El compliance como herramienta para enfrentar los desafíos de Ciberseguridad

Ante el desafío de resguardar los activos de una organización, existen múltiples visiones o enfoques que se complementan entre sí para mitigar los riesgos a los que está expuesta la organización. En general podemos hablar de la visión de la Gestión de Riesgos de la misma organización, como la visión que tiene un ente regulador. Este último busca impulsar un conjunto de medidas mínimas que las organizaciones deben cumplir, con la finalidad de obligar un determinado nivel de protección.

¿Por qué el Compliance es clave en las empresas?

El Compliance, puede ser definido como el proceso de evaluar, implementar y monitorear el cumplimiento de los requisitos que una entidad reguladora dicta. Dicha entidad puede ser interna a la organización, dictando directrices con alcance interno, como también podría ser un ente regulador gubernamental o de industria que dicta requisitos a cumplir.

Es importante entender que la diferencia entre Requisito y Requerimiento. Requisito se puede entender como una condición necesaria de cumplir (obligación), en tanto, Requerimiento corresponde a una solicitud que no implica necesariamente obligación de cumplimiento.

Actualmente, el Compliance aborda procedimientos y buenas prácticas exclusivas del mundo analógico, como también del mundo digital. La ciberdelincuencia, el robo de datos e información privada son algunas de las amenazas comunes a las que se enfrentan las empresas hoy en día. Es debido lo anterior que se hace importante una vigilia constante y rigurosa de la ciberseguridad dentro de cada organización.

Ante esto, el Compliance toma una relevancia significativa, pues su enfoque se centra en asegurar el cumplimiento de las normativas vigentes tanto legales como internas, fortalecer la ciberseguridad y reducir las vulnerabilidades. Además de que ayuda a la empresa a actuar de mejor manera y prevenir ataques informáticos.

La importancia de cumplir con estándares y normativas

Actualmente, existen muchas regulaciones y estándares enfocados en distintos tipos de industrias. Un ejemplo de ello es la PCI DSS o Payment Card Industry Data Security Standard. Este estándar sirve como guía para las empresas u organizaciones que permiten la opción de pago online con tarjetas de crédito o débito. Otros casos son:

1. Normativa del coordinador eléctrico nacional (CEN)
2. Normativa de la comisión nacional de energía (CNE)
3. Normativa para Bancos e Instituciones financieras (RAN 20-10)
4. Normativa para Organizaciones de Seguros (NCG-454)

De esta forma, las empresas se regirán por un marco estandarizado de seguridad en lo que a protección de datos se refiere. Si estas llegan a no cumplir con este estándar, se arriesgan a multas o sanciones, como el perder la posibilidad de usar pago online con tarjetas.

Se debe recordar que el Compliance es un requisito y constituyen las medidas mínimas a implementar, siendo posible complementar dichas medidas con la evaluación de riesgos interna de la organización.

Desafíos del Compliance

El proceso de Compliance tiene una serie de complicaciones que de no ser gestionadas eficientemente puede implicar impactos importantes.

Dentro de los desafíos, tenemos los siguientes:

1. Conocer la real situación de cumplimiento

Es un aspecto clave tener la visibilidad de la situación real en cuanto al nivel de cumplimiento. En este sentido, no es suficiente el enfoque de "checklist", se requiere además saber el nivel de cumplimiento o madurez de su implementación. No perder de vista que la sola existencia de una medida mitigatoria, no es garantía de seguridad, hay también aspectos de efectividad asociados a esa medida. Además, los entornos empresariales sufren constantes cambios que podrían hacer perder efectividad a las mitigaciones.

2. Identificar de forma adecuada las iniciativas tendientes a cubrir las brechas identificadas

La dificultad de este punto es enfocar de forma adecuada y dar un alcance efectivo a la iniciativa de forma tal que permita el Compliance y a la vez permita un plan de implementación gradual.

3. Orquestar las iniciativas de Compliance

Es una situación normal que las organizaciones se vean enfrentadas a una gran cantidad de brechas. En este caso es importante orquestar cada iniciativa enfocándolas en términos de corto, mediano y largo alcance, balanceando medidas en los frentes técnicos, organizaciones, personas y físicos.

4. Compromiso de la organización

Para poder llevar a cabo las iniciativas, se recomienda implementar un plan director que permita avanzar en el nivel de cumplimiento y madurez, esto requiere necesariamente del compromiso de la alta dirección para poder alinear los esfuerzos y recursos para llevarlo a término. Es importante considerar que la alta gerencia, C level, directorio, requerirá de visibilidad para entender y apoyar estas iniciativas.

5. Reflejar los beneficios que se obtienen con el Compliance

Con este punto no solo nos referimos al hecho de poder demostrar el Compliance ante un ente regulador, sino a un elemento más importante, que es el hecho de estar en cumplimiento y que es la disminución del nivel de riesgo que hay en la implementación de las iniciativas. Por tanto, el enfoque adecuado corresponde a la disminución de riegos que a su vez permitirán estar en complimiento con la regulación.

6. Monitoreo 

Una vez implementada una medida de mitigación, la tarea se basa en mantener la visibilidad de la implementación y de la efectividad de las medidas mitigatorias, de forma de comprobar que siguen aportando a la disminución de riesgo.

7. Evidencias

Un aspecto no menor corresponde a demostrar que la organización cumple con determinado requisito ante un ente externo, ya sea el regulador o un auditor. Normalmente en la operación del día a día, se pierde el sentido de una medida de mitigación y, por tanto, es más costoso demostrar su cumplimiento dado que los profesionales o procesos involucrados no recuerdan o no están interiorizados del sentido que tienen y cómo esas medidas de mitigación los ayuda en su quehacer.

Recomendaciones finales:

1. Realice una evaluación de nivel de cumplimiento de los requisitos en forma periódica (1 vez al año) utilizando las capacidades de un externo que garantice objetividad, independencia, que tenga experiencia y que ayude en la definición de las iniciativas con base a otras experiencias y buenas prácticas.
2. Construya un plan director con las iniciativas necesarias en un corto, mediano y largo plazo. Es importante especificar los alcances y beneficios que implica cada iniciativa y logre el compromiso de la alta dirección. Estas iniciativas deben buscan el equilibrio entre medidas a nivel técnico, organizacional, de personas y físico.
3. Verifique el nivel de efectividad de las mitigaciones que tiene implementadas a la fecha. No es suficiente con tener un determinado control, existen niveles de efectividad asociados, diferencias en cobertura entre distintas medidas y por lo demás, los cambios organizacionales pueden dejar obsoleta una determinada medida de mitigación.
4. Busque apoyo de organizaciones con experiencia y con capacidades de acompañarlo en su viaje a mejorar la situación de riesgos, proteger sus activos y demostrar el Compliance.

Visítanos y descubre las soluciones tecnológicas que Entel Ocean le puede entregar a tu empresa para optimizar su rendimiento y desarrollar en ella una transformación digital con los más altos estándares normativos.