Todos hemos pasado por ello: crear planes a corto o largo plazo para alcanzar determinados objetivos personales. Sin embargo, la planificación empresarial a menudo conlleva riesgos mayores, y las consecuencias de un plan mal concebido pueden ser de gran alcance y abarcar pérdidas monetarias y daños a la reputación. A medida que las empresas se adentran en una era de requisitos normativos cada vez más exhaustivos para reforzar las cadenas de suministro y la resistencia operativa, los retos van más allá de la dinámica del mercado.

En el frente de la seguridad, con normativas como el GDPR en la UE y la CCPA y la CPRA en EE.UU., o el marco de ciberseguridad del NIST, la protección de los datos de los usuarios nunca ha sido tan fundamental para la gestión de riesgos. De hecho, a medida que avanzamos en una era de innovación impulsada por la IA y la proliferación de datos públicos, habrá más regulaciones diseñadas para proteger a los consumidores y responsabilizar a las organizaciones de salvaguardar la información sensible. Para cumplir la normativa, las empresas tendrán que aplicar medidas de protección de datos más estrictas, junto con una mayor supervisión y presentación de informes.

Cumplimiento: una exigencia razonable

Cada marco ciberregulador tiene sus propios requisitos específicos, pero todos comparten un objetivo común: proteger los datos protegiéndolos contra el acceso no autorizado, así como contra la filtración y el uso indebido. Lo que está en juego es especialmente importante cuando se trata de datos como la información bancaria y sanitaria de las personas o la propiedad intelectual de las empresas.

Debido a la naturaleza bastante compleja de la normativa, cada empresa tiene que asegurarse de que entiende y sabe cómo cumplir sus obligaciones. Sin embargo, estas obligaciones pueden diferir enormemente en función de la vertical empresarial y de los clientes y socios de la organización, así como del alcance de sus operaciones y su ubicación geográfica.

Para obtener más información sobre cómo su organización puede cumplir con regulaciones específicas, diríjase a la página de Cumplimiento de Ciberseguridad para Empresas de ESET .

Por lo tanto, lograr el cumplimiento puede ser una tarea desalentadora. Sin embargo, no se trata sólo de marcar un check legal: es una inversión crucial para la salud a largo plazo de una empresa. Sin embargo, muchas organizaciones, especialmente las pequeñas y medianas, no están suficientemente preparadas para hacer frente a los riesgos de ciberseguridad y cumplir los requisitos normativos.

Sencillamente, cuando las ciberamenazas acechan, las consecuencias objetivas de una escasa preparación, o la ilusión de seguridad, pueden tener consecuencias devastadoras. Así lo demuestran las cifras: según el informe de IBM Cost of a Data Breach Report 2024, el coste medio de una brecha a nivel mundial se sitúa en 4,88 millones de dólares.

Perder el norte

Para subrayar por qué el cumplimiento es esencial, analicemos algunos incidentes importantes que podrían haberse mitigado significativamente si las partes afectadas hubieran actuado de acuerdo con los marcos básicos.

El Intercontinental Exchange

En 2024, el Intercontinental Exchange (ICE), una institución financiera más conocida por sus filiales como la Bolsa de Nueva York (NYSE), fue multada con 10 millones de dólares por no informar a tiempo a la Comisión del Mercado de Valores de Estados Unidos (SEC) de una ciberintrusión, violando así el Reglamento SCI.

El incidente tenía que ver con una vulnerabilidad desconocida en el dispositivo de red privada virtual (VPN) de ICE, que permitía a agentes malintencionados acceder a redes corporativas internas. La SEC descubrió que, a pesar de conocer la intrusión, los funcionarios del ICE no la notificaron a los responsables jurídicos y de cumplimiento normativo de sus filiales durante varios días. De este modo, el ICE infringió sus propios procedimientos internos de notificación de ciberincidentes, dejando que las filiales evaluaran indebidamente la intrusión, lo que en última instancia condujo al incumplimiento por parte de la organización de sus obligaciones de divulgación reglamentaria independiente.

