Ciberseguridad

El compliance como herramienta para enfrentar los desafíos de Ciberseguridad

Ante el desafío de resguardar los activos de una organización, existen múltiples visiones o enfoques que se complementan entre sí para mitigar los ...

         08 septiembre, 2022  
|   Lectura: 4 min

Ante el desafío de resguardar los activos de una organización, existen múltiples visiones o enfoques que se complementan entre sí para mitigar los riesgos a los que está expuesta la organización. En general podemos hablar de la visión de la Gestión de Riesgos de la misma organización, como la visión que tiene un ente regulador. Este último busca impulsar un conjunto de medidas mínimas que las organizaciones deben cumplir, con la finalidad de obligar un determinado nivel de protección.

¿Por qué el Compliance es clave en las empresas?

El Compliance, puede ser definido como el proceso de evaluar, implementar y monitorear el cumplimiento de los requisitos que una entidad reguladora dicta. Dicha entidad puede ser interna a la organización, dictando directrices con alcance interno, como también podría ser un ente regulador gubernamental o de industria que dicta requisitos a cumplir.

Es importante entender que la diferencia entre Requisito y Requerimiento. Requisito se puede entender como una condición necesaria de cumplir (obligación), en tanto, Requerimiento corresponde a una solicitud que no implica necesariamente obligación de cumplimiento.

Actualmente, el Compliance aborda procedimientos y buenas prácticas exclusivas del mundo analógico, como también del mundo digital. La ciberdelincuencia, el robo de datos e información privada son algunas de las amenazas comunes a las que se enfrentan las empresas hoy en día. Es debido lo anterior que se hace importante una vigilia constante y rigurosa de la ciberseguridad dentro de cada organización.

Ante esto, el Compliance toma una relevancia significativa, pues su enfoque se centra en asegurar el cumplimiento de las normativas vigentes tanto legales como internas, fortalecer la ciberseguridad y reducir las vulnerabilidades. Además de que ayuda a la empresa a actuar de mejor manera y prevenir ataques informáticos.

La importancia de cumplir con estándares y normativas

Actualmente, existen muchas regulaciones y estándares enfocados en distintos tipos de industrias. Un ejemplo de ello es la PCI DSS o Payment Card Industry Data Security Standard. Este estándar sirve como guía para las empresas u organizaciones que permiten la opción de pago online con tarjetas de crédito o débito. Otros casos son:

  1. Normativa del coordinador eléctrico nacional (CEN)
  2. Normativa de la comisión nacional de energía (CNE)
  3. Normativa para Bancos e Instituciones financieras (RAN 20-10)
  4. Normativa para Organizaciones de Seguros (NCG-454)

De esta forma, las empresas se regirán por un marco estandarizado de seguridad en lo que a protección de datos se refiere. Si estas llegan a no cumplir con este estándar, se arriesgan a multas o sanciones, como el perder la posibilidad de usar pago online con tarjetas.

Se debe recordar que el Compliance es un requisito y constituyen las medidas mínimas a implementar, siendo posible complementar dichas medidas con la evaluación de riesgos interna de la organización.

Desafíos del Compliance

El proceso de Compliance tiene una serie de complicaciones que de no ser gestionadas eficientemente puede implicar impactos importantes.

Dentro de los desafíos, tenemos los siguientes:

1. Conocer la real situación de cumplimiento

Es un aspecto clave tener la visibilidad de la situación real en cuanto al nivel de cumplimiento. En este sentido, no es suficiente el enfoque de "checklist", se requiere además saber el nivel de cumplimiento o madurez de su implementación. No perder de vista que la sola existencia de una medida mitigatoria, no es garantía de seguridad, hay también aspectos de efectividad asociados a esa medida. Además, los entornos empresariales sufren constantes cambios que podrían hacer perder efectividad a las mitigaciones.

2. Identificar de forma adecuada las iniciativas tendientes a cubrir las brechas identificadas

La dificultad de este punto es enfocar de forma adecuada y dar un alcance efectivo a la iniciativa de forma tal que permita el Compliance y a la vez permita un plan de implementación gradual.

3. Orquestar las iniciativas de Compliance

Es una situación normal que las organizaciones se vean enfrentadas a una gran cantidad de brechas. En este caso es importante orquestar cada iniciativa enfocándolas en términos de corto, mediano y largo alcance, balanceando medidas en los frentes técnicos, organizaciones, personas y físicos.

4. Compromiso de la organización

Para poder llevar a cabo las iniciativas, se recomienda implementar un plan director que permita avanzar en el nivel de cumplimiento y madurez, esto requiere necesariamente del compromiso de la alta dirección para poder alinear los esfuerzos y recursos para llevarlo a término. Es importante considerar que la alta gerencia, C level, directorio, requerirá de visibilidad para entender y apoyar estas iniciativas.

5. Reflejar los beneficios que se obtienen con el Compliance

Con este punto no solo nos referimos al hecho de poder demostrar el Compliance ante un ente regulador, sino a un elemento más importante, que es el hecho de estar en cumplimiento y que es la disminución del nivel de riesgo que hay en la implementación de las iniciativas. Por tanto, el enfoque adecuado corresponde a la disminución de riegos que a su vez permitirán estar en complimiento con la regulación.

6. Monitoreo 

Una vez implementada una medida de mitigación, la tarea se basa en mantener la visibilidad de la implementación y de la efectividad de las medidas mitigatorias, de forma de comprobar que siguen aportando a la disminución de riesgo.

7. Evidencias

Un aspecto no menor corresponde a demostrar que la organización cumple con determinado requisito ante un ente externo, ya sea el regulador o un auditor. Normalmente en la operación del día a día, se pierde el sentido de una medida de mitigación y, por tanto, es más costoso demostrar su cumplimiento dado que los profesionales o procesos involucrados no recuerdan o no están interiorizados del sentido que tienen y cómo esas medidas de mitigación los ayuda en su quehacer.

Recomendaciones finales:

  1. Realice una evaluación de nivel de cumplimiento de los requisitos en forma periódica (1 vez al año) utilizando las capacidades de un externo que garantice objetividad, independencia, que tenga experiencia y que ayude en la definición de las iniciativas con base a otras experiencias y buenas prácticas.
  2. Construya un plan director con las iniciativas necesarias en un corto, mediano y largo plazo. Es importante especificar los alcances y beneficios que implica cada iniciativa y logre el compromiso de la alta dirección. Estas iniciativas deben buscan el equilibrio entre medidas a nivel técnico, organizacional, de personas y físico.
  3. Verifique el nivel de efectividad de las mitigaciones que tiene implementadas a la fecha. No es suficiente con tener un determinado control, existen niveles de efectividad asociados, diferencias en cobertura entre distintas medidas y por lo demás, los cambios organizacionales pueden dejar obsoleta una determinada medida de mitigación.
  4. Busque apoyo de organizaciones con experiencia y con capacidades de acompañarlo en su viaje a mejorar la situación de riesgos, proteger sus activos y demostrar el Compliance.

Visítanos y descubre las soluciones tecnológicas que Entel Ocean le puede entregar a tu empresa para optimizar su rendimiento y desarrollar en ella una transformación digital con los más altos estándares normativos.


¿Te interesa saber más?

Déjanos tus datos y te ayudaremos con lo que necesites en IoT, Cloud y Ciberseguridad.


Entel Ocean
Entel

¿Quieres saber más?

Seguridad

4 usos de los sistemas de seguridad ocupacional en las empresas

La seguridad ocupacional juega un importante papel en las actividades diarias de una empresa al hacerse cargo del bienestar de los trabajadores. ...

05 febrero, 2023   |   Lectura: 4min

Entel Ocean

Entel Ocean: Un compañero en la era de la transformación digital

Las empresas reconocen la transformación digital como un ajuste necesario para mantenerse competitivos en un mercado económico que requiere de nuevas ...

05 febrero, 2023   |   Lectura: 6min

Ciberseguridad

5 pasos para implementar un plan de ciberseguridad

En la actualidad, implementar un plan de ciberseguridad resulta indispensable en cualquier estrategia organizacional. De esta forma, las empresas ...

05 febrero, 2023   |   Lectura: 3min

Seguridad

Seguridad para tu empresa con cámaras e inteligencia artificial

La inteligencia artificial ha abierto muchas puertas para que las empresas puedan mejorar sus procesos, una de ellas tiene relación con la ...

05 febrero, 2023   |   Lectura: 5min

Smart Cities

Geointeligencia: la clave para conocer a tu público objetivo

¿Conoces realmente la vida en tu ciudad? ¿Cómo se mueve? ¿hacia donde y en que momentos? para eso sirve la geointeligencia. 

05 febrero, 2023   |   Lectura: 4min

Ciberseguridad

4 soluciones para combatir amenazas de ciberseguridad

Según datos de Statista, las amenazas de ciberseguridad cuestan a las empresas cerca de 3.86 mil millones de dólares. Además, el 51% de las ...

05 febrero, 2023   |   Lectura: 2min

Smart Cities

Geointeligencia: la clave para conocer a tu público objetivo

¿Conoces realmente la vida en tu ciudad? ¿Cómo se mueve? ¿hacia donde y en que momentos? para eso sirve la geointeligencia. 

05 febrero, 2023   |   Lectura: 4min

Movilidad y Transporte

¿Qué és el CAN Bus y cómo ayuda a optimizar el control de flotas?

Las herramientas de monitoreo que existen actualmente pueden ayudarte a optimizar tu control de flotas en función del ahorro, la eficiencia, la ...

05 febrero, 2023   |   Lectura: 4min

Creemos juntos el mejor camino  para la aceleración tecnológica de tu negocio

Contáctanos