Cinco informes, una sola verdad.

El problema de los cinco informes.

La mayoría de las empresas reguladas están en alcance simultáneo de varios marcos a la vez. Un sistema de salud Fortune 500 responde a HIPAA por los datos de pacientes, a PCI por el procesamiento de pagos en la cafetería y la farmacia, a SOC 2 por la plataforma de cara al cliente, a NIST CSF por la unidad de contratos federales, y a CMMC por cualquier trabajo adyacente a defensa. La misma red, las mismas salas de conferencias, los mismos edificios, cinco auditorías distintas.

Durante décadas la solución alterna ha sido reconstruir el inventario cinco veces. Cada equipo de auditoría obtiene su propia hoja, su propio paquete de evidencia, su propia definición de alcance. Los insumos vienen todos de la misma red, pero las salidas se ven lo bastante distintas como para que nadie por dentro confíe en que se reconcilien.

Qué exige cada marco en realidad.

Quita las diferencias de formato y el control de fondo es prácticamente el mismo: mantener un inventario actualizado de los activos conectados y demostrar que los controles que los protegen han operado de forma continua durante el periodo de auditoría. Así lo piden los cinco marcos:

• Regla de Seguridad HIPAA §164.310(d)(1) Controles de dispositivos y soportes. §164.308(a)(1)(ii)(D) revisión de actividad del sistema de información. La entidad cubierta debe implementar controles sobre los dispositivos que contienen información de salud protegida electrónica y revisar registros de actividad de forma rutinaria.
• PCI DSS 4.0 Requisito 12.5.1: mantener un inventario de los componentes de sistema en alcance para PCI DSS, incluyendo una descripción de función o uso. Requisito 1.2.4: las configuraciones de NSC se revisan al menos cada seis meses.
• SOC 2 (TSC) Criterio Común CC6.1: los controles de acceso lógico y físico restringen el acceso a los activos de información. CC7.1: los mecanismos de detección identifican cambios de configuración que podrían dar lugar a vulnerabilidades. CC8.1: la gestión del cambio está gobernada y registrada.
• NIST CSF 2.0 ID.AM-01: se mantienen los inventarios de hardware gestionado por la organización. ID.AM-02: se mantienen los inventarios de software, servicios y sistemas gestionados por la organización. PR.PS-02 / PR.IR-01: las configuraciones se gestionan; las redes y los entornos se protegen.
• CMMC Nivel 2 AC.L2-3.4.1: establecer y mantener configuraciones e inventarios de línea base. AC.L2-3.4.2: establecer y aplicar la configuración de seguridad. CM.L2-3.4.7: restringir, deshabilitar o impedir el uso de programas, funciones, puertos, protocolos y servicios no esenciales.

Un solo registro los satisface todos.

Mira los controles uno al lado del otro y la duplicación se vuelve obvia. Cada uno demanda los mismos datos de origen: un registro autoritativo, actualizado y fechado de lo que está conectado, con evidencia de que la conexión se ha verificado y de que se detecta la desviación respecto a la línea base.

CybrIQ produce ese registro una sola vez. Por dispositivo, por puerto, por planta, por edificio, refrescado de forma continua y fechado al segundo. El paquete de evidencia está estructurado para que un auditor de HIPAA, un evaluador de PCI, una firma de SOC 2, un revisor federal de NIST y un C3PAO de CMMC saquen cada uno la porción que satisface su marco sin que nadie reconstruya el inventario subyacente.

Qué cambia para el equipo de GRC.

El cambio es estructural y no cosmético. Tres cosas desaparecen:

1. El proyecto de reconstrucción previo a la auditoría. El artefacto que el auditor quiere ya está al día; no hace falta ensamblarlo la semana antes del trabajo de campo.
2. La carga de mantener cinco hojas. El documento de mapeo asocia los controles de cada marco a porciones del mismo registro subyacente. Marcos nuevos suman filas de mapeo, no hojas nuevas.
3. El teatro de reconciliación. Si el inventario de HIPAA y el de PCI no coincidían el trimestre pasado, probablemente ambos estaban mal. Con un solo registro subyacente, no pueden no coincidir.

La experiencia del auditor.

Las firmas de auditoría distinguen cada vez más entre la evidencia que se ensambla para ellas y la evidencia que existe porque la plataforma la produce de forma continua. La primera es un entregable. La segunda es un control. El modelo de riesgo del auditor las trata distinto, y la mayoría de las firmas ya empezaron a poner precio a la diferencia. La evidencia continua acorta horas de trabajo de campo; la evidencia ensamblada no.

Desde la perspectiva del equipo de auditoría, trabajar a partir de un registro continuo de Capa 1 se ve así: el inventario está al día en el momento en que lo extraen. Los eventos de desviación ya están triados y fechados. Cada control que necesitan probar tiene una porción de evidencia pre-mapeada esperando. Los hallazgos en la categoría de inventario caen a cero, porque ya no existe una ventana de reconstrucción en la que el inventario pueda estar mal.

Lectura adicional

• El registro de activos miente. Por qué la hoja se separa del cable desde el primer día y nunca se reconcilia por sí sola.
• «Se ve bien» no es evidencia de Capa 1. Lo que un panel ambiental te dice, lo que no, y por qué las auditorías piden el cable.