Formas de cumplimiento
Para empezar, tenemos que distinguir entre dos tipos de cumplimiento: obligatorio y voluntario, ya que cada uno conlleva su propio conjunto de requisitos.
El cumplimiento obligatorio abarca las normativas aplicadas por organismos estatales o adyacentes y dirigidas a empresas que operan en sectores de infraestructuras críticas, como la sanidad, el transporte y la energía. Por ejemplo, una empresa que trabaje con datos de pacientes en Estados Unidos debe cumplir la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA, sus siglas en inglés), una normativa federal, para mantener la privacidad de los datos de los pacientes más allá de las fronteras estatales.
El cumplimiento voluntario se da cuando las empresas buscan certificaciones o normas que las acrediten como expertas en un área específica o que validen la conformidad de sus productos con ciertos estándares. Por ejemplo, una empresa que quiera reforzar su imagen medioambiental puede obtener la certificación ISO 14001, que certifica su compromiso con prácticas ecológicas.
Sin embargo, todas las empresas deben reconocer que el cumplimiento de las normas no es un esfuerzo único. Cada norma, u otra «pizca de cumplimiento», requiere recursos adicionales, ya que estos procesos exigen un seguimiento constante y asignaciones presupuestarias (incluso las certificaciones ISO requieren una recertificación periódica).
Cumplimiento de la ciberseguridad: no sólo para los proveedores de seguridad
Una empresa que no se ajuste al cumplimiento obligatorio puede enfrentarse a cuantiosas multas. Incidentes como las filtraciones de datos o los ataques de ransomware pueden acarrear grandes costes, pero la evidencia de un incumplimiento de las medidas de seguridad obligatorias puede hacer que la factura final se dispare.
El cumplimiento de normativas de ciberseguridad en una organización depende del sector en el que opere y de la importancia de proteger sus datos internos, especialmente en lo que respecta a la privacidad, la seguridad de la información y las infraestructuras críticas. Además, muchas de estas regulaciones y certificaciones son específicas de cada región.
Además, dependiendo de qué clientes o socios quiera atraer una empresa, es aconsejable solicitar un certificado específico para poder optar a un contrato. Por ejemplo, si una empresa quiere trabajar con el gobierno federal estadounidense, necesita solicitar el certificado FedRAMP, que demuestra su competencia en la protección de datos federales.
En cualquier caso, el cumplimiento de la normativa debe formar parte de los cimientos de cualquier estrategia empresarial. Como los requisitos normativos seguirán aumentando en el futuro, a las empresas bien preparadas les resultará más fácil adaptarse a los cambios. El cumplimiento se mide continuamente, lo que puede ahorrar a las organizaciones importantes recursos y permitir su crecimiento a largo plazo.
Principales leyes y marcos de ciberseguridad
– Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios (HIPAA): Regula la protección de los datos de pacientes en el sector sanitario, exigiendo medidas para proteger la información confidencial, tanto física como electrónicamente.
– Marcos del Instituto Nacional de Normas y Tecnología (NIST): Proporciona directrices y marcos de ciberseguridad para ayudar a las empresas a gestionar y reducir los riesgos cibernéticos.
– Norma de seguridad de datos del sector de las tarjetas de pago (PCI DSS): Norma para proteger los datos de tarjetas de crédito, enfocada en prevenir el fraude y asegurar la seguridad de la información en el sector de pagos.
– Directiva sobre seguridad de las redes y de la información (NIS2): Refuerza la ciberseguridad en entidades críticas de la UE, estableciendo requisitos más estrictos y nuevas normas de notificación de incidentes.
– Reglamento General de Protección de Datos (RGPD): Regula la privacidad de los datos en la UE, otorgando a los usuarios control sobre sus datos personales y exigiendo un almacenamiento y notificación seguros.