Equilibrio entre seguridad y cumplimiento

Introducción

“Obtener el nivel mínimo de cumplimiento de los estándares de seguridad designados por una organización no es suficiente.” — Daniel Griggs

La cita anterior ejemplifica lo crítico que es para las organizaciones no solo acertar con la ciberseguridad, sino subrayar por qué es algo que debe hacerse siempre bien para seguir cumpliendo las normas. Esto incluye, por supuesto, proteger los dispositivos, los usuarios y los datos.

En este blog actualizado, exploraremos los principios básicos del cumplimiento en ciberseguridad mediante:

• Definir el papel del cumplimiento en la ciberseguridad
• Resumir la importancia del cumplimiento para las organizaciones
• Introducir el concepto de equilibrio entre seguridad y cumplimiento
• Proporcionar ejemplos de las tecnologías que ayudan a salvar la brecha entre ambas

¿Qué es el cumplimiento en ciberseguridad?

Empecemos por examinar las distintas definiciones de cumplimiento para hacernos una mejor idea de lo que realmente significa, según la definición de Merriam-Webster.

cumplimientosustantivo

com·pli·ance /kəm-ˈplī-ən(t)s/

1a

: el acto o proceso de cumplir con un deseo, demanda, propuesta o régimen o con la coacción

El cumplimiento de los regímenes de tratamiento por parte de los pacientes fue excelente.

—Georgia A. Chrousos

b

: conformidad en el cumplimiento de requisitos oficiales

Sus acciones estuvieron en cumplimiento con la ley estatal.

2

: una disposición a ceder ante los demás

3

: capacidad de un objeto de ceder elásticamente cuando se le aplica una fuerza: véase FLEXIBILIDAD

Junto a las diversas definiciones, la que se aplica de forma más sucinta a la ciberseguridad es la 1b, "conformidad en el cumplimiento de los requisitos oficiales", porque ése es el verdadero objetivo de "estar en cumplimiento" en materia de ciberseguridad: atenerse a los requisitos establecidos por un organismo o agencia oficial actuando adecuadamente en:

• recolección
• manejo
• procesamiento
• almacenamiento
• distribución
• difusión
• eliminación

de los datos y sistemas protegidos por parte de los usuarios autorizados e impedir que todos los demás (no autorizados) accedan a los tipos de datos protegidos.

El objetivo del cumplimiento en la ciberseguridad

En términos generales, el objetivo del cumplimiento es básicamente evitar la transgresión de cualquiera de las leyes a las que está sujeta una organización. Mediante la implementación de medidas de cumplimiento, el objetivo es atenerse a un anteproyecto, por así decirlo, para sortear las posibles minas terrestres que conducen a incurrir en transgresiones.

En lo que respecta a la ciberseguridad, lo anterior sigue siendo muy válido; sin embargo, existe un reto adicional: mantener protegidos los datos empresariales además de los usuarios que acceden a ellos y los dispositivos en los que se procesan y almacenan. En este caso, la palabra "protección" significa algo más que solo mantenerse a salvo de los actores de amenazas, sino que se extiende también a mantenerse en el lado correcto de cualquier cosa, acción o circunstancia que, de otro modo, pondría los datos protegidos por las regulaciones en riesgo de transgresión de dichas regulaciones.

Un buen ejemplo de ello es un empleado de IT que tiene acceso a un servidor de archivos utilizado por los empleados para almacenar datos de trabajo. Aunque cada directorio tenga permisos de usuario configurados para que solo el usuario definido pueda acceder explícitamente a su carpeta designada, IT —de manera predeterminada— tiene privilegios administrativos para modificar los permisos de directorio, según sea necesario. Si el departamento de IT recibe un tícket para solucionar un problema con la carpeta de un usuario, se le permite modificar los permisos para corregir el problema sin afectar el cumplimiento. Sin embargo, si da un paso más y se adentra en el directorio del usuario para ver los datos protegidos, puede transgredir los requisitos normativos ya que, a efectos de este ejemplo, el personal de IT carece de autorización para ver o manejar este tipo de datos.

Regulaciones y normas clave relacionados con el cumplimiento de la ciberseguridad

¿Recuerda el uso anterior de la palabra "anteproyecto"? Específicamente se utilizó porque, al igual que un arquitecto elabora un anteproyecto para que los equipos de construcción lo sigan a la hora de edificar una estructura, los equipos de IT y de seguridad pueden basarse en las normas a la hora de implementar un plan de seguridad para marcar las casillas, por así decirlo, de los diversos requisitos regulatorios a los que su organización debe adherirse.

