Nueva investigación: Estudio del costo global del ransomware. Vea qué le están costando las infracciones.
Obtener el informe

¿Experimentó una violación?

|
Contáctenos
|
+1 855 426 3983
Blog
/
Ciberresiliencia

Descripción de las reglas de cumplimiento de la UE

Illumio Editorial
,
May 19, 2020
23 min. lectura

Cumplimiento de normas, cumplimiento de normas, seguridad, ¿seguro? En teoría, los mandatos que rigen las industrias en las que trabajamos y con las que trabajamos dan orientación y definen marcos que tienen como objetivo poner barandillas en torno a las formas de seguridad aplicables — cibernéticas o de otro tipo.


Esto puede dar lugar a diferentes puntos de vista, una dicotomía sobre la interpretación —o al menos un punto de discusión sobre la aplicación de los pormenores del mandato. Probablemente todos hemos escuchado el término “tick-box-exercise” cuando nos referimos al cumplimiento de normas, ya sea como una forma no para tratarlo, o como un comentario irónico y descartado de profesionales que han trabajado para implementar los diversos mandatos de cumplimiento que se aplican a su industria o región relevante.


Tengo una visión personal, moldeada a través de algunas de las experiencias anteriores y de trabajar en estrecha colaboración con organizaciones e individuos que han pasado mucho tiempo minuciosamente en los marcos de cumplimiento de normas. A menudo lo que he encontrado es que la aplicación práctica del cumplimiento se hace más fácil, más directa y menos compleja trabajando en “el espíritu” del mandato en lugar de la secadora, detalles técnicos. Por supuesto, los detalles son más o menos importantes dependiendo del tipo de cumplimiento, pero muchas veces es importante tratar de mirar a través del texto para llegar al “significado” de un control dado. La intención detrás de la regla, y lo que eso significa para un aumento o una mejora en la seguridad, es mi forma preferida de manejar esto.


En su esencia, y en referencia a mi comentario anterior, el cumplimiento realmente está ahí para proporcionar un nivel básico de seguridad, o una mejora general en la postura, y la capacidad de verificar esta postura de manera confiable.


Como advertencia a esto, existen diferencias en los detalles específicos que expresan los mandatos dados. Por ejemplo, PCI DSS proporciona detalles específicos sobre el registro y el monitoreo de archivos, mientras que Directiva NIS (que es específica de la UE) ofrece una orientación mucho más amplia y una mayor variación a nivel local por país.


De manera similar, mi experiencia con la interpretación de un auditor u organismo de auditoría a menudo puede coincidir con esto, ya que un buen auditor se fijará más en la intención y la eficacia que solo en los detalles técnicos. Esto, por supuesto, está directamente relacionado con lo específico que es el mandato (como se mencionó anteriormente), y esto es solo mi propia experiencia directa.


Puede que te estés preguntando, ¿dónde encaja Illumio? El hilo común entre nuestro negocio y los órganos rectores mencionados anteriormente es que todos comparten un objetivo común de proteger activos y datos de alto valor. Todos los mandatos de cumplimiento que vemos que rigen los datos, las prácticas de ciberseguridad y, en algunas infraestructuras críticas, tienen un razonamiento común en su núcleo. Proteger los datos, o los sistemas que manejan y transfieren estos datos, ya sea información de tarjetas de crédito, información de identificación personal (PII), registros de pago, datos de activos o los sistemas de control para estos y otros, es el núcleo de cada mandato de cumplimiento. Dicho esto, esta protección siempre tiene involucrado un aspecto de separación o microsegmentación. El objetivo: limitar la superficie de ataque, el radio de explosión de un compromiso o ir a por un completo Modelo Zero Trust de acceso y conectividad para mantener los sistemas y datos críticos alejados de las áreas de menor prioridad o menos críticas de alguna forma.

