PCI DSS, HIPAA, SOX, GLBA, GDPR, CCPA, ISO; la lista de normativas que las empresas deben cumplir hoy en día es tan larga como el brazo de la ley. Si bien es desalentador para las organizaciones hacer un seguimiento de todas las regulaciones aplicables y formular planes exhaustivos para lograr el cumplimiento, estas son bendiciones disfrazadas, ya que protegen a las empresas y a los consumidores por igual. Sin embargo, incluso las organizaciones que se centran en el cumplimiento de la normativa luchan por mantenerse al día con la lista de requisitos debido a la incertidumbre normativa, la visibilidad insuficiente, las estrictas medidas de aplicación y los cambiantes entornos tecnológicos.
Según un informe sobre el coste del cumplimiento normativo de 2019 realizado por Thomson Reuters, un panorama normativo dinámico y los riesgos que plantean las innovaciones tecnológicas, como la inteligencia artificial (IA), el Internet de las Cosas (IoT), el “trae tu propio dispositivo” (BYOD), etc., han seguido siendo algunas de las principales preocupaciones de los responsables de cumplimiento normativo de todo el mundo. Otra gran preocupación que ha surgido en los últimos meses es la gestión de la recopilación a gran escala de datos personales para combatir la pandemia de COVID-19. Si bien la analítica de datos desempeña un papel innegable en el estudio del crecimiento y la propagación de la infección por coronavirus, es imperativo supervisar la forma en que las organizaciones están procesando los datos recogidos de los teléfonos móviles, las aplicaciones de chequeo médico, etc.
En la actualidad, no hay transparencia sobre cómo se utilizan y almacenan estos datos. También existe la preocupación generalizada de que los datos recogidos para el análisis de COVID-19 puedan reutilizarse posteriormente con fines de vigilancia. Las empresas deben aplicar prácticas responsables de recogida y tratamiento de datos para seguir cumpliendo la normativa sobre privacidad de datos.
Las organizaciones de todo el mundo seguirán enfrentándose a los retos derivados del aumento de la carga normativa. En un panorama tan dinámico, los responsables del cumplimiento normativo deben mantener el ritmo, formular marcos de cumplimiento eficaces y gestionar los riesgos de forma más eficiente.
Índice de temas
Estar al día de los cambios normativos
El entorno normativo está en constante cambio; las normativas existentes son objeto de actualizaciones periódicas, mientras que se formulan nuevas normativas para hacer frente a las crecientes preocupaciones en materia de seguridad y privacidad. Para complicar aún más las cosas, la mayoría de las organizaciones tienen que cumplir varias leyes, y no solo una o dos. A medida que los requisitos de cumplimiento evolucionan, también debe hacerlo su estrategia de cumplimiento. La infraestructura, las políticas y los marcos de una organización deben adaptarse para seguir el ritmo de las cambiantes estipulaciones.
Por ejemplo, el Reglamento General de Protección de Datos (RGPD). El GDPR refleja un cambio significativo en la manera en que los legisladores ven ahora la privacidad y la seguridad de los datos. Puso en marcha una cadena de cambios normativos en todo el mundo, y cada país formuló su versión de las normas de privacidad. A primera vista, estas normativas parecen preocupar únicamente a las organizaciones con sede en sus respectivos países. Sin embargo, un examen más detallado de la letra pequeña de estas normativas revela su alcance global y su impacto en todas las organizaciones, siempre que estas procesen datos pertenecientes a los ciudadanos de ese país específico.
Además, dado que la mayoría de estas normativas son obligatorias por ley, ignorarlas no es una opción, a menos que quiera pagar multas multimillonarias. Reglamentos como el RGPD obligan a las organizaciones a examinar detenidamente sus marcos de gobernanza de datos. El cumplimiento a menudo significa tener que repensar muchas de las prácticas actuales de una organización, incluida la formación y educación de los empleados. Los empleados suelen ver los requisitos de cumplimiento desde una perspectiva diferente, considerándolos más como una molestia que como un elemento fundamental para el éxito de la empresa. Aunque normalmente se les pasa por alto, los empleados pueden hacer o deshacer la estrategia de cumplimiento de una organización, ya que, en última instancia, manejan datos todos los días.
Establecer la transparencia y la responsabilidad
Un tema recurrente en la mayoría de los reglamentos y normas del sector es la necesidad de mostrar una responsabilidad y un cumplimiento constantes. Reglamentos y normas como el GDPR, PCI DSS e ISO/IEC 27001 exigen que las organizaciones mantengan informes de múltiples procesos organizativos, como los mecanismos de seguridad de redes y sistemas, las políticas de seguridad de la información, los sistemas de gestión de identidades, etc. Además, es vital demostrar el cumplimiento histórico, lo que puede ser un reto sin los sistemas y controles adecuados. Las organizaciones deben incorporar métodos para supervisar y registrar numerosos aspectos, como los datos de los empleados, las transacciones financieras y los registros de red para demostrar la conformidad.
