Marco Común de Controles de Adobe (CCF)
En Adobe, creemos que una estrategia sólida de cumplimiento normativo y gestión de riesgos es tan importante para el éxito de una organización como lo es su estrategia de producto. Demostramos nuestro compromiso con la seguridad implementando un amplio abanico de estándares importantes del sector y cumpliendo con las normativas gubernamentales relativas a la seguridad y privacidad de los datos. A medida que en el sector se desarrollan y adoptan nuevos estándares de seguridad y requisitos normativos, en Adobe los revisamos y adoptamos aquellos que resultan pertinentes para nuestra clientela.
Para respaldar nuestras constantes iniciativas de cumplimiento normativo, en Adobe hemos implementado un marco de código abierto de procesos y controles de seguridad denominado Marco Común de Controles (CCF, por sus siglas en inglés). El CCF nos ayuda a proteger la infraestructura, las aplicaciones y los servicios de Adobe, además de facilitarnos el cumplimiento de numerosos estándares, prácticas recomendadas, normativas y certificaciones reconocidos por el sector. Al crear el CCF, Adobe analizó los criterios de las certificaciones de seguridad más comunes para empresas en la nube y redujo los más de 4300 requisitos a controles específicos de Adobe que se ajustan a 21 estándares del sector.
En este diagrama de embudo se exhiben los estándares de seguridad y los requisitos de control que Adobe ha simplificado para crear controles comunes en diversos ámbitos de control.
El lado izquierdo del diagrama se titula “Más de 20 estándares, aproximadamente 4300 requisitos de control”. Bajo el título se encuentra la siguiente lista de estándares, cada uno acompañado de un número que representa los requisitos de control:
• Principios de Servicios de Confianza y Controles de Organizaciones de Servicios (SOC) de AICPA: 40
• Catálogo de Criterios de Cumplimiento de Informática en la Nube (BSI C5): 120
• Cyber Essentials (Reino Unido): 24
• Controles de Seguridad Críticos (CIS V8): 150
• FedRAMP Tailored y Moderate: 320
• Evaluación CSP del Instituto de Seguridad Financiera (Corea): 56
• Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA): 70
• Programa de Evaluadores Registrados de InfoSec (IRAP) (Australia): 880
• Programa de Gestión y Evaluación de la Seguridad de los Sistemas de Información (ISMAP) (Japón): 1160
• ISO 27001:2022 y 27002:2022: 110
• ISO 27017:2015: 7
• ISO 27018:2019: 26
• ISO 22301:2019: 200
• Autoridad Monetaria de Singapur (MAS): 230
• Esquema de protección multinivel (MLPS) (China): 300
• Ciberseguridad del NIST: 100
• Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS v4): 290
• Esquema Nacional de Seguridad (ENS) (España): 100
• TXRAMP L1: 120
En el centro del diagrama aparece un embudo etiquetado como “Simplificación para CCF”. Los estándares y controles enumerados a la izquierda del gráfico están representados por unos puntos amarillos que entran en el embudo. Por otro lado, a la derecha del gráfico, se representan los controles comunes resultantes mediante una serie de puntos verdes que salen de dicho embudo.
El lado derecho del diagrama se titula “Aproximadamente 315 controles comunes en 25 ámbitos de control”. Bajo el título aparece la siguiente lista de ámbitos de control, cada uno acompañado de un número que representa los controles comunes:
• Administración de recursos: 11 controles
• Gestión de copias de seguridad: 5 controles
• Continuidad del negocio: 6 controles
• Gestión de cambios: 4 controles
• Gestión de la configuración: 15 controles
• Criptografía: 15 controles
• Seguridad gestionada por clientes: 4 controles
• Gestión de datos: 21 controles
• Gestión de entidades: 11 controles
• Gestión de identidades y accesos: 39 controles
• Respuesta ante incidentes: 8 controles
• Gestión de dispositivos móviles: 4 controles
• Operaciones de red: 18 controles
• Recursos Humanos: 10 controles
• Privacidad: 10 controles
• Seguridad proactiva: 4 controles
• Administración de riesgos: 8 controles
• Gobernanza de seguridad: 17 controles
• Ciclo de vida de los servicios: 7 controles
• Operaciones del sitio: 16 controles
• Documentación de diseño de sistemas: 2 controles
• Monitorización de sistemas: 32 controles
• Gestión de terceros: 13 controles
• Formación y sensibilización: 9 controles
• Gestión de vulnerabilidades: 23 controles
Nuestras iniciativas constantes
El cumplimiento normativo constituye un proceso continuo que comprende auditorías internas periódicas, evaluaciones externas y un seguimiento constante de los controles. Adobe se somete con regularidad a auditorías de terceros y revisiones periódicas para garantizar el constante cumplimiento de nuestros compromisos. Además, Adobe ha invertido en el desarrollo de una plataforma de automatización de cumplimiento normativo, riesgos y gobernanza (GRC) empresarial para mantener un modelo eficaz de gobernanza para el programa de cumplimiento normativo.
Código abierto y listo para usar
El Marco Común de Controles (CCF) se ha publicado en formato de código abierto (actualmente en la versión 5.0) para ayudar a la comunidad de seguridad y gestión de riesgos a alcanzar sus propios objetivos de cumplimiento normativo. Actualizamos periódicamente el marco a medida que evolucionan las normativas o se integran nuevos estándares del sector en nuestro régimen de cumplimiento. Te invitamos a utilizar este marco para agilizar y estandarizar tus iniciativas de cumplimiento continuo. Descarga el CCF hoy mismo y, como siempre, agradeceremos tus comentarios sobre su desarrollo.