Cumplimiento de múltiples estándares – un sueño posible

A lo largo de la década de 1970, el equipo nacional de fútbol de los Países Bajos interrumpió el “status quo” de la forma de jugar fútbol (soccer). Vinieron con la doctrina del “fútbol total” (totaalvoetbal). En el fútbol total, un jugador que se mueve fuera de su posición es reemplazado por otros jugadores. De esa manera, el equipo preservará su estructura organizativa durante el juego. En este sistema fluido, ningún jugador de campo está fijo en un rol predeterminado; cualquiera puede jugar sucesivamente como atacante, centrocampista y defensor. La única posición fija es el portero. Usando esta doctrina, el equipo nacional de los Países Bajos pudo obtener el segundo lugar en los Mundiales de 1974 y 1978.

Cuando nos enfrentamos al mundo del desarrollo de controles de cumplimiento, las herramientas están destinadas a un estándar específico. En consecuencia, no es lo mismo planificar un sistema de control para PCI, HIPAA, GDPR, ISO 27K, NIST o cualquier otro estándar.

Incluso cuando las organizaciones desean adherirse a un estándar específico, los productos de protección de datos deben adaptarse a un entorno de múltiples estándares. Múltiples usuarios finales desean medir su cumplimiento con diferentes estándares. Ese es el medio de cultivo de un concepto definido como mapeo cruzado.

El mapeo cruzado es la capacidad de un sistema para medir el cumplimiento de múltiples estándares.

Requiere estudiar cada uno de los estándares, buscar el terreno común y crear un cuerpo de controles que se pueda encontrar en cualquiera de los estándares y constituye la base de la herramienta de medición de cumplimiento.

Una vez que tenga ese terreno común definido y asegurado, es hora de comenzar a buscar cada uno de los objetivos de control específicos los cuales son únicos en cada estándar. La siguiente fase comenzará a asignar controles técnicos a cada uno de los objetivos de control, de modo que los sensores se puedan adaptar para cubrir cada uno de los objetivos de control comunes y específicos.

Esos sensores deben estar alineados con un marco de referencia como el ATT&CK® de MITRE, que ayuda a las organizaciones a crear y desarrollar sensores y controles técnicos basados ​​en la perspectiva del atacante.

Permitirá a las empresas integrar las tácticas y técnicas en el sistema de control para la protección de datos. Las tareas restantes son la parte fácil. Todo lo que necesita hacer es conectar todos los puntos en la ecuación, y logrará el Valhalla de cumplimiento: multi-estándar en pocas palabras.

En este punto, tendrá una herramienta poderosa que se puede adaptar y personalizar a cada estándar posible. Usando la analogía de la doctrina del fútbol total, no importa qué estándar use una organización.

Lo único importante aquí es la capacidad de preservar los controles independientemente del estándar utilizado. En un mundo líder en estándares de seguridad de datos potentes y estrictos como el que vivimos hoy en día, el mapeo cruzado se está convirtiendo en una “navaja suiza” que permitirá a las empresas ajustar sus controles al cumplimiento en el terreno común rápidamente.

El camino para lograr esto no es simple. Requiere dedicación, estudio, documentación y muchas tazas de café. Al final, las organizaciones encontrarán un valor agregado a su producto, basado en versatilidad, adaptabilidad, escalabilidad y resistencia mediante el uso de controles de mapeo cruzado.

Share

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Deja un Comentario