¿Qué es un Marco de Cumplimiento?
Publicado el 11 de enero de 2020 * Lectura de 2 minutos
Un marco de cumplimiento, también conocido como programa de cumplimiento, es un conjunto estructurado de directrices y mejores prácticas que detalla los procesos de una empresa para cumplir con los requisitos reglamentarios. Un marco de cumplimiento de ciberseguridad generalmente se centra en la gestión de riesgos y la seguridad de los datos.
Además de cumplir con los requisitos de cumplimiento normativo, una organización utiliza su(s) marco (s) de cumplimiento para mejorar la seguridad, mejorar los procesos de negocio y alcanzar otros objetivos de negocio, como vender productos y servicios en la nube a agencias gubernamentales.
Un marco de ciberseguridad generalmente ofrece recomendaciones para implementar y administrar las diversas características del programa de ciberseguridad de una empresa, incluidos el control de acceso, el cifrado, la autenticación, el monitoreo, la respuesta a incidentes, la defensa perimetral y la gestión de riesgos.
Un marco de cumplimiento y un marco de ciberseguridad proporcionan un lenguaje común que las personas de todas las áreas de una organización pueden usar para fomentar prácticas empresariales más seguras y eficientes.
Los auditores internos de una empresa y otras partes interesadas internas utilizan el marco de cumplimiento para evaluar los controles internos de la organización. Los auditores externos también pueden utilizar el marco de cumplimiento para evaluar y verificar los controles internos de una empresa.
Además, los inversores y clientes potenciales, por ejemplo, pueden utilizar marcos de cumplimiento normativo para evaluar el riesgo que podrían enfrentar si se asocian con ciertas empresas y también determinar la rentabilidad de esas organizaciones.
Cumplir con los requisitos de cumplimiento normativo es un proceso continuo. Esto se debe a que el entorno empresarial de una empresa cambia constantemente. Como tal, es posible que uno o más de sus controles internos no funcionen con la misma eficacia que en el pasado.
En consecuencia, una organización debe supervisar su(s) marco (s) de cumplimiento con regularidad e informar sobre sus conclusiones. Cada marco contiene orientación sobre el significado exacto de “supervisión periódica”.”
Hay una serie de marcos de cumplimiento que el equipo de seguridad de la información de una empresa puede adoptar para cumplir con los requisitos normativos. Uno de estos marcos de cumplimiento es el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS). El PCI DSS se aplica a todas las entidades involucradas en el procesamiento de tarjetas de pago, incluidos comerciantes, procesadores, adquirentes, emisores y proveedores de servicios.
El PCI DSS está diseñado para proteger la seguridad de los datos de los titulares de tarjetas. El PCI DSS ofrece orientación sobre la protección de datos de tarjetas de pago e incluye un marco de cumplimiento de especificaciones, mediciones, herramientas y recursos de soporte para permitir a las empresas manejar de forma segura la información de los titulares de tarjetas.
El marco de cumplimiento de PCI DSS también ayuda a las organizaciones a desarrollar procesos sólidos de seguridad de datos de tarjetas de pago, como la prevención y detección. Además, el marco de cumplimiento de PCI DSS también ayuda a las empresas a desarrollar respuestas adecuadas a los incidentes de ciberseguridad.
La Organización Internacional de Normalización (ISO) también proporciona un marco de cumplimiento normativo. ISO es un amplio conjunto de normas internacionales diseñadas para mejorar y generar informes sobre la gestión de la seguridad y la calidad en una serie de industrias.
Hay una variedad de sub-marcos dentro del marco ISO principal que se aplican a ciertas industrias y disciplinas.
Por ejemplo, es probable que una empresa de fabricación utilice el subconjunto ISO 9000, ya que los controles de este marco se centran en la gestión de la calidad. Sin embargo, una empresa que quiera mejorar sus sistemas de gestión de la seguridad de la información probablemente encuentre más útiles los controles descritos en el sub-marco de ciberseguridad ISO 27000.