Los requisitos de cumplimiento de los distintos estándares de industria y gobiernos puede demandar un alto grado de esfuerzo por parte de las organizaciones y en muchos casos es un gran desafío. La complejidad que supone hace que nos limitemos a conseguir cumplir con el requerimiento sin tener en cuenta el trasfondo real.
Todas las regulaciones hacen hincapié en la importancia de incluir a las personas a la hora de gestionar el riesgo. Por lo que es imprescindible contar con soluciones enfocadas al elemento humano.
Kymatio ofrece un programa de concienciación sobre ciberseguridad enfocado a las personas y completamente automatizado, que provee de insights e informes de riesgo del elemento humano, evolución del nivel de concienciación y estado de alerta, basados en datos reales de la organización para cumplir con los requisitos normativos globales de seguridad de la información.
ISO/IEC 27001 y 27002
Encontramos elementos destacados en la norma de seguridad ISO 27001 que, a modo de resumen, solicita en su sección A.7.2.2 relativa a la concienciación, educación y formación sobre seguridad de la información que todos los empleados y contratistas relevantes deben recibir la educación y la formación de concienciación adecuadas para hacer su trabajo de forma correcta y segura, así como recibir actualizaciones periódicas de políticas y procedimientos organizativos junto con un buen conocimiento de la legislación aplicable que les afecta en el puesto.
CobiT
CobiT hace claras referencias a la necesidad de capacitación del personal, proporcionar a los empleados la orientación adecuada y la capacitación continua para mantener sus conocimientos, habilidades, controles internos y conciencia de seguridad en el nivel requerido para lograr las metas organizacionales. Garantizar el cumplimiento del usuario con las políticas y procedimientos. Se debe impartir formación a los empleados sobre conducta ética y conciencia y prácticas de seguridad del sistema.
EIOPA
En su última revisión la EOIPA lanza las directrices sobre gobernanza y seguridad de las tecnologías de la información y las comunicaciones (TIC) (octubre de 2020) que abordan las directrices sobre TIC y gestión de riesgos de seguridad, las TIC dentro del sistema de gobernanza y su estrategia, riesgos de seguridad dentro del sistema de gestión de riesgos y guías para la función de seguridad de la información.
Se hace referencia en múltiples apartados a la necesidad de incorporar el ciberriesgo humano,
no solo como línea de concienciación, sino como sistema de riesgos que contemple el ciberriesgo humano.
ENS
El Esquema Nacional de Seguridad tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos y está constituido por principios básicos y requisitos mínimos que permitan una protección adecuada de la información. La seguridad debe considerarse un proceso integral, compuesto por todos los elementos humanos, técnicos, organizativos y materiales vinculados al sistema. Se tendrá en cuenta, sobre todo, la concienciación de las personas.
Gestión de riesgos. El análisis y gestión de riesgos es un aspecto fundamental dentro del proceso de seguridad y es necesario que esté actualizado continuamente. La gestión de riesgos mantendrá controlado el entorno, reduciendo los riesgos a niveles aceptables.
PCI-DSS
El Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago o PCI DSS hace las siguientes referencias.
Necesidad de implementar un programa formal de concienciación sobre seguridad para que todo el personal tome conciencia de la importancia de la seguridad de los datos del titular de la tarjeta. Capacitar al personal inmediatamente después de contratarlo y, al menos, una vez al año. Exigir al personal que realice, al menos, una vez al año, una declaración de que leyeron y entendieron la política y los procedimientos de seguridad de la empresa. Examinar al personal potencial antes de contratarlo a fin de minimizar el riesgo de ataques desde fuentes internas. Capacitar adecuadamente al personal sobre las responsabilidades de respuesta ante fallos de seguridad.
European Banking Authority (EBA)
Destaca los requisitos de clasificación y evaluación de riesgos que deben cumplir las instituciones en términos de criticidad, para ello deben, como mínimo, considerar los requisitos de confidencialidad, integridad y disponibilidad. Hace foco en la mitigación de riesgos, sobre la base de las evaluaciones de riesgos, así como deben definir e implementar medidas para mitigar los riesgos de seguridad y de TIC. Proteger los activos de información de acuerdo con su clasificación. Especial relevancia tiene el apartado sobre la capacitación y sensibilización en seguridad de la información. Donde se hace hincapié en que las instituciones financieras deben establecer un programa de capacitación, incluidos programas periódicos de concientización sobre seguridad, para todo el personal y los contratistas a fin de garantizar que estén capacitados para realizar sus deberes y responsabilidades de acuerdo con las políticas y procedimientos de seguridad relevantes para reducir errores humanos, robos, fraudes, mal uso o pérdida y cómo abordar los riesgos relacionados con la seguridad de la información.
NISTIR 8286A. Identifying and Estimating Cybersecurity Risk for Enterprise Risk Management (ERM)
El documento complementa el Informe Interinstitucional / Interno 8286 del NIST, Integración de la ciberseguridad y la gestión de riesgos empresariales (ERM), proporcionando detalles adicionales con respecto a la orientación, la identificación y el análisis de riesgos. La documentación describe escenarios basados en el impacto potencial de las amenazas y vulnerabilidades en los activos de la empresa. Documentar la probabilidad y el impacto de varios eventos de amenazas a través de registros de riesgos de ciberseguridad integrados en un perfil de riesgo empresarial permite priorizar y comunicar la respuesta y monitorización del riesgo de ciberseguridad empresarial. Este marco describe un conjunto de actividades que consideran las cinco funciones:
Se hace referencia explícita
PR.AT Awareness and Training / Sensibilización y formación:
•Todo el personal ha sido capacitado en prácticas de seguridad física y de la información.
