Si añadimos a todo esto una agenda llena, el uso generalizado de dispositivos móviles (BYOD “Trae tu propio dispositivo”), Internet de las Cosas, Inteligencia Artificial, analíticas etc., es evidente que se avecina una tormenta de TI perfecta. Una tormenta que probablemente quita el sueño a muchos de los CIO o CISO aunado al robo de datos sensibles, la cobertura internacional de los medios, la pérdida de la confianza pública y culmina con una multa considerable por fallar en el cumplimiento o seguimiento de los estándares regulatorios de TI.
Ese sueño, o pesadilla, probablemente ahora se siente más real para algunas organizaciones como se informa frecuentemente en los medios de comunicación. La realidad es que en ambientes hiperconectados, complejos y cambiantes cada organización puede ser víctima de ataques cibernéticos o de disrupciones de TI y encontrarse en los titulares del día de mañana por negligencia de TI con consecuencias terribles.
Con tanto en juego, la seguridad de TI se ha convertido en una prioridad absoluta en todas las empresas hasta para los altos cargos (C-suit). Esta tendencia probablemente esté aquí para quedarse por algún tiempo y por razones muy válidas. Lo principal es que casi todos los negocios dependen de una combinación de activos digitales impulsados por datos. Por lo tanto, estos datos necesitan gestionarse, almacenarse y asegurarse de manera apropiada y de no hacerlo se garantizan multas regulatorias, cobertura mediática negativa y pérdida de ingresos.
Pero garantizar la seguridad y la integridad de los datos, la cual obviamente es primordial, es sólo una parte de la ecuación. Las organizaciones necesitan proteger sus activos de TI. De hecho, las amenazas cibernéticas pueden afectar la producción y las capacidades de servicio que dan como resultado disrupciones operativas sustanciales con pérdida potencial de valor de mercado y oportunidades o incluso consecuencias más serias cuando los objetivos son hospitales o clínicas como lo ilustró el reciente fraude de secuestro de datos.
En un contexto tan desafiante, ¿cómo pueden los profesionales de TI asegurar que sus activos y datos de TI están protegidos de manera efectiva? Una posible respuesta a esta pregunta consiste en adherirse a varias regulaciones y normas vigentes de la industria.
Diseñados para asegurar la seguridad de los datos del cliente, la protección del inversionista o la prevención de fraudes, los requisitos regulatorios, como SOX para el informe financiero o HIPAA para la industria de la salud, son normas obligatorias que las empresas deben de seguir para evitar sanciones y daños a la reputación.
Además de esas legislaciones, las asociaciones de la industria han seguido desarrollando sus propios estándares de seguridad de TI. Los típicos ejemplos incluyen PCI DSS para el proceso y almacenamiento de información de tarjetas de crédito, NIST y su marco de seguridad cibernética y los estándares internacionales 27001 en seguridad de la información de ISO.
Pero esos requisitos regulatorios y los estándares de la industria se percibían principalmente como un obstáculo para el negocio. Sin embargo, la reciente proliferación de ataques cibernéticos, tanto en número como en escala, asociados con el aumento de costos de TI han sido un punto de inflexión. Esto lleva a las organizaciones a darse cuenta rápidamente de que al adoptar esas legislaciones y estándares tienen una oportunidad tremenda para desarrollar su infraestructura y aplicaciones de TI.
De hecho, el cumplimiento de las regulaciones y los estándares proporciona a las empresas un marco viable para fortalecer la seguridad de TI y la resiliencia al aplicar directrices de TI obligatorias y recomendadas en su panorama de TI.
No obstante, las organizaciones, especialmente si operan en un ambiente distribuido a un nivel multijurisdiccional, luchan en esta etapa para:
Ahí es donde el uso de un agregador de contenido regulatorio de TI como UCF se vuelve muy útil. Acelera la importación y el proceso de los estándares regulatorios aplicables al entregarlos en un formato estandarizado con todo lo necesario para las directrices de control de TI necesarias. Los departamentos de TI entonces pueden identificar fácilmente las oportunidades de colaboración y mantener los costos de cumplimiento bajo control.
Una vez que han identificado y recuperado los requisitos regulatorios de TI y los estándares de la industria, se necesitan distribuir en todos los activos de TI de la empresa para medir la seguridad de la infraestructura y el estado de cumplimiento y permitir las actividades de mitigación necesarias resultantes.
Los activos de TI generalmente se dispersan en toda la organización y se gestionan de forma aislada utilizando diferentes soluciones puntuales, dificultando la vigilancia del ecosistema de TI. Esto dificulta el proceso de mitigación de riesgos, así como la capacidad de la organización para parar rápidamente los incidentes cibernéticos cuando ocurren.
Por eso gestionar los riesgos de TI de manera eficiente requiere de tener una visibilidad completa de los activos de TI de la empresa en todas las múltiples dimensiones, que con frecuencia resultan de un esfuerzo conjunto entre todas las disciplinas como arquitectura de TI, seguridad de TI y cumplimiento de TI.
La consecuencia de esta acción combinada es un mapeo completo del inventario de TI que incluye aplicaciones, tecnología y datos que se usan y todos sus flujos relacionados para identificar rápidamente áreas de preocupación y visualizar los efectos potenciales de propagación.
Esta técnica no sólo beneficia al proceso de descubrimiento de riesgos de seguridad de TI al exponer la segmentación del servidor o el Sistema Operativo Distribuido (SOD por sus siglas en inglés) en toda la red o el ciclo de vida de gestión de datos completo. También ayuda a cumplir con varios de los estándares de información del cumplimiento al remover la complejidad de TI en caso de examinaciones.
Las organizaciones que ya están equipadas con esta visión integral se benefician de una buena ventaja inicial en la protección de sus activos de TI. Pueden analizar de manera rápida y priorizar sus esfuerzos basadas en su experiencia y en la criticidad de los activos de TI para el negocio y también asignar responsabilidades para asegurar la distribución de tareas apropiada.
Para gestionar y monitorear de manera efectiva la seguridad de TI en toda la organización es clave asignar los requisitos y los estándares de TI que provienen de UCF para los activos de TI mapeados de manera centralizada. Lograr este paso es crucial porque es la piedra angular del cumplimiento de TI que da soporte a todo el proceso de mitigación y de evaluación que se debe de seguir.
De hecho, los controles de TI establecidos tienen que probarse de manera regular a través del monitoreo continuo para asegurar su robustez y así proteger a la organización de las amenazas y deficiencias. Se necesitan identificar los problemas para darles una rápida solución con una búsqueda completa desde el control, pasando por las normas reglamentarias, hasta los activos de TI.
Ahora bien, el cumplimiento de TI no debe de tratarse como un ejercicio aislado. Por el contrario, se debería considerar como un componente integral en la estrategia global de ERM (Gestión de Riesgos Empresariales) de la organización para permitir a los profesionales de TI encapsular su perspectiva con la visión global de negocios de los riesgos. Esto, a su vez, ayuda a la gerencia a tomar mejores decisiones basados en la transparencia total del estado de cumplimiento y seguridad de TI actual, también para darles a las autoridades reguladoras la documentación completa y el seguimiento de la auditoria en de un caso del examen reglamentario.
Al adoptar el cumplimiento de TI, las empresas están mejor armadas para asegurar la seguridad y la legalidad de sus activos de TI y salvaguardar su sustentabilidad y reputación. El cumplimiento de TI proporciona a las empresas un enfoque sólido para gestionar mejor su panorama de TI y así evitar ser el siguiente caso que aparece en los titulares del día mañana por negligencia de TI.