Lo básico Póngase al día con nuestro contenido introductorio.

Asegure el cumplimiento IAM ejerciendo controles y recursos clave

El cumplimiento de IAM es una prioridad para los CIO. Lea sobre los estándares y regulaciones de IAM y aprenda cómo implementar controles de IAM para cumplir mejor con las normas.

Si una organización de TI sobrevive a una auditoría de cumplimiento, esto implica que su programa de administración de identidad y acceso está en buena forma, especialmente si se trata de una auditoría de controles generales de TI. Es probable que la compañía también cumpla con la mayoría de las normas y regulaciones que abordan IAM.

El cumplimiento de IAM a menudo se encuentra entre los tres elementos principales de la lista de prioridades de un CIO. Es importante examinar cómo el cumplimiento de IAM se ajusta a la estrategia general de cumplimiento de una organización. En este artículo, obtenga orientación sobre las normas y estándares de cumplimiento de IAM relevantes, así como sugerencias para ayudar a lograr el cumplimiento de los mismos.

Componentes de IAM relevantes para el cumplimiento

El primer paso para lograr y mantener el cumplimiento de IAM es comprender cada uno de los elementos de IAM que son relevantes para los objetivos de cumplimiento de la organización. Estos componentes de IAM deben incorporarse al programa de cumplimiento general para garantizar la confidencialidad, integridad, disponibilidad y privacidad de la información. La siguiente tabla enumera los elementos a abordar desde las perspectivas de auditoría y cumplimiento.

Los controles generalmente se incluyen en los estándares y regulaciones de IAM en diversos grados. También se incluyen entre los controles generales de TI que se utilizan para realizar auditorías generales de TI.

Estos controles de IAM son relevantes para lograr el cumplimiento de IAM.

Estándares, regulaciones y guías de cumplimiento de IAM

Varias organizaciones han establecido estándares, regulaciones y otros criterios para garantizar que los programas de IAM sean proporcionados por entidades del sector público y privado.

La gestión proactiva continua de los controles de IAM y las actividades relacionadas, complementada con auditorías y revisiones periódicas, puede confirmar el cumplimiento de una organización con estos requisitos críticos, incluidos los siguientes:

  • COBIT. Desarrollado originalmente por ISACA, los requisitos de COBIT están diseñados específicamente para los departamentos de TI en cualquier tipo de organización.
  • ISACA. Además de COBIT, ISACA también proporciona una variedad de documentos de auditoría y cumplimiento que los usuarios pueden consultar al examinar los controles de IAM antes de una auditoría.
  • Consejo federal examinador de instituciones financieras de EE. UU. (FFIEC). Al proporcionar estándares de cumplimiento para las instituciones financieras, FFIEC tiene un libro de trabajo de seguridad de la información (infosec) y pautas de auditoría que abordan los requisitos de IAM.
  • Ley Sarbanes-Oxley. La Sección 404 de esta legislación de EE. UU. especifica los controles para preparar informes financieros y garantizar la integridad de los datos del informe.
  • Ley Gramm-Leach-Bliley. La ley federal de los EE. UU. exige que las instituciones financieras tengan controles que protejan la confidencialidad de los datos de clientes no públicos.
  • HIPAA. La regla de seguridad y la regla de privacidad de la ley federal de los EE. UU. definen controles que abordan la seguridad y privacidad de la información médica protegida, entre otras cuestiones.
  • Ley de Privacidad y Derechos Educativos de la Familia. Esta ley exige que las instituciones educativas de EE. UU. deben proporcionar controles para proteger los registros de los estudiantes y los datos asociados.
  • Corporación de Fiabilidad Eléctrica de América del Norte. Esta organización proporciona estándares y controles para proteger la información utilizada por las empresas de energía eléctrica.
  • NIST. La publicación especial NIST 800-63-3 Pautas de identidad digital y sus tres estándares complementarios –SP 800-63A, B y C– abordan los requisitos de IAM para las agencias federales. NIST SP 800-53 aborda los requisitos de seguridad de la información para sistemas y organizaciones de información federales.
  • Organización Internacional de Estandarización (ISO). La serie de normas ISO 27000 aborda los requisitos de IAM, que se utilizan ampliamente como referencia de auditoría.
  • PCI DSS. Este estándar de seguridad global aborda los problemas de IAM para los distribuidores de tarjetas de pago.
  • GDPR. Esta norma europea aborda una amplia gama de problemas de seguridad y protección de datos, incluidos los requisitos de IAM.

Investigue más sobre Auditoría de seguridad y el cumplimiento de normas

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

Close