Solo para aclarar, normas ≠ regulaciones. Las normas son un medio para alcanzar los objetivos en lo que respecta al cumplimiento de los reglamentos. A un alto nivel, son un conjunto formalizado de mejores prácticas de seguridad, agrupadas de forma similar a listas de tareas procesables, que proporcionan una "guía probada en batalla" de procesos de respuesta para que casi cualquier entorno cumpla sus objetivos de cumplimiento.

Cada organización es diferente, al igual que sus respectivas necesidades, y su capacidad para alcanzar sus objetivos de cumplimiento suele verse afectada por una serie de variables. Dicho esto, las regulaciones proporcionan información sobre lo que hay que proteger para que las agencias gubernamentales lo consideren conforme; las normas proporcionan detalles sobre las mejores formas de configurar la protección según las regulaciones.

Echemos un vistazo a algunas regulaciones globales clave en ciberseguridad:

• HIPAA: Proporciona protecciones para los datos sanitarios y establece limitaciones para su divulgación, exigiendo la autorización explícita de los pacientes para su uso.
• PCI-DSS: Establece directrices para los procesadores de pagos con tarjeta de crédito en relación con la captura, el procesamiento y el almacenamiento de datos almacenados en las tarjetas.
• GDPR: La gobernanza basada en la privacidad tiene como objetivo defender los derechos del usuario frente al uso de cualquier dato privado sin su consentimiento explícito.
• FERPA: Limita el acceso a los expedientes educativos y a los datos pertenecientes a los alumnos, además de controlar su divulgación.
• FSMA: Disposiciones de supervisión de los seguros, los negocios de inversión y la banca, junto con los mercados emergentes de tecnología financiera, como la criptomoneda.

Veamos ahora algunas normas y marcos clave para la ciberseguridad aceptados en todo el mundo:

• Essential Eight: Las ocho estrategias de mitigación más críticas para ayudar a las organizaciones a priorizar los controles para protegerse de las ciberamenazas.
• NIST: Metodologías dirigidas a las empresas para protegerse contra una amplia gama de amenazas a la seguridad, proporcionando orientación para la protección de infraestructuras críticas.
• ISO: Sistema internacional de administración de la seguridad de la información compuesto por una familia de normas, cuyas subsecciones abordan diversos problemas y amenazas de ciberseguridad.
• Cyber Essentials: Marco de garantía de la información para la implementación de controles de seguridad considerados eficaces para proteger a las organizaciones de las amenazas basadas en Internet.
• CIS: Salvaguardas prioritarias que funcionan como parte de un modelo de defensa en profundidad para identificar y prevenir las amenazas críticas a la ciberseguridad mediante estándares de comparación y puntos de referencia.

La importancia del cumplimiento en la ciberseguridad

El papel del cumplimiento en la ciberseguridad no es diferente de un sistema de controles y equilibrios. Las ciberamenazas que representan un riesgo para una organización responden a la pregunta: ¿contra qué necesita protegerse la organización? Las normas, como ya se ha mencionado, responden a la pregunta: ¿cuál es la mejor forma de implementar las protecciones de la organización? Por último, el cumplimiento responde a la pregunta: ¿hemos conseguido proteger a la organización?

Beneficios del cumplimiento para las organizaciones

Podría decirse que el mayor beneficio del cumplimiento de las normas para las organizaciones es la tranquilidad: saber que los dispositivos se ajustan a las normas de la industria y protegen los puntos de referencia. Esto significa que los dispositivos están reforzados contra las amenazas a la seguridad, que se ha concedido acceso a los usuarios hasta, e incluyendo, solo lo necesario para desempeñar sus funciones laborales y que los datos están protegidos mediante controles eficaces que cumplen o superan los requisitos, minimizando el riesgo de compromiso o falta de cumplimiento.

Riesgos de la falta de cumplimiento

Ciertas industrias están sujetas a una supervisión reglamentaria debido a la naturaleza del negocio, sus prácticas y/o con quién se asocian. Además, la región en la que opera una empresa puede influir en el número de regulaciones a las que podría estar sujeta, ya que las regulaciones son impuestas por organizaciones gubernamentales y aplicables en alguno o en todos los niveles siguientes:

• Local (ciudad, condado, municipio, tribal, territorial)
• Estatal
• Federal
• País
• Regional

Ejemplos de las consecuencias de la falta de cumplimiento

Cada uno puede tener su propio conjunto de requisitos que podrían ser más (o menos) estrictos que el siguiente —y no se equivoque— se espera que las empresas que forman parte de las industrias reguladas se adhieran a cada requisito regulatorio de cada rama del gobierno para que no sean declaradas culpables de transgresión de las regulaciones, lo que puede acarrear cualquiera de las siguientes sanciones:

