Preguntas críticas para implementar el aseguramiento continuo de los datos

Yago Gómez Trenor - Analista de Seguridad de Vintegris

Yago Gómez Trenor – Analista de Seguridad de Vintegris

Un documento de investigación conjunto realizado por ISACA y Security Scorecard, fue lanzado recientemente; “Aseguramiento continuo mediante el uso de modelos de amenazas de datos”, para proporcionar a las empresas una guía para adoptar el punto de vista de un atacante para ayudar a dar cuenta de los datos.

Con una guía paso a paso para aplicar los principios de modelado de amenazas de aplicación a los datos, las empresas ahora pueden establecer una línea de base para monitorear el riesgo continuo de datos a lo largo del tiempo.

Las empresas tienen el desafío de mover el proceso de contabilidad de los datos de una manera estructurada y sistemática que se encuentre más arriba en la lista de prioridades.

Una opción para lograr este desafío es aplicar los principios de modelado de amenazas de aplicación a los datos (modelado de amenazas de datos).

El modelado de amenazas de aplicaciones proporciona valor al permitir que los especialistas en seguridad de aplicaciones evalúen sistemáticamente una aplicación desde el punto de vista de un atacante.

Al hacer esto, un analista puede analizar metódicamente una aplicación para identificar y mapear amenazas que la aplicación probablemente encuentre en condiciones posteriores a la implementación.

Para soportar una visión continua de cualquier cosa, se necesitan dos cosas: algo que medir y una manera de realizar esa medición con frecuencia o de forma continua.

Al implementar este proceso de aseguramiento continuo, se puede notificar a una empresa cuando ocurren cambios que afectan su comprensión de las amenazas a sus aplicaciones y, en última instancia, sus datos.

El documento proporciona las preguntas clave para solicitar la implementación de una garantía continua relacionada con la comprensión de amenazas, incluidas estas cinco preguntas:

¿Cuáles son los indicadores específicos que la empresa utilizará para medir los cambios en el entorno de amenazas?

¿Cómo contabilizará la empresa las entidades de la cadena de suministro?

¿Qué instrumentos existen para evaluar el rendimiento del control en terceros?

¿Quién es responsable de mantener y controlar la vista que se arma?

¿Cuál es la cantidad que la empresa está dispuesta a invertir en esto?

 

 

Por Yago Gómez Trenor – Analista de Seguridad de Vintegris