Una parte crítica de cada programa de GRC es administrar los marcos a los que debe adherirse y los controles asociados. SimpleRisk habla con muchas organizaciones diferentes y, en general, encontramos que estas organizaciones pertenecen a una de las siguientes categorías:

ASISTENCIA MÉDICA

Las organizaciones de atención médica generalmente deben cumplir con HIPAA en función de su posesión de información de salud personal (PHI). Hemos visto a varios de ellos buscar marcos patentados como HITRUST para ayudarlos a demostrar el cumplimiento. Además, muchas organizaciones de atención médica procesan tarjetas de crédito y, por lo tanto, están sujetas a PCI DSS.

GOBIERNO

Por lo general, las organizaciones gubernamentales deben cumplir con varios requisitos del NIST. Esto incluye el marco de ciberseguridad (CSF) del NIST, así como marcos como los controles de seguridad y privacidad NIST SP 800-53 para organizaciones y sistemas de información federales.

EDUCACIÓN

Las organizaciones educativas incluyen instituciones de educación primaria, secundaria y superior, como universidades. Estas organizaciones a menudo tienen mucha información de identificación personal (PII) sobre sus estudiantes, profesores y personal. Si bien existen algunos requisitos locales de PII, como el Reglamento general de protección de datos (GDPR) o California S.B. 1386, normalmente vemos que estas organizaciones optan por marcos de cumplimiento más amplios, como el marco de seguridad cibernética (CSF) del NIST o ISO 27001.

UTILIDAD PUBLICA

Algunas organizaciones de beneficio público son administradas por sus gobiernos locales y están sujetas a requisitos similares a los descritos anteriormente. También trabajamos con frecuencia con organizaciones de servicios públicos en este espacio que deben cumplir con los requisitos de Protección de Infraestructura Crítica (NERC CIP) de North American Electric Reliability Corporation.

TECNOLOGÍA

Las organizaciones de tecnología a menudo buscan adoptar marcos de cumplimiento más amplios, como ISO27001 o NIST Cybersecurity Framework (CSF). Muchos también estarán sujetos al cumplimiento del Reglamento general de protección de datos (GDPR) si hacen negocios en la Unión Europea (UE) y al cumplimiento de PCI DSS si procesan tarjetas de crédito de clientes. Cuando estas organizaciones atienden directamente a los clientes, también vemos con frecuencia requisitos para certificaciones de cumplimiento de terceros que a menudo se basan en los Criterios de servicios confiables (TSC) de AICPA SOC 2.

SIN FINES LUCRATIVOS

Las organizaciones sin fines de lucro normalmente no tienen muchos requisitos reglamentarios. Si bien algunos pueden aceptar tarjetas de crédito y están sujetos al cumplimiento de PCI DSS, la mayoría generalmente busca adoptar marcos de cumplimiento más amplios, como ISO27001 o NIST Cybersecurity Framework (CSF). Gestión de marcos y controles.