Cumplimiento

¿Cómo cumplir con la Ley Marco de Ciberseguridad?

Para cumplir con la normativa, se debe solicitar apoyo legal y, además, apoyo técnico y comercial para la ejecución de todas las actividades requeridas por la Ley, de manera literal y tácita.

Considerando también que la ley aborda todas las fases para un procedimiento de respuesta, recuperación y continuidad operacional, se recomienda utilizar el framework CSF 2.0 de NIST.

Pasos recomendados para cumplimiento

Crear, Implementar y Mantener un Plan o Programa de Ciberseguridad

La Ley establece ciertos requisitos esenciales que determinan el camino hacia el cumplimiento. Uno de ellos es crear y mantener un plan o programa interno de ciberseguridad, que tenga por objetivo velar por la seguridad cibernética de la organización, y establecer los procesos y medidas que se deben implementar para cumplir con la Ley.

Un plan o programa de ciberseguridad debe basarse estratégicamente en un framework (en este caso, CSF 2.0 de NIST), con el objetivo de dar validez operacional al programa interno de ciberseguridad.

Identificar, Controlar y Gestionar la Superficie de Ataque con Programas Bug Bounty

La adopción rápida de tecnologías genera una creciente y en aumento Superficie de Ataque difícil de administrar y en la mayoría de casos, es la razón principal de puerta de entrada como vector de ataque.

Es por esto que el desarrollo y mantención de programas VDP, CVD y BBP, permiten identificar de forma temprana vulnerabilidades o path de ataque nuevos o imprevistos.

Documentación, Auditoría y Evaluación de Ciberseguridad Interna y de Terceros

La Ley establece, en términos generales, que no sólo los sistemas propios deben ser seguros, sino que además los sistemas informáticos y digitales de terceros (proveedores, cadena de suministro, etc.) deben cumplir con la Ley.

No obstante, se debe documentar, auditar y evaluar la ciberseguridad de forma transversal, ejecutando la implementación de normativas, el cumplimiento de frameworks, la identificación y gestión de vulnerabilidades, entre otros procedimientos más.