Recientemente, desde INSSIDE lanzamos nuestra plataforma de cumplimiento normativo. Se trata de un producto innovador que nace con el objetivo de facilitar y agilizar la labor de los auditores y todos aquellos encargados de guiar una auditoría.
Sin dudas, INSSIDE Security Suite (ISS) es una propuesta que se encuentra en constante mejora y optimización, lanzando nuevas características que la hacen estar a la vanguardia de lo que los auditores y las empresas necesitan para cumplir con los requisitos de las normas más conocidas y exigentes de los mercados.
Esta semana tuvimos el agrado de conversar con nuestra especialista Ing. Agostina Lambertucci, QSA y una de las creadoras del nuevo producto que ofrecemos desde INSSIDE que promete ser la mano derecha de los auditores.
Pregunta: ¿Qué te inspiró a desarrollar esta aplicación?
Agostina: En primer lugar, la mayoría de nuestros clientes deben mantener el cumplimiento de diversas normativas, ya sea por necesidad del negocio, por definición del CISO o por la industria en sí. El seguimiento de estas normativas lo suelen realizar a través de archivos Excel, una práctica que complejiza el seguimiento y visibilidad del proceso. Por lo tanto, el objetivo de INSSIDE Security Suite (ISS) es que puedan tener toda la información en una misma plataforma, con facilidad de seguimiento y centralización de los datos.
En futuras versiones de la herramienta, se podrán asociar todos los proyectos con el objetivo de reutilizar aquella información que ya ha sido cargada previamente para una norma y que es necesaria para otro marco normativo.
P: Háblame sobre la experiencia del usuario al utilizar la aplicación. ¿Cómo facilita el proceso de gap análisis y mejora el cumplimiento?
A: Hay tres puntos importantes a destacar en este sentido: recomendaciones de remediación, evidencias y aquellos designados como responsables.
Nuestros consultores expertos en GRC han cargado las recomendaciones de remediación en las normativas, por lo que nuestros clientes obtendrán de forma automática cuáles son las medidas a implementar para cumplir con los controles de la norma evaluada. Adicionalmente, han elaborado listados de evidencias a revisar para cada norma, por lo tanto, al momento de iniciar el proyecto, nuestro cliente podrá utilizar este listado o modificarlo en la medida que crea necesario. Cada control tendrá su evidencia correspondiente asociada, para ir vinculando el repositorio donde se encuentra alojada, como así también el estado de revisión. De esta forma, se centralizará la evidencia y no será necesario el seguimiento por correo electrónico. Por último, en cuanto a los responsables, por cada control se podrá asignar el o los responsables correspondientes junto con la fecha de ejecución, con el objetivo de facilitar el mantenimiento del cumplimiento a lo largo del proceso.
P: ¿Qué tipos de normativas de ciberseguridad abarca la plataforma?
A: Actualmente, ISS cuenta con los marcos normativos PCI DSS, CIS, NIST e ISO 27002. Sin embargo, se pueden cargar todas las normativas que se deseen, sin importar su naturaleza. Lo importante es poder organizarlo en requisitos, subrequisitos y controles.
P: Una característica interesante es la capacidad de vincular evidencias y objetivos de cumplimiento. ¿Cómo simplifica esto la gestión y documentación para los usuarios?
A: Con esta funcionalidad, el oficial de cumplimiento solo tendrá que indicar por control las evidencias que deben presentarse. Esto le permitirá responsabilizar a cada implicado sobre la ejecución del control y presentación de la evidencia correspondiente, evitando el envío de muchos correos reclamando la evidencia, la pérdida de tiempo de solicitar la información en varias ocasiones y, mismo, la posible pérdida de la misma.
P: ¿Cuáles son los beneficios clave que los oficiales de seguridad y los gerentes de GRC pueden esperar al utilizar esta herramienta?
A: Entre los beneficios clave, podemos mencionar agilidad, recomendaciones de implementaciones realizadas por expertos, fácil seguimiento de evidencias, centralización del proceso de cumplimiento, entre otros.
P: ¿Cómo ayuda la aplicación a medir el nivel de cumplimiento actual y a evaluar el riesgo asociado a los incumplimientos?
A: Con el ISS, al evaluar el cumplimiento de la norma, control por control, se podrá obtener el nivel de cumplimiento total. De los controles identificados como incumplimiento, se podrá conocer el nivel de riesgo que representan para la organización ya que, como bien sabemos, no genera el mismo riesgo no realizar la concientización anual a no tener un proceso de gestión de vulnerabilidades. Es decir, hay diferentes tipos de controles y a partir de la importancia de cada uno, ISS determina el nivel de riesgo al cual se expone una organización por no cumplir uno u otro.
P: ¿Podrías compartir algunos casos de éxito o ejemplos de cómo la aplicación ha ayudado a las empresas a mejorar su ciberseguridad y cumplimiento normativo?
A: Por un lado, tenemos un alto número de clientes que utilizan el ISS para completar el SAQ de PCI DSS requerido por los adquirentes. En este caso son clientes con un volumen anual de transacciones muy bajo, que no requieren de los servicios de un QSA. A través del ISS, completan rápidamente el SAQ correspondiente para luego entregarlo a quien lo esté solicitando.
Y por el otro, varias compañías lo están utilizando para gestionar los procesos de gestión de proveedores. A través del ISS, les solicitan a sus proveedores que completen la evaluación de seguridad definida y así mantienen toda la información de manera centralizada.
P: La capacidad de registrar los cambios de estado de los controles suena muy útil. ¿Cómo contribuye esto a mantener un cumplimiento continuo y demostrar mejoras a lo largo del tiempo?
A: El hecho de ir registrando los cambios de estado en los controles permite mantener actualizado el nivel de cumplimiento, dando visibilidad a todos los implicados y mostrando el avance en el proceso de remediación.
P: ¿Cuál es tu visión a largo plazo para la aplicación? ¿Hay características o mejoras que los usuarios pueden esperar en futuras actualizaciones?
A: Como todo en tecnología, el ISS está en constante evolución. Tomamos muy en cuenta las recomendaciones que nos realizan nuestros clientes, como así también los avances en la industria.
A mediano plazo estaremos lanzando un nuevo módulo, específico de PCI DSS para aquellos clientes que les corresponde completar las autoevaluaciones. Desde este módulo, podrán fácilmente conocer qué SAQ les corresponde, completar únicamente los requisitos que les aplican y ejecutar los ASV trimestrales. Todo sin la ayuda de ningún consultor. A su vez, estamos trabajando en obtener un nivel mayor de automatización. A través de integraciones con distintas fuentes, el objetivo es que los estados de los controles se modifiquen de forma automática de acuerdo con la información que reciben.
Hasta acá, la palabra de Agostina Lambertucci, QSA y especialista en cumplimiento normativo, que nos contó cómo INSSIDE Security Suite contribuye a la gestión de los procesos de auditoría.
Para conocer más acerca de la plataforma, puedes enviar tu consulta en el siguiente enlace y un experto se pondrá en contacto a la brevedad.