El cumplimiento de la ciberseguridad ha cobrado protagonismo en la última década. De ser una parte trivial de la estrategia empresarial de una organización en los primeros años a ser un objetivo central ahora, el cumplimiento de la ciberseguridad ha recorrido un largo camino.
Hoy en día, las organizaciones cuentan con equipos y personal dedicados, como los funcionarios de cumplimiento, para garantizar que siguen cumpliendo las normas pertinentes correspondientes a su sector y ubicación. Es esencial que las organizaciones se mantengan actualizadas para evitar sanciones.
Los usuarios también deben tener una idea de las normas de cumplimiento y regulación prevalentes. Esto les ayudará a entender sus derechos y responsabilidades en caso de cualquier percance; pueden utilizar este conocimiento para mantenerse protegidos. La mayoría de las normas de cumplimiento se crean para proteger los intereses de las diferentes partes implicadas en la transacción comercial.
En nuestro panorama cibernético en evolución, las autoridades modifican las normas ocasionalmente. Además, la dinámica de las normas ha pasado de ser genérica a ser muy específica, como demuestran los reglamentos publicados últimamente.
Por ejemplo, las normativas de cumplimiento como la GLBA y la HIPAA se centraban generalmente en la protección y la seguridad de los datos, mientras que las normativas más recientes, como el GDPR, y la CCPA se centran en la protección de los derechos y privilegios de los usuarios.
Cómo han cambiado los tiempos
El enfoque del cumplimiento ha pasado de estar centrado en la organización a empoderar a los usuarios. La privacidad ha pasado a ser el centro de atención, y las autoridades están elaborando normas para proteger la información de los usuarios finales.
Este cambio en el paradigma del cumplimiento ha sido bien recibido tanto por los usuarios como por las organizaciones. Los usuarios son ahora plenamente conscientes de dónde y cómo se utiliza su información. Las organizaciones, al proporcionar los detalles de cómo se utilizará la información de los usuarios, han ayudado a mejorar su integridad y reputación.
Las multas ahora causan estragos
La reputación de una organización puede verse afectada por acciones de incumplimiento. Las organizaciones que son examinadas, multadas o que pagan sanciones también pueden perder clientes e ingresos.
Antes, una organización podía limitarse a pagar la multa y continuar con su negocio, pero los consumidores de hoy en día suelen ser plenamente conscientes de las violaciones de la ciberseguridad o la privacidad, e incluso pueden exigir explicaciones a la organización.
Además, las sanciones por incumplimiento han aumentado drásticamente en los últimos tiempos. Las organizaciones pierden en promedio $5,47 millones de ingresos al año por incumplimiento.
El coste del incumplimiento puede dividirse entre varios factores, como las sanciones y otros cargos, el daño a la reputación, la interrupción de la actividad, la caída de la productividad y la disminución de los ingresos.
Cómo ayuda el cumplimiento a las organizaciones
Cumplir la normativa ayuda a las organizaciones de diferentes maneras:
∙ Mejora su reputación: Al cumplir con todas las normas del sector, las organizaciones pueden mejorar su reputación en la industria.
∙ Evita sanciones: Las organizaciones que siguen todos los requisitos de cumplimiento pueden evitar las enormes multas impuestas por los organismos reguladores por no cumplir.
∙ Facilita las aprobaciones reglamentarias: Dado que una organización cumple todos los requisitos, a menudo es más fácil obtener las aprobaciones de las autoridades y las instituciones financieras. Por ejemplo, si una organización que produce medicamentos cumple con todas las normas industriales y los requisitos legales, le resultará más fácil obtener la aprobación si quiere incursionar, por ejemplo, en la fabricación de equipos médicos. Además, las instituciones financieras están más dispuestas a prestar dinero a una organización con una sólida reputación empresarial y estado de cumplimiento.
∙ Mejora la seguridad: Algunos requisitos ayudan a mejorar la seguridad de la red de una organización. Por ejemplo, la HIPAA exige a las entidades que tomen las medidas necesarias para garantizar la seguridad y la privacidad de la información de los pacientes. Para cumplir con este requisito, una institución médica podría tener que implementar una solución que monitoree constantemente la base de datos en busca de accesos o modificaciones no autorizadas, mejorando así la seguridad de la red y de los datos.
Para una organización, cumplir con la normativa es una forma de mantener una ventaja sobre sus competidores.
Mejores prácticas para la gestión del cumplimiento
∙ Conozca las leyes: El desconocimiento de la ley no puede ser excusa. Una organización tiene el deber de conocer plenamente todos los mandatos de cumplimiento relativos a su industria y a la ubicación de su negocio. Las organizaciones también deben conocer todas las modificaciones recientes y deben tomar las medidas necesarias para cumplir con los cambios en los requisitos.
∙ Realice auditorías periódicas: Las auditorías de cumplimiento son una práctica poco habitual en las organizaciones. Sin embargo, estas auditorías ayudan a identificar eficazmente los incumplimientos. Las organizaciones deben realizar auditorías de cumplimiento internamente al menos una vez cada trimestre para saber en qué punto se encuentran en cuanto al cumplimiento de los mandatos normativos.
∙ Automatice la gestión del cumplimiento: La mejor manera de cumplir con la normativa es automatizar la gestión del cumplimiento. Por ejemplo, una organización que recopila información de tarjetas de crédito de los usuarios con fines comerciales está obligada a proteger esta información. Hacerlo manualmente puede ser agotador y llevar mucho tiempo. Para cumplir con los requisitos del PCI DSS se puede implementar una solución de SIEM que monitoree y proteja regularmente esta información y proporcione informes de cumplimiento.
En resumen, cumplir continuamente con la normativa es difícil. Sin embargo, no es imposible. Las organizaciones deben asegurarse de tomar las medidas necesarias para cumplir con todos los mandatos de cumplimiento y así mantenerse fieles a sus usuarios y a la industria.
