Características principales de Mapas de cumplimiento

Esta sección le permite explorar y aprender los conceptos clave detrás de los mapas de cumplimiento.

Relaciones en los mapas de cumplimiento

La siguiente ilustración muestra las relaciones entre los estándares o las normas, los requisitos y los controles en Mapas de cumplimiento.

Nota

  • Los términos de la interfaz son personalizables y los campos y fichas son configurables. En su organización Diligent One, algunos términos, campos y fichas pueden ser diferentes.
  • Si un campo obligatorio queda en blanco, se mostrará una advertencia: Este campo es requerido. Algunos campos personalizados pueden tener valores predeterminados.

Períodos

En la siguiente lista se definen los términos que se utilizan en los Mapas de cumplimiento:

  • NormasDocumentos de una autoridad escritos y emitidos por departamentos del Gobierno federal, con frecuencia se los clasifica en una Ley.

    Ejemplos

    FedRAMP 2016 0.1

    Libro Verde - Revisión 2014 (GAO-14-704G)

    NIST SP 800-53 Controles de seguridad - Rev4

  • EstándaresDocumentos de una autoridad que son el origen de requisitos de prácticas recomendadas y citaciones relacionadas.

    Ejemplos

    Marco COBIT 5

    Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI)

    Marco de control interno COSO 2013

  • RequisitosUna serie de directrices que se establecieron para resumir un estándar o una norma.

    Nota

    Si bien los requisitos se pueden denominar principios, atributos, actividades, tareas o pasos en diferentes normas y estándares, el término común que se utiliza en Proyectos es Requisito.

    Ejemplos

    • Establecer y realizar procedimientos de copia de seguridad de aplicaciones, bases de datos, configuraciones de sistemas, configuraciones de redes, documentos y sistemas de mensajería.
    • Documentar el concepto de operaciones en el plan de continuidad, lo cual incluye una descripción del sistema, la línea de sucesión y las responsabilidades.

  • ControlesMedidas o acciones para garantizar que una organización logre el cumplimiento de los requisitos.

    Ejemplos

    • Existen políticas y procedimientos relacionados con la copia de seguridad de los datos que establecen claramente las responsabilidades de los empleados.
    • Se realiza una replicación de datos en tiempo real entre los servidores para proporcionar una copia de seguridad actualizada si falla el sistema de producción central.
  • AplicableLa indicación de si el requisito es relevante o apropiado para su organización.
  • CubiertoLa indicación de que se cumple el requisito.
  • Peso del controlEl porcentaje del requisito que cubre el control.
  • CoberturaUna medida porcentual que indica el grado en el que se indicó que los requisitos aplicables están "cubiertos".
  • FaltantesUn recuento de la cantidad de requisitos aplicables que no están cubiertos.
  • AseguramientoUn cálculo que representa la confianza de su organización en que los requisitos se cumplen.

Beneficios para diferentes profesionales

Cargos profesionalesBeneficios
  • Director de Información
  • Gerente de Cumplimiento de TI
  • Gerente de Seguridad de la Información
  • Puede asegurar a clientes y terceros interesados que existe un entorno de control sólido.
  • Puede prevenir la exposición de la organización al acceso no autorizado a los datos o a medidas de aplicación de la norma.
  • Oficial de cumplimiento
  • Gerente de Cumplimiento
  • Puede colaborar con partes interesadas que deben cumplir con varios estándares y normas
  • Puede administrar el avance del cumplimiento centralizando la documentación de los requisitos y sus controles asignados.