compliance

El compliance es un factor clave en la ciberseguridad actual, pues supone el conocimiento y cumplimiento de la legislación vigente para cada ciclo de vida de los servicios que ofrecemos. Analizamos su importancia y las respectivas leyes y directivas.

Cuando se mira desde el exterior hacia la ciberseguridad, parece que todo es ataque y defensa, tecnología para atacar y tecnología para defender. En definitiva, un escenario donde la brillantez de las personas y las capacidades técnicas marcan la diferencia para que tu empresa o tu gobierno no aparezcan tras la palabra “brecha” o “millones de datos robados” o “hackeada la empresa X”. En realidad, son otros factores los que marcan la diferencia de verdad y, entre estos, está el cumplimiento o compliance.





Descarga gratis la guía: Retos oportunidades y consejos de la Economía Digital




La ciberseguridad representa un paso más en la evolución de la seguridad de la información. Ahora el foco no está sólo en la información y en el valor que está tiene, sino también en la integridad de las personas, que se puede ver amenazada, por ejemplo, mediante un ataque cibernético a una infraestructura crítica.

La ciberseguridad se construye con controles de seguridad. Estos controles pueden ser organizativos, procedimentales y normativos (compliance), así como técnicos. Ante un nuevo servicio, ya sea este una web o un servicio esencial que soporta una infraestructura crítica, se debe evaluar y gestionar el riesgo tecnológico, seleccionando qué controles deben ser aplicados.

Un punto esencial en la evaluación de riesgos es el compliance: la identificación de las leyes, regulaciones y normas que se deben respetar y cumplir a lo largo de todas las fases del ciclo de vida del servicio, que incluye diseño, construcción, despliegue, mantenimiento, operación y retirada.

¿Qué leyes y directivas aplican a la ciberseguridad?

En los últimos años, tanto a nivel nacional como a nivel Europeo, se está legislando en materia de seguridad y privacidad.  Las empresas valoran positivamente la regulación en este campo, al establecer criterios, pero también miran con recelo ciertas obligaciones que en las mismas aparecen. Estas incluyen, por ejemplo, la obligación  de notificar las brechas de seguridad y las sanciones económicas que pueden ser superiores a 20 millones de euros.

El cumplimiento real no sólo es un acicate para exigirnos más y, en consecuencia, disminuir el riesgo, sino que también puede disminuir las consecuencias penales. Pensemos en la “culpa in vigilando”, la “culpa in eligendo” y la “culpa organizativa” en la responsabilidad penal de las personas jurídicas (artículo 31 bis de la Ley de Enjuiciamiento  Criminal).

En España, de forma nativa o por transposición de directivas o Reglamentos Generales, tenemos:

Aplicación del  compliance en ciberseguridad en las empresas

Tanto el ENS como la Ley PIC son plenamente efectivas para la Administración en el primer caso y para los Operadores de Infraestructuras Críticas (privadas o públicas). En el 2018 lo serán tanto el RGPD (para cualquier empresa con Datos de carácter personal) como el NIS.

En el momento de definir la necesidad de un servicio (momento inicial), deberemos identificar si el servicio está en el alcance de estas leyes. Si es así, se deben identificar los requisitos de seguridad y privacidad de obligado cumplimiento. Todo ello será contemplado en el análisis de riesgos y en los controles de seguridad que deben ser aplicados. Controles como el cifrado de datos en tránsito o en el almacenamiento de los datos, la gestión de los incidentes o la revisión de vulnerabilidades estarán presentes a lo largo de todo el ciclo de vida de dicho servicio.

Finalmente, las áreas de auditoría y compliance deberán de estar vigilantes de estos controles para garantizar el respeto a la Ley, evitar la pérdida de reputación y preservar el valor de los activos. Pensemos que en todas las leyes citadas, las brechas de seguridad deben ser comunicadas, lo que representa un añadido al riesgo reputacional.

Si te atrae el campo de la Ciberseguridad y quieres convertirte en un especialista en este campo, fórmate con el Programa Superior en Ciberseguridad y Compliance de ICEMD. Toda la información e inscripciones, aquí.





Descargar e-Book




Comentarios

Deja tu comentario: