La seguridad informática no se trata únicamente de aplicar tecnología para crear barreras de protección. La labor de resguardo de los datos y activos de la organización también incluye asegurarse de que la compañía cumpla con ciertas leyes, normas y regulaciones que establecen las mejores prácticas para que los datos permanezcan seguros.
En un mundo hiperconectado, los riesgos a los que las compañías se enfrentan se multiplican. Internet se ha vuelto una herramienta fundamental para cualquier negocio y está presente en casi toda la cadena de valor.
Una vulnerabilidad abre la puerta a que los delincuentes informáticos entren en la compañía y roben información sensible. Garantizar que los procedimientos y normas se cumplan es el primer paso para mantener la compañía segura.
¿Qué es "compliance"?
"Compliance" es un término en inglés que se utiliza para definir al conjunto de procedimientos y buenas prácticas adoptadas por las organizaciones para identificar riesgos operativos y legales. A menudo se lo asocia con el cumplimiento normativo, pero es mucho más que ello.
Se trata, fundamentalmente, de establecer mecanismos de prevención, gestión, control y reacción para posibles situaciones de riesgo. ¿Por qué es clave el compliance en ciberseguridad? En un contexto de transformación digital el riesgo de sufrir un ciberataque es cada vez mayor.
Los antiguos mecanismos de control perimetral no son suficientes para una organización que depende cada vez más de lo que ocurre en el mundo online para operar. El riesgo de sufrir un ataque está a un clic de distancia.
Los empleados trabajan hoy dentro y fuera de los edificios corporativos y, en muchos casos, traen sus propios dispositivos. Esto resulta un desafío para las áreas de seguridad, tecnologías de la información (TI), que son las encargadas de proteger esos equipos y la información que estos procesan y almacenan, pero también para quienes están a cargo de los procesos dentro de las organizaciones.
El eslabón más débil en la cadena de protección de la infraestructura y los datos corporativos es siempre el humano. Por eso, más allá de la necesidad de cumplir con la regulación, es importante definir y garantizar que se cumplan ciertos procedimientos y mejores prácticas para evitar que un click pueda desestabilizar las barreras de protección.
Regulación y enfoque normativo
Se han desarrollado regulaciones en distintos países orientadas a múltiples industrias, tales como HIPAA (sigla por Health Insurance Portability and Accountability Act) para el mercado de salud de Norteamérica, otras globales como SOX (sigla por Sarbanes-Oxley Act), PCI DSS (sigla por Payment Card Industry Data Security Standard) y, recientemente, GDPR (sigla por General Data Protection Regulation).
Todas estas regulaciones poseen un aspecto en común: las medidas de seguridad informática que deben tener las compañías para resguardar la integridad, confidencialidad y disponibilidad de la información.
Por ejemplo, GDPR, el Reglamento Europeo de Protección de Datos Personales, entró en vigencia el 25 de mayo de 2018 y surge como respuesta a los riesgos de exposición de datos personales que se materializaron con la transformación digital y la masificación del uso de Internet.
Entre sus principios y obligaciones se destaca que:
* Establece que los datos personales deben tratarse "de forma lícita y transparente" y recopilarse para fines específicos e indicar a las personas dichos fines al momento de recolectarlos.
* Implica restricciones al uso de la información personal –no se pueden seguir utilizando los datos personales para otros fines que no sean compatibles con la finalidad original de la información.
* Indica límites a la recopilación de datos de usuarios -sólo deben recopilarse y tratarse los datos personales que sean necesarios para cumplir esa finalidad-.
Si bien la norma es europea, es importante atender a los requerimientos ya que aplica también para empresas establecidas fuera de la Unión Europea (UE) pero que ofrecen productos y servicios (pagos o gratuitos) u observan, utilizan o almacenan datos personales de los ciudadanos de la UE. En la Argentina existe un paquete de leyes relacionadas con la ciberseguridad.
Las principales son las de Delito Informático (Ley 26.388), Protección de Datos Personales (Ley 25.326) y su decreto reglamentario 1558/2001, Firma Digital (Ley 15.506) y su decreto reglamentario 2628/2002. A este grupo se deben sumar aquellas específicas de los mercados dónde las empresas operan. Por ejemplo, los servicios financieros suelen tener reglas más rígidas sobre cómo o dónde se deben resguardar los datos de los usuarios.
El cumplimiento de las reglas no sólo debe ser realizado como una forma de evitar sanciones, sino que, en materia de seguridad informática, tiene que transformarse en un mecanismo esencial para garantizar el buen uso de los datos personales y la información sensible.
Además de las reglas y normas obligatorias, las compañías tienen a su alcance herramientas como la familia de estándares internacionales ISO 27.000 para garantizar que sus sistemas de gestión sean seguros.
ISO 27.000 es un grupo de estándares para ayudar a administrar los activos de seguridad como información financiera, propiedad intelectual e información de empleados y terceros. Es otra forma de empezar a trabajar en las mejores prácticas para garantizar la protección de la información y la seguridad informática.
Tomar el mando
En las grandes empresas es común encontrar programas de cumplimiento normativo y la designación de un responsable (usualmente con cargo de "compliance officer") que tiene como principal función garantizar que toda la organización siga las buenas prácticas y cumpla con los procedimientos que establecen las normas.
Si bien sus funciones dependerán de la organización, en general, se pueden resumir en prestar soporte, diseñar las matrices de cumplimiento y los sistemas de seguimiento, efectuar análisis de riesgos para determinar la normativa de alto impacto y fijar prioridades.
Es una posición multidisciplinaria que puede estar ocupada tanto por abogados o empresarios como por contadores auditores. La actividad de control puede ser tercerizada para garantizar mayor independencia.
En las pymes puede ser más difícil generar un área responsable del cumplimiento, pero no por eso se debe olvidar de ejercer esta función. En general, la tarea queda en manos de la alta dirección.
Tanto en pymes como en grandes corporaciones, la tecnología es una aliada de la alta dirección para tomar el control. Hay muchas compañías que brindan soluciones de gobierno corporativo, riesgo y cumplimiento para ayudar a las empresas a gestionar la gobernanza y cumplimiento normativo.
Éstas pueden ofrecerse como un software que se instala en casa del cliente o en su modalidad como servicio, lo que permite contar con mayor flexibilidad. Sea cual sea la modalidad elegida, contar con la ayuda de un software permitirá unificar actividades, gestionar políticas y mejorar la gobernanza y el cumplimiento de normas.
*Maximiliano Olivera es gerente de servicios de seguridad de Telecom