Preguntas Comunes que Surgen Durante los Assessments del TPN
Después de haber realizado más de 300 assessments del TPN en los últimos seis años, he tenido la suerte de trabajar con proveedores de servicios de todos los tamaños que cubren una amplia gama de servicios. He tenido innumerables discusiones sobre el proceso, el valor de una evaluación y cómo mantener el contenido seguro. A menudo, muchos de los proveedores de servicios que evalúo son nuevos en el proceso de evaluación de seguridad y sienten curiosidad por el programa de assessments del TPN, el proceso, los beneficios y cómo se relaciona todo con ellos. En esta serie de blogs de dos partes, abordaré algunas de las preguntas más comunes que recibo. Espero que mis respuestas le resulten útiles y perspicaces a medida que navega por el compromiso de su organización de mantener el contenido seguro.
¿Qué son los MPA Best Practices?
Los MPA (Motion Picture Association) Best Practices son un marco colaborativo de controles de seguridad desarrollado por los estudios miembros del MPA (Amazon Studios, Apple Studios, The Walt Disney Studios, NBC Universal, Netflix, Paramount Global, Sony Pictures, Warner Bros. Discovery, Canal+) y el Trusted Partner Network (TPN). Estas mejores prácticas integrales cubren varios aspectos de la seguridad del contenido (digital, físico, personal, gestión de riesgos, respuesta a incidentes, etcétera) y guían a los proveedores de servicios en la protección del contenido y la reducción del riesgo de violaciones de seguridad. El marco de MPA Best Practices y muchos de los controles se asignan a otros marcos de seguridad, incluidos ISO, NIST, CSA y otros.
¿Cómo se aplican los MPA Best Practices
en mi caso?
Los MPA Best Practices se aplican a proveedores de servicios globales de todos los tamaños en toda la cadena de suministro de medios y entretenimiento, desde contribuyentes individuales hasta grandes organizaciones globales. Los controles se aplican a todos, pero las implementaciones de cada uno varían según el tamaño de la empresa. Un firewall es un buen ejemplo. El rango de precios para implementar un firewall en toda la empresa puede oscilar entre menos de $ 1,000 y más de $ 100,000. Los controles de MPA establecen que todos los proveedores de servicios deben implementar un firewall, sin embargo, el precio que paga cada empresa variará en función de diferentes factores que pueden incluir el tamaño de la organización, los requisitos de infraestructura de red, los requisitos de las aplicaciones, los flujos de trabajo de contenido y la velocidad. Ejemplos similares incluyen registros centralizados, el escaneo de vulnerabilidades y las pruebas de penetración.
¿Qué es la importancia/valor de un
assessment del TPN?
El contenido es el “rey”, y protegerlo es crucial para los proveedores de servicios y los propietarios de contenido. Un assessment de TPN ayuda a los proveedores de servicios a evaluar su postura de seguridad y su alineación con los MPA Best Practices. Un assessment del TPN identifica las áreas que necesitan mejoras. Piense en ello como una comprobación del estado de la seguridad del contenido.
Un assessment de TPN también permite que un proveedor de servicios aparezca en el portal de TPN+. Los propietarios de contenido (estudios) y los proveedores de servicios seleccionados pueden ver perfiles, verificar los estados Gold Shield o Blue Shield, verificar si una evaluación se realizó de forma remota o in situ y leer informes del TPN assessment si está autorizado. Esta transparencia ayuda a los proveedores de servicios a mostrar su preparación para la seguridad y el estado del TPN a los estudios y a los clientes potenciales.
¿Quién se beneficia de un
assessment del TPN?
Un assessment de TPN beneficia a todos los involucrados: el proveedor de servicios, el propietario del contenido y la industria. Es un ganar/ganar para todos. El programa de assessments del TPN ayuda a fomentar la confianza y es una herramienta para que las organizaciones demuestren su compromiso con los altos estándares de seguridad de contenido. Para un proveedor de servicios, un assessment de TPN le ofrece un punto de vista externo basado en un conjunto de controles de seguridad acordados por la industria. Los estudios y los propietarios de contenido obtienen información sobre el nivel de seguridad de un proveedor de servicios y la implementación de los MPA Best Practices en el mismo conjunto de controles de seguridad. Al final del día, se trata de mantener el contenido seguro a través de un estándar de seguridad transparente y universalmente reconocido. Para cualquier persona u organización que trabaje con contenido en la industria de los medios de comunicación y el entretenimiento, es una oportunidad para demostrar su sólida preparación en materia de seguridad.
¿Qué es un SGSI (Sistema de Gestión de Seguridad de la Información) (ISMS) y
se aplica a mí?
Un SGSI (ISMS) es un marco de políticas, procedimientos y controles diseñados para proteger los datos y la información confidenciales de una organización. Para la industria de los medios de comunicación y el entretenimiento, esto significa asegurar el contenido. Un SGSI está diseñado para proteger la confidencialidad, integridad y disponibilidad de los datos. A menudo supervisado por la gerencia o un equipo independiente, un SGSI debe hacer referencia a uno o más marcos de seguridad como: MPA Best Practices, ISO 27001, NIST, SANS, CSA, etcétera. Un SGSI es una forma de organizar eficazmente todas sus políticas y procedimientos, manteniéndolos actualizados y proporcionando oportunidades para la mejora continua. Todos los proveedores de servicios, independientemente de su tamaño, se beneficiarían de un SGSI, ya que ofrece un enfoque organizado para identificar y gestionar riesgos, mejora su capacidad para responder a los incidentes de seguridad y demuestra su compromiso con la seguridad del contenido.
Nunca he tenido un incidente,
¿por qué necesito un
plan de respuesta a incidentes?
Un plan de respuesta a incidentes es un conjunto de instrucciones para ayudar a las organizaciones a detectar, responder y recuperarse de los incidentes de seguridad. Ya sea que una organización haya tenido un incidente o no, un plan de respuesta a incidentes y un libro de jugadas suficientes ofrecen un curso de acción y son una forma proactiva de estar preparado. Un plan completo y detallado ayudará a una empresa a controlar y recuperarse rápidamente de un incidente. También puede ayudar a reducir el impacto en las partes interesadas afectadas fuera de la organización, como los clientes. También es crucial que todos los miembros de una organización estén capacitados en la respuesta a incidentes y comprendan la importancia del plan. Piense en ello como tener un seguro de automóvil: protección contra un accidente que espera que nunca suceda, pero si sucede, está preparado.