mayores desafíos que las organizaciones deben superar al defender sus activos de TI de acuerdo con los diversos marcos regulatorios de ciberseguridad.
Regulaciones en evolución
Las reglas, políticas y requisitos regulatorios evolucionan continuamente. Se actualizan o modifican en respuesta a diversos factores, incluidos cambios en el mercado, la forma en que se utilizan los productos, el panorama de amenazas y las leyes o regulaciones impuestas en estados o regiones específicos.
Los cambios en las regulaciones pueden ser tan rápidos como la introducción de nuevos productos o la aparición de nuevas amenazas y ataques. Por tanto, las organizaciones deben ser lo suficientemente ágiles para mantenerse al día con los cambios regulatorios. Desafortunadamente, no muchos de nosotros tenemos la capacidad de hacerlo por nuestra cuenta. La escasez de habilidades en ciberseguridad sigue siendo un problema en lo que respecta al cumplimiento. Muchas organizaciones carecen de las personas adecuadas para abordar adecuadamente las amenazas cibernéticas, y mucho menos monitorear continuamente los cambios regulatorios.
El desafío de mantenerse al día con las regulaciones cambiantes se puede abordar con la ayuda de recursos que rastrean las actualizaciones por usted. A menudo, estos están relacionados con nichos de negocio específicos. Para las empresas involucradas en operaciones de crédito y servicios financieros, por ejemplo, las alertas de ciberseguridad de la Asociación Nacional de Supervisores de Cooperativas de Crédito Estatales ( NASCUS ) brindan información actualizada sobre las últimas regulaciones que afectan a quienes se dedican al negocio de otorgar crédito y otros. servicios financieros.
También existen servicios de suscripción de seguimiento regulatorio que brindan actualizaciones sobre la normativa en general. Ejemplos de estos incluyen Thomson Reuters Regulatory Intelligence, Deloitte Regulatory Alerts, Bloomberg Law Regulatory Alert y PwC Regulatory Insights. Estos pueden ayudar a las organizaciones a mantener el cumplimiento de regulaciones cruciales sin tener que realizar un seguimiento manual de todas las leyes y políticas relevantes y analizar su impacto en los negocios. También brindan análisis e información para ayudar a las organizaciones a alinear sus operaciones con todos los requisitos legales, evitar obstáculos y superar desafíos.
Requisitos internos complejos de GRC
Gobernanza, riesgo y cumplimiento (GRC) es una frase que se refiere a un marco empleado por las organizaciones cuando establecen y gestionan sus objetivos, estrategias y operaciones de acuerdo con las regulaciones, leyes y códigos de conducta ética.
GRC puede ser un aspecto complicado de gestionar una organización, porque gestionarla puede ser más complejo de lo que muchos CISO están acostumbrados en sus actividades diarias de postura cibernética. Cumplir, e incluso dirigir, los requisitos de GRC de su C-suite y junta directiva no es una tarea sencilla y, a menudo, integrar los tres presenta un desafío aún mayor.
- En el caso de la gobernanza, puede ser relativamente fácil establecer la misión y los objetivos estratégicos de la organización, pero puede resultar bastante difícil definir funciones y responsabilidades, garantizar la rendición de cuentas, implementar un control interno eficaz y mantener la supervisión.
- Con la gestión de riesgos, existe el proceso abrumador y continuo de identificar, priorizar y monitorear varios tipos de amenazas, formular estrategias de mitigación de riesgos y garantizar la implementación adecuada de la estrategia.
- Mientras tanto, la gestión del cumplimiento exige una forma organizada de establecer controles internos y políticas vitales para cumplir con los requisitos del marco, monitorear e informar sobre los estados de cumplimiento y abordar rápidamente los problemas que podrían conducir al incumplimiento.
La clave para ser eficaz aquí es la capacidad de combinar gobernanza, riesgo y cumplimiento de manera transparente y consistente. Esto se logra con soluciones como Cypago , una plataforma de automatización cibernética de GRC. La mayoría de los aspectos de la gestión de gobernanza, riesgos y cumplimiento se pueden automatizar para garantizar la máxima visibilidad, una aplicación sólida y una eficiencia sólida. También admite auditorías automatizadas, incluida la recopilación de datos de fuentes que convencionalmente están aisladas para permitir el análisis de brechas en contexto y una mayor precisión de los informes y los conocimientos.
El GRC es particularmente importante en industrias fuertemente reguladas, no sólo por las consecuencias de no cumplir con las regulaciones existentes. Es aconsejable que las organizaciones garanticen una buena gobernanza de TI y una ciberseguridad sensata a la luz de la creciente agresividad de los actores de amenazas y los altos costos de los ciberataques. GRC puede ser muy complejo, pero puede hacerse manejable y eficiente con la ayuda de soluciones de automatización diseñadas por expertos.
IA en ciberseguridad
Otro desafío crucial para cumplir con las regulaciones de ciberseguridad es la prevalencia de la inteligencia artificial . Muchas empresas de ciberseguridad han lanzado productos que supuestamente funcionan con inteligencia artificial. El problema es que no hay claridad sobre cómo los reguladores abordan la IA.
Las soluciones de ciberseguridad totalmente autónomas podrían plantear peligros en sí mismas, debido a su vulnerabilidad potencial a ataques adversarios de IA que pueden volverlas ineficaces. Además, la IA adversaria puede llevar a las defensas cibernéticas asistidas por IA a tomar decisiones o evaluaciones erróneas al contaminar los datos utilizados por los procesos automatizados de toma de decisiones de estos sistemas.
La industria de la ciberseguridad y los organismos reguladores aún no están seguros de si el uso de la IA en la ciberseguridad es seguro y eficaz o si sólo crea nuevas vulnerabilidades desconocidas que los actores de amenazas astutamente persistentes llegan a explotar. Además, no existen especificaciones claras sobre lo que constituye una IA útil en ciberseguridad. Cualquiera puede afirmar que utiliza IA en sus soluciones y no enfrentar consecuencias por la tergiversación. Además, no existen mecanismos para evaluar si los sistemas de IA realmente funcionan según lo previsto.
En este sentido, la IA lleva su “ problema de caja negra ” al campo de la ciberseguridad, lo que significa que las personas no tienen idea de cómo funcionan, por lo que no tienen formas viables de probar su efectividad y solucionar los problemas si se vuelven locos.
Los reguladores deben idear mejores estándares, políticas y reglas cuando se ocupan de la inteligencia artificial, especialmente porque ya está ampliamente adoptada. Incluso es necesario regular el uso laxo del término “IA” en la comercialización de soluciones de ciberseguridad. Puede engañar a los usuarios de productos de seguridad, tergiversar capacidades y crear una falsa sensación de protección.
Por ahora, la mejor manera de abordar el dilema de la IA en ciberseguridad es apegarse a marcas de ciberseguridad establecidas. Líderes como Crowdstrike y Palo Alto Networks tienen la reputación y el historial para demostrar que pueden cumplir con sus afirmaciones de protección cibernética impulsada por IA, y no se limitan a descartar la IA como palabra de moda en marketing.
la comida para llevar
El cumplimiento de la ciberseguridad no debe verse como el principio y el fin de la ciberdefensa. Sin embargo, sí importa. Los desafíos que plantea el cumplimiento no deben restarse importancia ni ignorarse. Por el contrario, deben abordarse directamente y haciendo hincapié en crear protecciones confiables contra todas las amenazas y ataques.
Relacionado:
El mejor software de cumplimiento del RGPD para CTO : no cumplir con la protección de datos podría costarle millones a su empresa. Pero utilizar software para automatizar el cumplimiento de la ciberseguridad puede ahorrarle tiempo y dinero.
Fuente. https://www.information-age.com/3-cybersecurity-compliance-challenges-how-to-address-them-123507968/