•Usuario interno
Puede ser víctima de un ataque de phishing por correo electrónico debido a la falta de capacitación suficiente.
Health Insurance Portability & Accountability Act (HIPAA)
La Ley de Transferencia y Responsabilidad de Seguro Médico (Health Insurance Portability and Accountability Act, HIPAA por sus siglas en inglés) de 1996 fue creada para proteger a millones de trabajadores y a miembros de sus familias en los Estados Unidos que padecen alguna afección médica. Entre sus principales requisitos se encuentra implementar un programa de capacitación y concienciación sobre seguridad para todos los miembros de la fuerza laboral (incluida la gerencia).
Federal Information Security Management Act (FISMA)
La Ley Federal de Gestión de la Seguridad de la Información (FISMA) es un marco diseñado para proteger al gobierno de los Estados Unidos contra los ataques a la ciberseguridad y los desastres naturales que pongan en riesgo los datos confidenciales. Requiere obtener capacitación y concienciación en ciberseguridad e informar al personal, incluidos los contratistas y otros usuarios de los sistemas de información que respaldan las operaciones y los activos de la agencia, de los riesgos de seguridad de la información asociados con sus actividades, así como de sus responsabilidades en el cumplimiento de las políticas y procedimientos de la agencia diseñados para reducir estos riesgos.
FACTA – FTC Red Flags Rule
La Ley de Transacciones de Crédito Justas y Precisas (Fair and Accurate Credit Transaction Act - FACTA) es una enmienda a la Ley de Informes de Crédito Justos (FCRA) e incluye la Regla de las banderas rojas, implementada en 2008. La regla de las banderas rojas exige que las instituciones financieras y los acreedores implementen banderas rojas para detectar y prevenir contra el robo de identidad. Las instituciones deben tener un Programa de Prevención de Robo de Identidad (ITPP) escrito para gobernar su organización y proteger a sus consumidores. FACTA enmienda la Ley de informes crediticios justos, la FTC creó la Regla de banderas rojas, que requiere la capacitación como parte de un programa de prevención de robo de identidad. Los empleados deben recibir capacitación sobre las diversas señales de alerta a tener en cuenta y/o cualquier otro aspecto relevante del programa de prevención de robo de identidad de la organización.
Gramm-Leach Bliley Act
La Ley Gramm-Leach-Bliley (GLBA), también conocida como Ley de Modernización de Servicios Financieros de 1999, (Pub.L. 106-102 (texto) (pdf), 113 Stat. 1338, promulgada el 12 de noviembre de 1999) es una ley del 106º Congreso de los Estados Unidos (1999-2001).
Describe cómo en cumplimiento de la política en la subsección (a) de esta sección, cada agencia o autoridad descrita en la sección 6805 (a) de este título deberá establecer normas apropiadas para las instituciones financieras. Sujeto a su jurisdicción en relación con las salvaguardias administrativas, técnicas y físicas:
•Asegurar la seguridad y confidencialidad de los registros y la información de los clientes;
•Para protegerse contra amenazas o peligros anticipados a la seguridad o integridad de dichos registros;
•Para proteger contra el acceso no autorizado o el uso de dichos registros o información que podría resultar en daños o
inconvenientes sustanciales a cualquier cliente.
Sarbanes-Oxley (SOX)
La Ley SOX ha reglamentado en los Estados Unidos diversos controles para mejorar la calidad de la información financiera, teniendo como base las normas de contabilidad, control interno, gobierno corporativo, independencia de las auditorías y el aumento de las sanciones por delitos financieros.
North American Electric Reliability Corporation (NERC) Critical Infrastructure Protection Standard
La Norma de protección de infraestructura crítica de la North American Electric Reliability Corporation (NERC) determina que la Entidad Responsable deberá establecer, documentar, implementar y mantener un programa de concienciación sobre seguridad para garantizar que el personal que tenga acceso ciber autorizado o acceso físico autorizado (sin escolta) a los Activos Cibernéticos Críticos reciba un refuerzo continuo en prácticas de seguridad sólidas.
El programa incluirá un refuerzo de la conciencia de seguridad al menos trimestralmente utilizando mecanismos como:
•Comunicaciones directas (por ejemplo, correos electrónicos, memorandos, capacitación por computadora, etc.);
•Comunicaciones indirectas (por ejemplo, carteles, intranet, folletos, etc.);
•Apoyo y refuerzo de la gestión (por ejemplo, presentaciones, reuniones, etc.).
US State Privacy Laws
En Estados Unidos encontramos múltiples estados que tienen sus propias leyes de privacidad individuales, como ejemplos de interés destacan:
•Texas Health Privacy Law: Texas’s Health Privacy Law, H.B. No. 300 § 181.101 (Ley de Texas de privacidad en el ámbito de la salud), requiere que los empleados sean formados tanto en la ley estatal como en la HIPAA. Las sanciones por no cumplir con la ley de Texas son muy elevadas, equivalentes a las de HIPAA.
Massachusetts Data Security Law: Llamada 201 CMR 17.03, obliga a formar para mantener un programa integral de seguridad de la información.
•Federal Guidelines for the Sentencing of Organizations.
•SEC Cybersecurity Examination Initiative Guidance.
Basilea III
Basilea III es un conjunto de medidas acordadas internacionalmente que el Comité de Supervisión Bancaria de Basilea ha desarrollado en respuesta a la crisis financiera de 2007-09. El objetivo de dichas medidas es reforzar la regulación, la supervisión y la gestión del riesgo de los bancos.
Solvencia II
El marco regulador de la directiva Solvencia II ayuda a comprender mejor los riesgos del sector asegurador en su conjunto, en un mundo que cada vez es más complejo y globalizado y con unos riesgos de mayores dimensiones y estrechamente interconectados.