• Multas elevadas por transgresión/infracción (hasta millones de dólares al año)
• Responsabilidad civil (de los usuarios de servicios/productos afectados negativamente)
• Responsabilidad penal para empleados y ejecutivos (declarados culpables de cometer transgresiones intencionalmente)
• Negación de subvenciones y/o financiamientos/incentivos gubernamentales
• Opinión pública/reputación negativa de las empresas
• Impacto en las operaciones/ingresos de la empresa
• Pérdida de asociaciones/oportunidades de negocio debido a la pérdida de datos
• Medidas cautelares que prohíban el uso de productos/servicios
• Embargo de bienes/cierre de empresas

Equilibrio entre seguridad y cumplimiento

En el mundo de la IT no faltan frases y acrónimos para describir las tecnologías. A menudo se agrupan para dotar de gravedad a una categoría de herramientas o servicios utilizados para un fin similar. Otras veces, pueden parecer oximorónicos o yuxtapuestos entre sí.

Seguridad y cumplimiento son ejemplos de términos que, aunque ambos connotan un sentido de protección, significan dos cosas dispares. En otras palabras, solo porque algo sea seguro no significa que cumpla las normas; en otras palabras, algo podría cumplir las normas sin ser necesariamente seguro. De ahí la existencia de esta sección, en la que explicamos cómo el lograr un equilibrio entre seguridad y cumplimiento es a la vez un reto pero, en última instancia, una recompensa cuando se hace correctamente.

Los retos de equilibrar la seguridad y el cumplimiento

Hay varios retos presentes que necesitan ser limados cuando se intenta encontrar un equilibrio que funcione para su organización. Algunos de estos retos son exclusivos de la organización, por ejemplo, las herramientas de que disponen sus equipos de IT y de seguridad, su base de conocimientos y las limitaciones de su conjunto de habilidades (si las hay) y, desde luego, el aspecto financiero, todos desempeñan un papel crucial a la hora de salvar la distancia entre la seguridad y el cumplimiento.

Otras consideraciones críticas son:

• Regulaciones reglamentarias relacionadas con su industria
• Administración de dispositivos y monitorización de la resiliencia de sus soluciones.
• Riesgo frente a propuesta de valor en la implementación de nuevas herramientas
• Impacto en la privacidad y productividad del usuario
• Apoyo de las partes interesadas a la adopción e implementación de normas
• Requisitos y limitaciones dependientes del tiempo

Cómo se puede integrar el cumplimiento sin sacrificar la seguridad

Una de las formas más prudentes de integrar nuevas soluciones de cualquier tipo en IT es mediante una cuidadosa planificación y administración del proyecto. Esto también incluye un componente de prueba que requiere muestrear los cambios en un entorno de prueba antes de implementarlos en la producción.

Esta metodología no solo proporciona una amplia retroalimentación a los equipos de apoyo y a las partes interesadas, sino que dicha retroalimentación resultará muy útil a la hora de evaluar los cambios actuales y futuros. Después de todo, un ciclo iterativo es una clave crítica para cualquier proceso de administración del cambio.

Como ocurre con la mayoría de las cosas a nivel organizativo, cambiará dependiendo en gran medida de las necesidades específicas de su empresa. Desgraciadamente, no existe un método, una solución o una herramienta "universal" que salve la distancia entre la seguridad y el cumplimiento de las normas.

Mejores prácticas para equilibrar la seguridad y el cumplimiento

Nunca se insistirá lo suficiente en que una planificación adecuada es un elemento imprescindible para lograr el equilibrio. Una parte crucial de la planificación y administración eficaz de este proyecto es conocer dos puntos específicos relativos a su seguridad y cumplimiento:

1. ¿Cuál es la situación actual de la organización?
2. ¿Dónde necesita/quiere estar la organización?

La primera representa su postura de seguridad desde el primer día, también anotada aquí como punto de partida. Esta última proporciona a su organización un objetivo claro y conciso una vez que se han realizado las evaluaciones de riesgos, se han seleccionado las normas y/o las infraestructuras de cumplimiento, se han completado las fases de implementación y prueba, así como el análisis para evaluar cualquier discrepancia entre sus posiciones de seguridad y de cumplimiento.

No lo olvide nunca, es un proceso iterativo. Si no llega a donde necesita estar la primera vez, aproveche esa oportunidad documentando sus hallazgos y utilizando esos datos como lecciones aprendidas para acercar a la organización al punto de equilibrio de su objetivo.

