Controlar el cumplimiento, concienciar sobre los riesgos cibernéticos, análisis de riesgos y gestión diaria… Año tras año, a los CISO se les asignan más y más responsabilidades, una tendencia que lamentablemente va a continuar con la próxima introducción de nuevas normativas.
La pregunta es: ¿cómo podemos gestionar eficazmente nuestro tiempo de trabajo? La respuesta podría estar en la automatización de determinadas tareas, sobre todo las relacionadas con el cumplimiento de la normativa.
Esto plantea una serie de preguntas: ¿es posible automatizar la gestión de una certificación? ¿En qué medida? ¿Y cómo puede la plataforma Tenacy simplificar la implantación, el mantenimiento y la evaluación de la conformidad? Empecemos por el principio.
AUTOMATIZAR EL CUMPLIMIENTO: ¿DE QUÉ ESTAMOS HABLANDO?
Automatizar el cumplimiento: un objetivo lejano
El cumplimiento es un proceso que afecta a todos los niveles de la empresa, lo que hace que la tarea sea aún más compleja.
Como explica Baptiste David, responsable de estrategia de mercado de Tenacy, “hasta la fecha, no existen en el mercado soluciones de cumplimiento de la normativa “todo en uno”, en las que basta con pulsar un botón para que todo esté en orden“.
Por tanto, cumplir los requisitos de conformidad de forma automatizada puede resultar especialmente difícil.
Mientras que acciones estándar como desplegar y actualizar soluciones de protección del escritorio se incorporan ahora a la supervisión del cumplimiento, no ocurre lo mismo cuando se trata de integrar el entorno de software de equipos como recursos humanos o finanzas.
Frente al objetivo de que todo esté automatizado, no olvidemos que el cumplimiento de la normativa requiere un análisis por parte del CISO, incluida una fase de elaboración de informes, una acción que a día de hoy sigue siendo difícil de automatizar. Como señala Baptiste David, “aunque los rápidos avances en el campo de la inteligencia artificial generativa prometen apoyar a los CISO en estas tareas, todavía estamos muy lejos de poder discutir cuestiones técnicas con API“.
Por último, el control del cumplimiento requiere una actuación periódica y no puede automatizarse por completo.
Pero no hay que desanimarse. Aunque automatizar el cumplimiento y mantenerlo sigue siendo difícil, no ocurre lo mismo con la evaluación, que tiene la ventaja de basarse en datos y cifras reales.
Automatización de la medición del cumplimiento
Mientras que los CISO han basado tradicionalmente las evaluaciones de cumplimiento en su interpretación personal, ahora es posible utilizar datos cuantificados para una medición más objetiva.
Por ejemplo, ante el requisito NIS 2 sobre protección contra software malicioso, la instalación de soluciones de protección en los equipos se convierte en una medida cuantificable.
En este contexto, la evaluación continua, basada en datos concretos, elimina el sesgo subjetivo y garantiza una supervisión dinámica del cumplimiento. Este enfoque se ve reforzado por el uso de herramientas de colaboración y gestión de proyectos que facilitan la recopilación de datos y el seguimiento en ciberseguridad.
TENACY: UNA PLATAFORMA PARA AUTOMATIZAR TU CIBERCUMPLIMIENTO
Ahorra tiempo en la comprensión de textos normativos
El primer punto positivo es que Tenacy analiza los textos normativos más frecuentes y los traduce en acciones concretas.
En términos prácticos, si deseas obtener la certificación ISO 27001, la plataforma Tenacy aclara los requisitos y los transforma en acciones concretas, como la necesidad de un software antivirus, un SOC o actualizaciones periódicas de la seguridad.
Es más, la herramienta te permite comprobar lo que tienes que hacer para cumplir la normativa, pero también hacer un seguimiento de tus progresos y asegurarte de que se aplican realmente las medidas necesarias. Por ejemplo, si una empresa ya utiliza un SOC, Tenacy ajusta su puntuación de cumplimiento en consecuencia.
Benefíciate de un catálogo de conformidad y regulaciones
La plataforma también destaca por su catálogo de productos de cumplimiento y regulaciones, que permite a los CISO seleccionar fácilmente los que mejor se adaptan a las necesidades de su organización. Entre ellos se encuentran:
- ISO 27001: norma internacional para sistemas de gestión de la seguridad de la información (SGSI), que define los requisitos para establecer, implantar, mantener y mejorar un SGSI en una organización;
- PCI-DSS: norma diseñada para asegurar las transacciones de pago con tarjeta protegiendo los datos de los titulares contra el fraude y el robo de datos;
- EIOPA: marco regulador del sector asegurador en Europa, cuyo objetivo es garantizar la solvencia y estabilidad financiera de las aseguradoras para proteger a los consumidores;
- SOC2 (Service Organization Control 2): informe de auditoría que evalúa los controles de seguridad y confidencialidad en los proveedores de servicios tecnológicos, para la protección de los datos de los clientes;
- DORA (Digital Operational Resilience Act): propuesta de reglamento de la UE para reforzar la resistencia operativa del sector financiero frente a los riesgos relacionados con las TIC.
Como resultado, una empresa que necesita cumplir tanto con DORA como con ISO 27001 puede seguir y gestionar su progreso de cumplimiento para ambas regulaciones simultáneamente desde la plataforma Tenacy. Este enfoque integrado elimina la necesidad de empezar desde cero para cada nueva reglamentación, agilizando el proceso de cumplimiento y permitiendo un seguimiento eficaz y centralizado.
Es más, si tu organización necesita seguir una PSI, Tenacy permite el despliegue y seguimiento de regulaciones personalizadas, facilitando la importación de los requisitos y medidas de seguridad correspondientes.
Centraliza tus fuentes de datos en una sola plataforma
Los CISO también pueden conectar fácilmente soluciones de seguridad a la plataforma Tenacy. Por ejemplo, las empresas que utilizan Cybereason, Palo Alto Cortex, SentinelOne o Microsoft Defender for Endpoint pueden conectar fácilmente estas soluciones EDR para obtener una visión completa de la detección de amenazas y la respuesta en los endpoints.
Para la seguridad de las instancias de Active Directory, Tenacy ofrece un conector nativo con PingCastle. Por último, para la gestión de identidades, la plataforma se asocia de forma nativa con Google Workspace y Azure Active Directory. Si utilizas una solución que no figura en la lista, ¡siempre puedes recurrir a la API de Tenacy!
Tanto si se trata de consolidar datos de seguridad, medir el cumplimiento o supervisar puntuaciones de seguridad como las proporcionadas por Microsoft Secure Scores, Tenacy ofrece una sólida plataforma para una gestión eficaz e integrada de ciberseguridad.
Crea cuadros de mando personalizados
La herramienta ofrece indicadores específicos de las políticas de seguridad y calcula automáticamente tu puntuación de conformidad. Esta flexibilidad te permite concentrar tus esfuerzos donde la experiencia humana es más valiosa, automatizando tareas repetitivas y de escaso valor añadido, como el cálculo de estadísticas.
Tenacy te permite alejarte de la gestión a veces caótica de Excel y centrarte en el análisis de resultados y la toma de decisiones estratégicas.