Problemática del cumplimiento de regulaciones y/o política de seguridad

 

Adrián Enrique Hernández Contreras –
Grupo Editorial SWG IBM

Generalmente cuando se habla de cumplimiento de regulaciones en una organización algunas preguntas que deberíamos hacernos son ¿Hay que cumplir con todos los requerimientos de la(s) regulación(es) que nos aplica(n)? ¿Qué implica reportar cumplimiento de todos nuestros sistemas de TI? ¿Cómo hacemos que esto no afecte la operación de la organización?

El cumplimiento de regulaciones como SOX, PCI, ISO 27001, etc., se ha convertido en una obligación para muchas organizaciones. El principal problema de esto es que las organizaciones no pueden aplicar el cumplimiento de todos los requerimientos de la regulación ya que esto representaría afectar sus procesos, el objetivo general de la organización y en general la operación de la misma, por lo que es importante que las organizaciones definan el nivel de seguridad que les aplica, es decir definir que requerimientos de la o las regulaciones que deban cumplir son los que aplican a la  organización y generar una política de seguridad alineada a la(s) regulación(es) que aplica(n).

Aunado a esto la seguridad de TI se traduce en auditar y monitorear diferentes sistemas los cuales generan diferentes tipos de bitácoras de eventos de seguridad, esto representa que es necesario tener como mínimo un especialista por cada sistema que interprete estas bitácoras para poder generar reportes de cumplimiento de la política de seguridad para que cuando se presente un proceso de auditoría se pueda respaldar dicho cumplimiento de manera sencilla. Pero en realidad tener un especialista por cada sistema en una organización donde generalmente se tienen sistemas de TI heterogéneos se traduce en algo imposible y normalmente una persona es responsable de más de un sistema de TI aunque en realidad no sea un experto en cada sistema, además se tiene la información de auditoría dispersa en todos los sistemas de TI de la organización por lo que cuando se presentan los procesos de auditoría generar los reportes que sustentan el cumplimiento de la política de seguridad de la organización toma tiempo (generalmente días), por lo que las personas que están recopilando e interpretando dicha información desatienden sus actividades diarias lo cual también representa la interrupción de la operación de las organizaciones.

Es por esto que cuando se habla de cumplimiento de regulaciones en una organización se toma como una molestia o un inhibidor ya que normalmente se le asocia con afectar la operación de la organización. Aunque en realidad esto no debería de ser así. En realidad el problema es como implementan el cumplimiento de regulaciones en la organización, es decir en una organización para cumplir con la o las regulaciones que le apliquen no se trata nada mas de decir “aplica todos los requerimientos de la regulación” sino hacer todo un análisis de los procesos de la organización para definir que requerimientos de la regulación se pueden aplicar en la organización y que requerimientos no aplican así como documentar por qué no aplican, para que durante un proceso de auditoría se pueda sustentar como se está cumpliendo con la regulación. Con este análisis se define como es la política de seguridad de la organización alineada a la o las regulaciones que apliquen.

Una vez que se tiene bien definida la política de seguridad de la organización ahora es necesario tener herramientas que ayuden a la organización a recopilar la información de auditoría que generan los sistemas de TI y traducir esta información a un lenguaje que sea fácilmente interpretado por personas que tengan conocimientos de TI en general. Con esto se elimina la necesidad de un especialista por cada sistema de TI de la organización ya que la información se traduce a un lenguaje en común y además se tiene en un punto central toda la información de auditoría desde donde se puede analizar y reportar el cumplimiento de la política de seguridad de la organización.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: