En la farmacia, la seguridad de los medicamentos está bajo un control bastante estricto por parte de las autoridades nacionales, por ejemplo, FDA en los Estados Unidos. Por lo tanto, los riesgos de que los pacientes tomen drogas se minimizan de manera muy efectiva, aunque es comprensible que no se puedan reducir a cero.
¿Qué autoridades nacionales controlan de manera similar la seguridad (seguridad) del software y hardware que se utiliza?
No hay una organización gubernamental que supervise la seguridad de la información. Lo que tenemos son conjuntos de estándares como PCI o leyes como Sarbanes Oxley y HIPPA . Cuando una empresa quiere hacer negocios con MasterCard o Visa, (generalmente) se les pedirá que cumplan con las normas de PCI y se les haga una auditoría antes de que puedan hacer negocios. Si su negocio depende de la comunicación con las organizaciones de atención médica y usted no cumple con los estándares HIPPA, ellos (generalmente) no harán negocios con usted. Si una empresa hace negocios con otra empresa que no cumple con las normas o regulaciones relevantes y se produce un incumplimiento, se producirá una gran reacción pública contra ambos por temor a esa pérdida de reputación y, por lo tanto, a las empresas a la altura de la ley. Los trajes que pueden resultar son lo que los mantiene en línea.
No hay tal control. Además, podría argumentar que si existiera dicho control, casi con seguridad fallaría.
Ciertas industrias tienen su propia regulación; por ejemplo, hay HIPAA para atención médica, SOX para empresas que cotizan en bolsa y toda una serie de regulaciones para la defensa y contratistas federales. La mayoría de estas reglas no tienen nada que ver con la seguridad de TI, pero afectan e informan la manera en que los profesionales de TI tienen que ver su trabajo.
Y luego hay un montón de implicaciones de responsabilidad, de las cuales obtienes cosas extrañas como la prohibición explícita de usar iTunes en una instalación nuclear o en una torre de control de tráfico aéreo.
Pero en cuanto a una agencia federal que establece reglas y regulaciones para mantener la seguridad de Internet: no existe tal cosa.
NOTA
Existen varias organizaciones comerciales que ofrecen orientación de seguridad; PCI-DSS, por ejemplo, es principalmente una creación de Visa / MC / et.al., Y el cumplimiento es una cuestión de cumplimiento del contrato en lugar del control regulatorio.
Si bien el cumplimiento de PCI no es suficiente para una seguridad real, lo mejor para la industria de las tarjetas es continuar mejorando la política tan rápidamente como sea manejable. La ley de los EE. UU. Hace que Visa y otros emisores de tarjetas (en lugar de los usuarios o comerciantes) sean los responsables finales del costo del fraude relacionado con sus tarjetas, por lo que Visa actúa en su propio interés al exigir un nivel mínimo de seguridad con respecto al uso de la tarjeta. / p>
Si una agencia gubernamental hubiera prescrito tales reglas, estarían sujetos a política, cabildeo, disputas partidistas y una influencia desproporcionada por parte de organizaciones bien conectadas.
En cambio, al establecer los incentivos de manera que la organización en la mejor posición para hacer las reglas (Visa et.al) es la que más pierde, debido a la inseguridad, estas compañías naturalmente establecerán una línea de base de estándares de seguridad que coincida con el costo de explotación (desde su perspectiva) con el costo de la seguridad (nuevamente, desde su perspectiva).
Para mejorar aún más los estándares de seguridad, la regulación más efectiva pondrá el costo de la explotación no necesariamente en la víctima, sino en la organización mejor posicionada para mejorar las condiciones.
Esto suena como una pregunta de tarea. La respuesta corta es: no hay autoridad para la TI en general, ya que la FDA, por ejemplo, tiene mandatos legales y el poder de castigar. No hay ninguna agencia que tenga este poder sobre TI o Seguridad de TI.
Sin embargo, existen leyes que se aplican a la seguridad en ciertas industrias como la atención médica o los servicios financieros, pero ese es un alcance bastante limitado y la pregunta necesita más contexto antes de poder dar una respuesta adecuada.
Si bien esta no es una respuesta completa, no aceptaría ninguna respuesta que no mencione al menos NIST en este contexto. Creo que sus estándares y recomendaciones solo son vinculantes para la seguridad de TI del Gobierno Federal de los Estados Unidos. Sin embargo, su importancia práctica (como pautas o bases para los estándares de la industria) supera con creces esa. Encuentre más información en enlace .
Lea otras preguntas en las etiquetas audit government risk