Ante el desafío de resguardar los activos de una organización, existen múltiples visiones o enfoques que se complementan entre sí para mitigar los ...
Ante el desafío de resguardar los activos de una organización, existen múltiples visiones o enfoques que se complementan entre sí para mitigar los riesgos a los que está expuesta la organización. En general podemos hablar de la visión de la Gestión de Riesgos de la misma organización, como la visión que tiene un ente regulador. Este último busca impulsar un conjunto de medidas mínimas que las organizaciones deben cumplir, con la finalidad de obligar un determinado nivel de protección.
El Compliance, puede ser definido como el proceso de evaluar, implementar y monitorear el cumplimiento de los requisitos que una entidad reguladora dicta. Dicha entidad puede ser interna a la organización, dictando directrices con alcance interno, como también podría ser un ente regulador gubernamental o de industria que dicta requisitos a cumplir.
Es importante entender que la diferencia entre Requisito y Requerimiento. Requisito se puede entender como una condición necesaria de cumplir (obligación), en tanto, Requerimiento corresponde a una solicitud que no implica necesariamente obligación de cumplimiento.
Actualmente, el Compliance aborda procedimientos y buenas prácticas exclusivas del mundo analógico, como también del mundo digital. La ciberdelincuencia, el robo de datos e información privada son algunas de las amenazas comunes a las que se enfrentan las empresas hoy en día. Es debido lo anterior que se hace importante una vigilia constante y rigurosa de la ciberseguridad dentro de cada organización.
Ante esto, el Compliance toma una relevancia significativa, pues su enfoque se centra en asegurar el cumplimiento de las normativas vigentes tanto legales como internas, fortalecer la ciberseguridad y reducir las vulnerabilidades. Además de que ayuda a la empresa a actuar de mejor manera y prevenir ataques informáticos.
Actualmente, existen muchas regulaciones y estándares enfocados en distintos tipos de industrias. Un ejemplo de ello es la PCI DSS o Payment Card Industry Data Security Standard. Este estándar sirve como guía para las empresas u organizaciones que permiten la opción de pago online con tarjetas de crédito o débito. Otros casos son:
De esta forma, las empresas se regirán por un marco estandarizado de seguridad en lo que a protección de datos se refiere. Si estas llegan a no cumplir con este estándar, se arriesgan a multas o sanciones, como el perder la posibilidad de usar pago online con tarjetas.
Se debe recordar que el Compliance es un requisito y constituyen las medidas mínimas a implementar, siendo posible complementar dichas medidas con la evaluación de riesgos interna de la organización.
El proceso de Compliance tiene una serie de complicaciones que de no ser gestionadas eficientemente puede implicar impactos importantes.
Dentro de los desafíos, tenemos los siguientes:
Es un aspecto clave tener la visibilidad de la situación real en cuanto al nivel de cumplimiento. En este sentido, no es suficiente el enfoque de "checklist", se requiere además saber el nivel de cumplimiento o madurez de su implementación. No perder de vista que la sola existencia de una medida mitigatoria, no es garantía de seguridad, hay también aspectos de efectividad asociados a esa medida. Además, los entornos empresariales sufren constantes cambios que podrían hacer perder efectividad a las mitigaciones.
La dificultad de este punto es enfocar de forma adecuada y dar un alcance efectivo a la iniciativa de forma tal que permita el Compliance y a la vez permita un plan de implementación gradual.
Es una situación normal que las organizaciones se vean enfrentadas a una gran cantidad de brechas. En este caso es importante orquestar cada iniciativa enfocándolas en términos de corto, mediano y largo alcance, balanceando medidas en los frentes técnicos, organizaciones, personas y físicos.
Para poder llevar a cabo las iniciativas, se recomienda implementar un plan director que permita avanzar en el nivel de cumplimiento y madurez, esto requiere necesariamente del compromiso de la alta dirección para poder alinear los esfuerzos y recursos para llevarlo a término. Es importante considerar que la alta gerencia, C level, directorio, requerirá de visibilidad para entender y apoyar estas iniciativas.
Con este punto no solo nos referimos al hecho de poder demostrar el Compliance ante un ente regulador, sino a un elemento más importante, que es el hecho de estar en cumplimiento y que es la disminución del nivel de riesgo que hay en la implementación de las iniciativas. Por tanto, el enfoque adecuado corresponde a la disminución de riegos que a su vez permitirán estar en complimiento con la regulación.
Una vez implementada una medida de mitigación, la tarea se basa en mantener la visibilidad de la implementación y de la efectividad de las medidas mitigatorias, de forma de comprobar que siguen aportando a la disminución de riesgo.
Un aspecto no menor corresponde a demostrar que la organización cumple con determinado requisito ante un ente externo, ya sea el regulador o un auditor. Normalmente en la operación del día a día, se pierde el sentido de una medida de mitigación y, por tanto, es más costoso demostrar su cumplimiento dado que los profesionales o procesos involucrados no recuerdan o no están interiorizados del sentido que tienen y cómo esas medidas de mitigación los ayuda en su quehacer.
Visítanos y descubre las soluciones tecnológicas que Entel Ocean le puede entregar a tu empresa para optimizar su rendimiento y desarrollar en ella una transformación digital con los más altos estándares normativos.
Déjanos tus datos y te ayudaremos con lo que necesites en IoT, Cloud y Ciberseguridad.
Desarrollo Operaciones TI: eficiencia y sustentabilidad En el mundo de hoy, las operaciones TI son un área en constante evolución y transformación, ...
Omnicanalidad y marketing para aprovechar los canales digitales El desarrollo digital del momento permite a los consumidores interactuar con marcas ...
Plataformas antimalware: XDR como escudo contra los ciberataques Seguro que ya sabes que un Malware es un software malicioso que infecta sistemas y ...
Pozos profundos: 5 beneficios económicos y ambientales Durante los últimos años ha crecido el uso de pozos profundos para satisfacer las necesidades ...
¿Qué es el estrés hídrico y cómo evitarlo? El estrés hídrico en la agricultura es un aspecto que se ha vuelto cada vez más necesario discutir. Este ...
Phishing en tu empresa: ¿Cómo evitar el robo de datos? El retorno de las actividades económicas después de la pandemia y la implementación de la ...
Diferencias entre MDR y EDR en la ciberseguridad Según estadísticas, cada 39 segundos se produce un ciberataque en el mundo. Teniendo en cuenta los ...
Transforma las operaciones TI desde la automatización avanzada Aplicar tecnologías como la inteligencia artificial (IA) y el aprendizaje automático, ...