Ante el desafío de resguardar los activos de una organización, existen múltiples visiones o enfoques que se complementan entre sí para mitigar los riesgos a los que está expuesta la organización. En general podemos hablar de la visión de la Gestión de Riesgos de la misma organización, como la visión que tiene un ente regulador. Este último busca impulsar un conjunto de medidas mínimas que las organizaciones deben cumplir, con la finalidad de obligar un determinado nivel de protección.
El Compliance, puede ser definido como el proceso de evaluar, implementar y monitorear el cumplimiento de los requisitos que una entidad reguladora dicta. Dicha entidad puede ser interna a la organización, dictando directrices con alcance interno, como también podría ser un ente regulador gubernamental o de industria que dicta requisitos a cumplir.
Es importante entender que la diferencia entre Requisito y Requerimiento. Requisito se puede entender como una condición necesaria de cumplir (obligación), en tanto, Requerimiento corresponde a una solicitud que no implica necesariamente obligación de cumplimiento.
Actualmente, el Compliance aborda procedimientos y buenas prácticas exclusivas del mundo analógico, como también del mundo digital. La ciberdelincuencia, el robo de datos e información privada son algunas de las amenazas comunes a las que se enfrentan las empresas hoy en día. Es debido lo anterior que se hace importante una vigilia constante y rigurosa de la ciberseguridad dentro de cada organización.
Ante esto, el Compliance toma una relevancia significativa, pues su enfoque se centra en asegurar el cumplimiento de las normativas vigentes tanto legales como internas, fortalecer la ciberseguridad y reducir las vulnerabilidades. Además de que ayuda a la empresa a actuar de mejor manera y prevenir ataques informáticos.
Actualmente, existen muchas regulaciones y estándares enfocados en distintos tipos de industrias. Un ejemplo de ello es la PCI DSS o Payment Card Industry Data Security Standard. Este estándar sirve como guía para las empresas u organizaciones que permiten la opción de pago online con tarjetas de crédito o débito. Otros casos son:
De esta forma, las empresas se regirán por un marco estandarizado de seguridad en lo que a protección de datos se refiere. Si estas llegan a no cumplir con este estándar, se arriesgan a multas o sanciones, como el perder la posibilidad de usar pago online con tarjetas.
Se debe recordar que el Compliance es un requisito y constituyen las medidas mínimas a implementar, siendo posible complementar dichas medidas con la evaluación de riesgos interna de la organización.
El proceso de Compliance tiene una serie de complicaciones que de no ser gestionadas eficientemente puede implicar impactos importantes.
Dentro de los desafíos, tenemos los siguientes:
Es un aspecto clave tener la visibilidad de la situación real en cuanto al nivel de cumplimiento. En este sentido, no es suficiente el enfoque de "checklist", se requiere además saber el nivel de cumplimiento o madurez de su implementación. No perder de vista que la sola existencia de una medida mitigatoria, no es garantía de seguridad, hay también aspectos de efectividad asociados a esa medida. Además, los entornos empresariales sufren constantes cambios que podrían hacer perder efectividad a las mitigaciones.
La dificultad de este punto es enfocar de forma adecuada y dar un alcance efectivo a la iniciativa de forma tal que permita el Compliance y a la vez permita un plan de implementación gradual.
Es una situación normal que las organizaciones se vean enfrentadas a una gran cantidad de brechas. En este caso es importante orquestar cada iniciativa enfocándolas en términos de corto, mediano y largo alcance, balanceando medidas en los frentes técnicos, organizaciones, personas y físicos.
Para poder llevar a cabo las iniciativas, se recomienda implementar un plan director que permita avanzar en el nivel de cumplimiento y madurez, esto requiere necesariamente del compromiso de la alta dirección para poder alinear los esfuerzos y recursos para llevarlo a término. Es importante considerar que la alta gerencia, C level, directorio, requerirá de visibilidad para entender y apoyar estas iniciativas.
Con este punto no solo nos referimos al hecho de poder demostrar el Compliance ante un ente regulador, sino a un elemento más importante, que es el hecho de estar en cumplimiento y que es la disminución del nivel de riesgo que hay en la implementación de las iniciativas. Por tanto, el enfoque adecuado corresponde a la disminución de riegos que a su vez permitirán estar en complimiento con la regulación.
Una vez implementada una medida de mitigación, la tarea se basa en mantener la visibilidad de la implementación y de la efectividad de las medidas mitigatorias, de forma de comprobar que siguen aportando a la disminución de riesgo.
Un aspecto no menor corresponde a demostrar que la organización cumple con determinado requisito ante un ente externo, ya sea el regulador o un auditor. Normalmente en la operación del día a día, se pierde el sentido de una medida de mitigación y, por tanto, es más costoso demostrar su cumplimiento dado que los profesionales o procesos involucrados no recuerdan o no están interiorizados del sentido que tienen y cómo esas medidas de mitigación los ayuda en su quehacer.
Visítanos y descubre las soluciones tecnológicas que Entel Ocean le puede entregar a tu empresa para optimizar su rendimiento y desarrollar en ella una transformación digital con los más altos estándares normativos.