Compliance: la seguridad más allá de la tecnología
Compliance: la seguridad más allá de la tecnología
La seguridad informática no se trata
únicamente de aplicar tecnología para crear barreras de protección. La labor de
resguardo de los datos y activos de la organización también incluye asegurarse
de que la compañía cumple con ciertas leyes, normas y regulaciones que
establecen las mejores prácticas para que los datos permanezcan seguros.
En un mundo hiperconectado, los
riesgos a los que las compañías se enfrentan se multiplican. Internet se ha
vuelto una herramienta fundamental para cualquier negocio y está presente en
casi toda la cadena de valor. Una vulnerabilidad abre la puerta a que los
delincuentes informáticos entren en la compañía y roben información sensible. Garantizar
que los procedimientos y normas se cumplan es el primer paso para mantener la
compañía segura.
¿Qué es compliance?
Compliance
es un término en inglés que se utiliza para definir al conjunto de procedimientos
y buenas prácticas adoptadas por las organizaciones para identificar riesgos
operativos y legales. A menudo se lo asocia con el cumplimiento normativo, pero
es mucho más que ello. Se trata, fundamentalmente, de establecer mecanismos de prevención, gestión, control
y reacción para posibles situaciones de riesgo.
¿Por qué es clave el compliance
en ciberseguridad? En un contexto de transformación digital el riesgo de
sufrir un ciberataque es cada vez mayor. Los antiguos mecanismos de control
perimetral no son suficientes para una organización que depende cada vez más de
lo que ocurre en el mundo online para operar. El riesgo de sufrir un ataque
está a un click de distancia.
Los colaboradores hoy en día trabajan dentro y fuera de los edificios
corporativos y, en muchos casos, traen sus propios dispositivos. Esto resulta
un desafío para las áreas de Seguridad, tecnología e IT -que son las encargadas
de proteger esos equipos y la información que estos procesan y almacenan-, pero
también para quienes están a cargo de los procesos dentro de las
organizaciones. El eslabón más débil en la cadena de protección de la
infraestructura y los datos corporativos es siempre el humano.
Por eso, más allá de la necesidad de cumplir con la regulación, es
importante definir y garantizar que se cumplan ciertos procedimientos y mejores
prácticas para evitar que un click
pueda desestabilizar las barreras de protección.
Regulación y enfoque normativo
Se han desarrollado regulaciones en distintos
países orientadas a múltiples industrias, tales como HIPAA (Health Insurance
Portability and Accountability Act) para el mercado de salud de Norteamérica,
otras globales como SOX (Sarbanes-Oxley Act), PCI DSS (Payment Card Industry
Data Security Standard) y, recientemente, GDPR (General Data Protection
Regulation). Todas estas regulaciones poseen un aspecto en común: las medidas
de seguridad informática que deben tener las compañías para resguardar la integridad,
confidencialidad y disponibilidad de la información.
Por ejemplo, GDPR, el Reglamento
Europeo de Protección de Datos Personales, entró en vigencia el 25 de mayo de 2018 y surge como respuesta a los
riesgos de exposición de datos personales que materializaron con la
transformación digital y la masificación del uso de Internet y posibilidad de recopilar información de
diversas fuentes que habilitó Internet. Entre sus principios y obligaciones se
destaca que:
-
Establece
que los datos personales deben tratarse “de forma lícita y transparente” y recopilarse para fines específicos e
indicar a las personas dichos fines al momento de recolectarlos.
-
Implica
restricciones al uso de la información
personal –no se pueden seguir utilizando los datos personales para otros
fines que no sean compatibles con la finalidad original de la información.
-
Indica
límites a la recopilación de datos de
usuarios -solo deben recopilarse y tratarse los datos personales que sean
necesarios para cumplir esa finalidad-.
Si bien la norma es europea, es importante atender a los requerimientos
ya que aplica también para empresas
establecidas fuera de la Unión Europea (UE) pero que ofrecen productos y
servicios (pagos o gratuitos) u observan, utilizan o almacenan datos personales
de los ciudadanos de la UE.
En la Argentina, por su parte, existe un paquete de leyes relacionadas con la ciberseguridad. Las principales son las
de Delito Informático (Ley 26.388), Protección de Datos Personales (Ley 25.326) y su decreto reglamentario 1558/2001, Firma Digital (Ley 15.506) y su decreto reglamentario 2628/2002.
A este grupo se deben sumar aquellas específicas de los mercados dónde
las empresas operan. Por ejemplo, los servicios financieros suelen tener reglas
más rígidas sobre cómo o dónde se deben resguardar los datos de los usuarios.
El cumplimiento de las reglas no solo debe ser realizado como una forma
de evitar sanciones, sino que, en materia de seguridad informática, tiene que transformarse
en un mecanismo esencial para garantizar el buen uso de los datos personales y
la información sensible.
Además de las reglas y normas obligatorias, las compañías tienen a su
alcance herramientas como la familia de estándares internacionales ISO 27.000 para garantizar que sus
sistemas de gestión sean seguros. ISO 27.000 es un grupo de estándares para
ayudar a administrar los activos de seguridad como información financiera,
propiedad intelectual e información de empleados y terceros. Es otra forma de
empezar a trabajar en las mejores prácticas para garantizar la protección de la
información y la seguridad informática.
Tomar el mando
En las grandes empresas es común encontrar programas de cumplimiento
normativo y la designación de un responsable (usualmente con cargo de Compliance Officer) que tiene como
principal función garantizar que toda la organización siga las buenas prácticas
y cumpla con los procedimientos que establecen las normas.
Si bien sus funciones dependerán de la organización, en general, se pueden resumir en prestar soporte, diseñar las matrices de cumplimiento y los sistemas de
seguimiento, efectuar análisis de riesgos para determinar la normativa de alto
impacto y fijar prioridades. Es una posición multidisciplinaria que puede
estar ocupada tanto por abogados o empresarios como por contadores auditores.
La actividad de control puede ser tercerizada para garantizar mayor
independencia.
En las pymes puede ser más difícil generar un área responsable del
cumplimiento, pero no por eso se debe olvidar de ejercer esta función. En
general, la tarea queda en manos de la alta dirección.
Asimismo, tanto en pymes como en grandes corporaciones, la tecnología es una aliada de la alta
dirección para tomar el control. Hay muchas compañías que brindan soluciones de Gobierno Corporativo, Riesgo
y Cumplimiento para ayudar a las empresas a gestionar la gobernanza y
cumplimiento normativo. Éstas pueden ofrecerse como un software que se instala
en casa del cliente o en su modalidad como servicio, lo que permite contar con
mayor flexibilidad.
Sea cual sea la modalidad elegida, contar con la ayuda de un software
permitirá unificar actividades, gestionar políticas y mejorar la gobernanza y el
cumplimiento de normas.
Por
Maximiliano Olivera, Gerente Servicios de Seguridad y Protección de Datos de
Telecom
No hay comentarios.