Otro aspecto abordado anteriormente en esta sección fue el riesgo frente a la propuesta de valor. Como parte del proceso iterativo, es fundamental saber en qué punto se encuentra su organización en todo momento para lograr el cumplimiento y la seguridad. Digamos, por ejemplo, que la política de la organización ordena que solo los dispositivos propiedad de la empresa y administrados por la MDM de la empresa pueden acceder a los datos empresariales. Dado que la organización no dispone de licencias suficientes para administrar los dispositivos de propiedad personal, se dice verbalmente a los usuarios que está prohibido utilizar dispositivos personales. Sin información sobre los dispositivos ajenos a la empresa ni soluciones de seguridad adicionales para impedir lógicamente que accedan a los datos empresariales, ¿cómo sabría la organización si se ha accedido a recursos empresariales y se han procesado o almacenado datos en dispositivos personales?

No sabría. Esto constituye un riesgo significativo tanto para el cumplimiento de las normas como para la seguridad, dado que requiere financiamiento adicional para suministrar licencias para los dispositivos personales de cada usuario y empleados de IT adicionales para respaldar la afluencia de dispositivos que ahora deben administrar. ¿El riesgo es mayor, menor o igual que los costos añadidos y las preocupaciones de los empleados? El objetivo de este ejercicio no es responder rotundamente a la pregunta (ya que eso depende de las necesidades únicas de su organización), sino destacar la distinción entre riesgo y valor que debe considerarse cuando se busca un equilibrio.

Herramientas y tecnologías para equilibrar la seguridad y el cumplimiento

Armadas con la información del análisis de riesgos para determinar qué protecciones de seguridad son necesarias y habiendo elegido qué normas e infraestructuras se utilizarán para alcanzar sus objetivos de cumplimiento, las organizaciones necesitan un vehículo para que la seguridad y el cumplimiento estén más equilibrados entre sí.

Aquí es donde entran en juego las tecnologías y las herramientas. Las tecnologías adecuadas no solo ayudarán a salvar las distancias entre ambos, sino que las herramientas apropiadas implementarán las configuraciones de seguridad y exigirán el cumplimiento en el futuro.

Tecnologías que pueden ayudar a las organizaciones a implementar la seguridad

En esta sección, echamos un vistazo a diversas tecnologías generales para ayudar a las organizaciones a lograr el equilibrio. Desde el punto de vista de la seguridad, las siguientes tecnologías ayudan a implementar configuraciones seguras con base en la orientación generada a partir de normas e infraestructuras alineadas con regulaciones específicas.

• Administración de dispositivos móviles: Las soluciones de la MDM permiten a los departamentos de IT simplificar la complejidad de administrar de cientos a decenas de miles de dispositivos sin importar dónde se encuentren físicamente. Capaces de supervisar los dispositivos propiedad de las empresas, así como los de propiedad personal en cualquier modelo de propiedad, las soluciones de administración proporcionan un equilibrio propio entre las configuraciones y ajustes seguros de los dispositivos, la implementación de apps, la segmentación de los datos empresariales de los volúmenes de datos personales y la aplicación basada en políticas de las normas de cumplimiento.
• Seguridad de endpoints: Las soluciones de seguridad monitorean e informan activamente sobre la salud de los dispositivos. Al identificar y prevenir las amenazas conocidas, los equipos de seguridad pueden estar seguros de que los endpoints mantienen una postura de seguridad de puntos de referencia. Los análisis de comportamiento ayudan a los equipos de caza de amenazas a descubrir amenazas desconocidas, mientras que los flujos de trabajo de corrección mitigan las amenazas para que los dispositivos vuelvan a cumplir la normativa.
• Identidad y acceso: Al integrar las soluciones de identidad a la administración y la seguridad, la capa adicional de confianza limita los permisos de acceso solo a los usuarios autorizados. Además, adhiriéndose a los requisitos de cumplimiento y a las mejores prácticas de seguridad, el principio del mínimo privilegio habilitado por las soluciones de identidad y acceso garantiza que los usuarios puedan trabajar con los datos protegidos en el grado necesario para que puedan desempeñar su función laboral y nada más.
• Confianza cero: Con base en el principio de "nunca confíes, siempre verifica", este modelo de seguridad se basa en las soluciones de identidad y acceso realizando una función clave: restringir el acceso de forma predeterminada a todos los endpoints cada vez que se realiza una solicitud hasta que se hayan verificado los parámetros críticos de salud del dispositivo. Si se verifica, se concede el acceso al recurso solicitado; si no, la integración con las soluciones de seguridad y administración evalúa las vulnerabilidades antes de que se implementen los flujos de trabajo de corrección para desinfectar automáticamente el dispositivo antes de volver a verificar su estado.

