Zusammenfassung der Ressource
Compliance
- De a cuerdo a ISO 27001, el objetivo del compliance es evitar brechas entre las actividades y
procesos de las empresas y; cualquier ley criminal o civil; obligaciones estatuarias,
reguladoras o contractuales y los difeentes requerimientos de seguridad
- tienen como eje: fomantar dentro de las organizaciones, la
conformidad de IT con politicas y estándares de seguridad de la
información
- Es decir, compliance es estar en línea con
regulaciones, estándares de la industria etc. y el
resultado de ponerlo en práctica es sencillamente si
se cumple con esto o no.
- A pesar de que existen muy diversos tipos, los marcos
regulatorios se pueden clasificar en tres grandes grupos:
- Gubernamentales
- Se ocupan de la transparencia y precisión de estados
financieros, retención de registros, requerimientos de
recuperación de desastres y continuidad del negocio
- De privacidad
- Son regulaciones especificas para mercado vertical.
Dictan cómo manejar la información personal dentro de
una organización.
- De seguridad
- Tienen como objetivo proteger la infraestructura crítica de
la organización. Estos especifican cómo identificar,
autenticar y autorizar al usuario a acceder y utilizar los
activos sensitivos.
- Para tener éxito al llevar la práctica el compliance, las
organizaciones deben asegurarse de no omitir algunos
aspectos:
- Responsabilidad
- Control de transparencia.
- visibilidad en el manejo de los riesgos, los controles de la
organización y de cada uno de los activos protegidos
- Medibilidad
- La capacidad de medir la operación actual de un sistema de
controles (a través de bitácoras, auditorías, de la correlación
de eventos e incidentes de seguridad)
- El compliance puede interpretarse de numerosas maneras, pero el propósito
de marcos regulatorios, estándares de la industria y mejores prácticas es
obtener:
- Preservar la integridad
- Confidencialidad
- Disponibilidad de los datos