Programa de supervisión continua

El programa de monitoreo continuo permite a NICE rastrear la seguridad del sistema CXone. Se fundamenta en el siguiente proceso: NIST SP 800-137, Supervisión constante de la seguridad de la información para sistemas de información y organizaciones federales. La meta de este programa es proporcionar lo siguiente:

  • Visibilidad operativa.

  • Informes anuales sobre las implementaciones de controles de seguridad.

  • Control de cambios.

  • Asistencia a los deberes de Respuesta ante incidentes.

Para este programa, NICE recaba información relativa a la seguridad para proteger el sistema. El programa comprende los siguientes pasos:

  1. NICE definirá una estrategia de supervisión constante en función de la tolerancia al riesgo. Esta estrategia estipula que NICE:

    1. Tendrá visibilidad sobre la manera en que se gestionan los activos.

    2. Estará al tanto de las debilidades dentro del sistema.

    3. Contará con información actualizada sobre las amenazas.

  2. NICE implementará:

    1. Medidas.

    2. Metrics.

    3. Supervisión del estado.

    4. Evaluaciones que:

      • Muestran el estado y la eficacia de la seguridad de la organización.

      • Detectan cambios en la infraestructura del sistema y los entornos de operaciones.

  3. NICE implementará un programa para:

    1. Recabar los datos necesarios para las medidas definidas.

    2. Informar los hallazgos.

    3. Automatizar la recopilación, el análisis y el informe de los datos, cuando sea posible.

  4. NICE analizará los datos recabados durante los pasos anteriores del programa.

  5. NICE informará sus hallazgos y sus recomendaciones para mejorar el programa. Si fuera necesario, recabará más información para aclarar o ampliar los datos existentes.

  6. Ante los hallazgos de la evaluación, NICE responderá:

    • Mitigando las vulnerabilidades técnicas, de gestión y operativas.

    • Aceptando el riesgo.

    • Transfiriendo la evaluación a otra autoridad.

  7. Por último, NICE revisará y actualizará el programa de supervisión haciendo lo siguiente:

    1. Revisando la estrategia.

    2. Mejorando las capacidades de medición.

    3. Aumentando la visibilidad de los activos, la conciencia sobre las vulnerabilidades y la flexibilidad organizacional.

    4. Mejorando el control basado en los datos de la infraestructura de CXone.

Las evaluaciones periódicas confirman si los controles de seguridad:

  • Se implementan correctamente.

  • Funcionan según lo previsto.

  • Alcanzan los valores de referencia.

La notificación ofrece a los funcionarios federales la información necesaria. Esto les permite:

  • Tomar decisiones basadas en el riesgo.

  • Ofrecer garantías sobre la seguridad del sistema.

El estándar ISO 27001 de gestión de la seguridad exige que se lleven a cabo auditorías con frecuencia.