Ejemplos de herramientas para exigir el cumplimiento con éxito

En esta sección final, exploramos las herramientas que ayudarán a las organizaciones a imponer el cumplimiento en su viaje hacia el equilibrio. Las herramientas que se enumeran a continuación son esenciales para implementar configuraciones seguras basadas en estándares, mientras que las soluciones integrales de administración, la identidad y la seguridad garantizan que los endpoints no solo estén seguros, sino también los usuarios y los datos, sin dejar de cumplir las regulaciones aplicables.

• Jamf Pro: La mejor solución de administración de dispositivos de Apple que facilita el manejo de dispositivos macOS, iOS, iPadOS, tvOS y watchOS con una interfaz sencilla pero potente, capaz de escalarse a sus necesidades. Despliegue y configure el hardware utilizando flujos de trabajo sin contacto, instale apps administradas, aplique ajustes e implemente políticas para que los dispositivos permanezcan administrados.
• Jamf Connect: Aproveche su proveedor de identidades basado en la nube con la Mac y dispositivos móviles para que solo los autorizados puedan utilizar el hardware o acceder a los recursos de la empresa. Los potentes flujos de trabajo basados en la identidad garantizan que los usuarios con credenciales válidas y que utilicen dispositivos verificados como libres de vulnerabilidades tengan acceso a los recursos protegidos, utilizando microtúneles cifrados para cada solicitud con el fin de evitar ataques basados en la red, como MitM (hombre en el medio), en conexiones remotas —protección siempre activa— sin importar la conexión de red utilizada.
• Jamf Protect: Mejore la seguridad de los endpoints con los puntos de referencia de seguridad, garantizando que los endpoints permanezcan protegidos mientras se monitorean activamente, iniciando flujos de trabajo de respuesta a incidentes al alertar a los equipos de seguridad sobre amenazas desconocidas mientras se administran los riesgos conocidos, como las vulnerabilidades y exposiciones comunes (CVE) del sistema operativo, se mitigan inmediatamente después de la detección en toda su flota de dispositivos. Amplíe la seguridad de la infraestructura integrándose con su solución SIEM preferida para administrar de forma centralizada los datos de registro, compartiendo los datos de telemetría del dispositivo con las soluciones de administración y de la identidad a través de una API segura para permitir la automatización avanzada de los flujos de trabajo de corrección basados en inteligencia de amenazas actualizada y alimentada por aprendizaje automático.
• Jamf Compliance Editor: Con base en el Proyecto de Cumplimiento de Seguridad de macOS (mSCP), genere una guía de seguridad basada en requisitos de cumplimiento específicos que estén alineados con las normas y marcos de gobernanza globales compatibles, y personalizados para satisfacer las necesidades únicas de su organización. Si necesita un enfoque más granular, elija solo las configuraciones que desee implementar y/o especifique los niveles personalizados de seguridad que desee establecer y, a continuación, cree y cargue automáticamente los activos en su instancia de Jamf MDM, lista para ser implementada en toda su flota de dispositivos.
• Jamf Safe Internet: La mejor protección contra amenazas de red de su clase y una completa solución de filtrado de contenidos son las características clave de Jamf Protect, dirigida a dispositivos empresariales. Para las instituciones educativas, Jamf Safe Internet ofrece el mismo nivel de protección granular contra las amenazas de phishing de día cero, bloqueo de contenidos no seguros y protección de la privacidad que su oferta para empresas, al igual que Jamf School incluye una administración y seguridad enfocadas a la educación para educadores, IT y personal similares a las que se encuentran dentro de nuestra oferta insignia. Cuando se integran, ambas soluciones optimizadas para la educación proporcionan una visión granular de las estadísticas de uso de los dispositivos desde una consola sencilla e intuitiva.
• Jamf Executive Threat Protection: La protección contra las evoluciones más recientes del panorama moderno de las amenazas es el núcleo de las soluciones de seguridad para endpoints de Jamf. Pero la detección remota de incidentes de seguridad utilizando capacidades avanzadas de detección y corrección significa que los equipos de seguridad disponen de las herramientas necesarias para responder a los incidentes. Además de eso, los equipos de respuesta a incidentes pueden profundizar en las amenazas, ayudando en investigaciones exhaustivas con una visibilidad ampliada de las flotas de dispositivos móviles desde cualquier lugar. Con la recopilación remota de abundantes datos telemétricos de endpoints móviles al alcance de su mano, el tiempo de investigación se reduce a solo unos minutos, gracias en gran medida a las capacidades de integración que amplían los conjuntos de funciones ideales para los sectores empresarial y gubernamental.