Illumio Screenshot


Con ese fin, esta serie de blogs se centrará en analizar los detalles de las diferentes áreas de cumplimiento de normas, con, críticamente, un contrapunto a cada publicación de blog de un profesional externo experimentado en esa área. Esto ayuda con el color a mi propio comentario, pero también permite algunos detalles específicos sobre la diferente forma en que cada mandato podría interpretarse y auditarse a nivel de gobierno o de terceros (incluidas las aportaciones de los propios auditores).


¡Gracias de antemano a los que contribuyen!


Nos centraremos principalmente en los mandatos de cumplimiento específicos de la UE y Europa, ya que estos pueden diferir significativamente de los de los Estados Unidos. Como tal, no voy a estar cubriendo en detalle mandatos como HIPAA, NIST y Sarbanes-Oxley. También dejaré el lado PCI DSS de las cosas en paz, como tenemos información significativa sobre el cumplimiento de PCI aquí en Illumio ya.


Con eso, las áreas cubiertas en esta serie se agruparán en algunas áreas de gobierno similares:

Infraestructura crítica: Directiva NIS, LPM
Esta entrada de blog cubrirá la relativamente nueva Directiva NIS (Directiva de redes y sistemas de información) que se aplica a los países de la UE. Este es un mandato interesante debido a su amplio mandato, relación con GDPR, y su interpretación relativamente abierta y local. Esta publicación también incluirá detalles sobre la naturaleza más abierta de la Directiva NIS; orientación en lugar de controles obligatorios, que se relaciona con los puntos anteriores de esta publicación en torno a la intención del cumplimiento y su implementación.

También está relacionada, y que alimenta la creación de la Directiva NIS, está la ley francesa de Protección de la Infraestructura de Información Crítica (LPM), un mandato específico de infraestructura crítica más maduro con algunos controles interesantes.

Finanzas/Pagos — SWIFT, ECB SIPS
Aquí, cubriremos los mandatos financieros, SWIFT, que es uno de los primeros que se utilizó la plataforma Illumio para proteger, y la guía de cumplimiento SIPS (Banco Central Europeo — Sistétiquese Important Payment Systems) del BCE específica de la UE.

Manejo de datos — ISO 27001, RGPD
En esta publicación, discutiremos el gobierno y control de datos, la protección de PII y los sistemas de alojamiento. Esta es otra área con una amplia gama de implicaciones e interpretaciones potenciales. El GDPR, por ejemplo, está conectado tangencialmente a los estándares de ciberseguridad más específicos, al tiempo que está estrechamente vinculado a la Directiva NIS.


Espero poder compartir información y experiencia de especialistas en cumplimiento de normas y explicar cómo Illumio puede ayudar a cualquier organización a alcanzar sus objetivos de cumplimiento de normas.

Temas relacionados

Cumplimiento de normas

Artículos relacionados

Seguridad de confianza cero, mentalidad de “asumir una brecha” y el proyecto de ley de reforma de datos del Reino Unido
Ciberresiliencia

Seguridad de confianza cero, mentalidad de “asumir una brecha” y el proyecto de ley de reforma de datos del Reino Unido

Si bien el 90 por ciento de las organizaciones planea priorizar una estrategia de seguridad Zero Trust en 2022, sorprendentemente pocas creen que experimentarán una brecha.

Leer más
Aprendizajes de MoveIT: Cómo las organizaciones pueden desarrollar resiliencia
Ciberresiliencia

Aprendizajes de MoveIT: Cómo las organizaciones pueden desarrollar resiliencia

Aprenda a proteger su organización de la nueva vulnerabilidad de día cero en la aplicación de transferencia de archivos MOVEit.

Leer más
Nuestras historias FAVORITAS de Zero Trust de septiembre de 2023
Ciberresiliencia

Nuestras historias FAVORITAS de Zero Trust de septiembre de 2023

Estas son algunas de las historias y perspectivas de Zero Trust que más nos destacaron este mes.

Leer más
No se han encontrado artículos.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Más información