Además, las empresas deben asegurarse de que los terceros con los que colaboran cumplen la normativa. Muchas infracciones tienen su origen en las vulnerabilidades de terceros que pueden pasar desapercibidas para el marco de cumplimiento de una organización. Puede ser un reto garantizar el cumplimiento por parte de terceros, pero esto puede ser fundamental para la estrategia general de cumplimiento de una organización.
Adaptación al cambiante panorama tecnológico
Los avances tecnológicos, como el IoT, el BYOD, la IA, así como el aprendizaje automático (ML) y la TI en la sombra, pueden hacer que el cumplimiento de la normativa sea más difícil de lo que ya es. Aunque estos avances son ventajosos, vienen acompañados de su propio conjunto de vulnerabilidades y lagunas de seguridad, como la gestión de dispositivos no autorizados, la residencia y el cifrado de datos, la falta de visibilidad, etc. Para combatir eficazmente los riesgos de cumplimiento, es imprescindible realizar una evaluación de riesgos exhaustiva antes de incorporar cualquier nueva tecnología a sus procesos empresariales. A medida que las tecnologías existentes evolucionan, las organizaciones se encuentran en una intrincada mezcla de sistemas nuevos y antiguos. En un escenario así, hay que saber qué sistemas se utilizan y para qué, y asegurarse de que todos los componentes de hardware y software se actualizan regularmente.
Prácticas como el BYOD, la TI en la sombra y los datos oscuros pueden ser particularmente difíciles de gestionar, ya que la mayoría de estas implementaciones eluden los sistemas centrales de TI. Si no se controlan, las organizaciones pueden encontrarse constantemente tratando de controlar sistemas y procesos no autorizados.
Creación de un plan de cumplimiento efectivo
La normativa mundial está destinada a evolucionar. Las organizaciones deben estar preparadas para estos escenarios y establecer las bases correctas. Debido al gran número de normativas que deben cumplir las organizaciones y a la magnitud de las mejores prácticas disponibles, puede resultar abrumador entender qué es lo que mejor funcionará para su empresa. La clave es entender los requisitos específicos de su organización y adoptar los marcos más adecuados y universalmente adoptados para estandarizar sus procesos de cumplimiento.
La implementación de un plan de gobierno, riesgo y cumplimiento (GRC) puede ayudar a las organizaciones a desarrollar un marco central para abordar esta importante preocupación de gestión.
Echemos un vistazo a algunos de los principios fundamentales de un plan de GRC eficaz que pueden constituir la base de su programa de cumplimiento.
1. Identificar y priorizar los objetivos de su marco de GRC
El primer paso es determinar qué quiere que consiga su marco. Por lo tanto, entienda sus procesos empresariales, identifique y clasifique sus objetivos en función de lo que es más valioso para su organización y, a continuación, determine las herramientas que necesitará para alcanzar esos objetivos.
2. Adopte una estrategia de implantación gradual
Aunque puede parecer una buena idea implantar todo el marco de trabajo de una sola vez, suele ser más seguro desplegar estos programas en toda la organización por fases. Lograr los resultados cruciales al principio y luego construir sobre su marco inicial garantizará que incluya varios aspectos y que cada uno de ellos reciba la atención debida.
3. Definir claramente los indicadores clave de éxito
Defina los indicadores clave de éxito para cada uno de los objetivos que identificó al principio de nuestro proceso de marco de GRC. Es fundamental señalar métricas de éxito claras para cada objetivo, ya que proporcionarán un verdadero reflejo de la fortaleza de su marco.
4. Determine las herramientas que requiere su marco
La tecnología puede agilizar considerablemente la aplicación de su plan de GRC. Identifique las herramientas que le ayudarán a cumplir sus objetivos más rápidamente y asegúrese de tener en cuenta la facilidad de implementación, la presencia en la nube y la seguridad de las aplicaciones al seleccionar sus opciones.
5. Adaptar la estrategia operativa de su organización
Los planes de GRC afectan a los procesos y sistemas de toda la organización, por lo que su marco de GRC debe ser lo suficientemente flexible como para evolucionar a medida que surgen nuevos vectores de amenazas o regulaciones. Es esencial sincronizar las operaciones de su organización con su plan de GRC para garantizar el éxito continuado. Ya sea que esto implique la creación de un comité dedicado al cumplimiento y la evaluación de riesgos o la realización de programas regulares de formación de los empleados, tendrá que identificar y tener en cuenta los cambios que un programa de GRC traerá a sus operaciones diarias.
Las funciones y los marcos normativos de una organización deben pasar de ser meramente reactivos a un enfoque más proactivo y táctico. A medida que el mundo se vuelve cada vez más consciente de la seguridad y la privacidad, las organizaciones están bajo más escrutinio que nunca. Un marco de cumplimiento exhaustivo y cuidadosamente planificado puede contribuir en gran medida a garantizar no solo el cumplimiento legal, sino también a infundir fe y confianza en sus productos y servicios.
Mientras la protección de datos y la privacidad estén integradas en la cultura de la organización, cualquier laguna o riesgo que pueda surgir podrá identificarse y resolverse con relativa facilidad.