Visto: 773

6 pasos claves para cumplir con un programa de Cloud Compliance exitoso y efectivo

Inicio desactivadoInicio desactivadoInicio desactivadoInicio desactivadoInicio desactivado
 

La tecnología de la nube se está convirtiendo en una pieza clave para muchas empresas, debido a los múltiples beneficios que aporta.

Sin embargo, también son muchos los riesgos asociados a estos nuevos entornos de trabajo, ya que cada vez se producen más brechas de seguridad en este tipo de herramientas corporativas. Por este motivo Check Point Software Technologies Ltd., señala los 6 puntos clave para poner en marcha un programa de Cloud Compliance de garantías que permita hacer frente a los ciberriesgos asociados a la nube.

A medida que la industria de la nube crece, la efectividad de los programas de cumplimiento se ha visto afectada. Por tanto, es imprescindible contar con soluciones tecnológicas que faciliten algunos de los retos de la seguridad en la nube. “En la actualidad, los ciberataques son cada vez más rápidos y sofisticados, por lo que se requieren herramientas automáticas para mejorar la identificación de amenazas y mejorar el tiempo de respuesta y reparación.

Esto es especialmente necesario en nuevos entornos de trabajo como la nube, que destacan por su naturaleza cambiante”, señala Eusebio Nieva, director técnico de Check Point para España y Portugal.

Si bien el cumplimiento no es una garantía de seguridad en entornos cloud, puede ayudar a tomar un enfoque en la estrategia de ciberseguridad. Los expertos de Check Point señalan que los pasos clave para implementar con éxito cualquier programa de cumplimiento en la nube son:

1. Ganar visibilidad de los activos: Sólo se puede proteger lo que se conoce y se tiene. Con la nube, los recursos digitalizados son los activos, por lo que es fundamental que todos los sistemas estén correctamente organizados y adaptados para su futura evolución.

2. Elección del sistema de cumplimiento adecuado: Los programas de cumplimiento deben ser elegidos con base en las diferentes necesidades del mercado y de la industria. En el caso de las empresas para las que no existen normas de regulación específicas, las necesidades de la base de clientes pueden servir de guía para la elección; normas empresariales comunes, como el SOC2 de la AICPA, puede ser un buen punto de partida. 

3. Evaluación inicial, excepciones y personalización: A la hora de analizar cualquier programa de cumplimiento, vale la pena examinar cómo otros han aplicado ciertas soluciones para cumplir con sus requisitos. Por ejemplo, los marcos de trabajo PCI muestran la necesidad de que los componentes específicos del sistema de datos del titular de la tarjeta (en lugar de toda la red o el sistema interconectado) reciban el mayor grado de protección.

4. Monitoreo, frecuencia de las evaluaciones continuas, integración con el flujo de trabajo: La mayoría de los programas de cumplimiento cuentan con controles que deben estar operativos en todo momento, por lo que es necesario supervisarlos continuamente. Para que sea más fácil cumplir con estos requisitos, muchas empresas utilizan herramientas que automatizan el flujo de trabajo y aseguran la eficiencia de sus sistemas.

5. Reparación automatizada: Los sistemas que actúan en la nube son más complejos que los modelos tradicionales. Los controles de alta complejidad, como los sistemas de gran volumen y la detección de vulnerabilidades, se realizan automáticamente para aumentar la eficiencia. Sin embargo, es importante ser cuidadoso con la automatización de las actividades de seguimiento, especialmente en el caso de que se produzcan falsos positivos, ya que esto puede derivar en fallos de seguridad a gran escala. 

6. Informes y auditorías: La implantación de la tecnología cloud debe venir acompaña de un sistema o herramienta que permita llevar un control sobre todo lo que sucede y, por tanto, generar informes periódicos que permitan evaluar de regular el rendimiento de todos los elementos que forman parte de la estrategia de ciberseguridad en la nube.