SolarWinds

SolarWinds es una empresa estadounidense que desarrolla software para gestionar la infraestructura informática de las empresas. En 2020, se informó de que varias agencias gubernamentales y grandes empresas habían sufrido una brecha a través del software Orion de SolarWinds. El incidente "SUNBURST" se ha convertido en uno de los ataques más notorios a la cadena de suministro con un impacto global: la letanía de víctimas incluía grandes corporaciones y gobiernos, incluidos los Departamentos de Salud, Tesoro y Estado de EE. UU. La denuncia de la Comisión del Mercado de Valores de Estados Unidos (SEC) alega que la empresa de software había engañado a los inversores sobre sus prácticas de ciberseguridad y los riesgos conocidos.

Para ser claros, antes de que la SEC introdujera sus normas sobre gestión de riesgos de ciberseguridad para incidentes "materiales" en 2023, la notificación oportuna y precisa no había sido una consideración estratégica importante para muchas organizaciones en Estados Unidos. A no ser que hablemos de los informes periódicos de evaluación de riesgos que deben realizarse como parte de una estrategia de ciberseguridad sólida (o con fines de cumplimiento de normas específicas). Depende en gran medida de las empresas cómo diseñen su jerarquía de informes de seguridad, con distintos grados de competencia y responsabilidad (que SolarWinds incumplía según la SEC).

Las consecuencias financieras y de reputación de la brecha fueron asombrosas. Con más de 18.000 víctimas y costes que pueden ascender a millones de dólares por empresa afectada, este caso subraya que descuidar la seguridad y el cumplimiento no es una estrategia de ahorro de costes, sino una responsabilidad.

Yahoo

En otra historia con moraleja, Yahoo fue objeto de críticas por no revelar una filtración de 2014, lo que costó a la empresa 35 millones de dólares en una multa de la SEC. Sin embargo, la historia no termina ahí, ya que la posterior demanda colectiva añadió 117,5 millones de dólares a la cuenta de Yahoo, cubriendo los costes de liquidación pagados a las víctimas. Esto se produjo tras el descubrimiento de credenciales filtradas pertenecientes a 500 millones de usuarios de Yahoo. Peor aún, la empresa ocultó la filtración, engañando a los inversores y retrasando su divulgación durante dos años.

Para complicar aún más las cosas, Yahoo sufrió una segunda brecha un año antes que afectó a otros 3.000 millones de cuentas de usuario. Una vez más, la empresa no reveló el segundo incidente hasta 2016, antes de revisar la divulgación en 2017 para reflejar toda la magnitud del incidente.

La divulgación transparente y oportuna de las violaciones puede ayudar a mitigar los daños y prevenir incidentes similares en el futuro. Las víctimas pueden, por ejemplo, cambiar sus credenciales de inicio de sesión a tiempo para impedir que cualquier posible malhechor entre en sus cuentas.

5 pasos hacia el cumplimiento

Analicemos algunas medidas sencillas que puede adoptar cualquier empresa que desee cumplir la normativa. Considérelo una línea de base de actuación, con mejoras adicionales basadas en las normativas y requisitos específicos que deben establecerse en función de las preguntas concretas.

  • Comprenda su negocio: Como ya se ha mencionado, las empresas se enfrentan a requisitos de cumplimiento diferentes, en función de su sector vertical, los clientes/socios con los que trabajan, los datos que manejan y las ubicaciones en las que operan. Todos ellos pueden tener requisitos diferentes, así que preste atención a los detalles.
  • Investigue y establezca prioridades: Determina qué normas tiene que cumplir tu empresa, averigua las lagunas que hay que cubrir y define las medidas para cerrarlas, basándote en las regulaciones y normas más importantes que la empresa tiene que cumplir para evitar infracciones o multas.
  • Crear un sistema de informes: Desarrolle un sólido sistema de información que defina las funciones y responsabilidades de todos los implicados, desde los altos ejecutivos hasta los empleados encargados de la comunicación, pasando por el personal de seguridad que gestiona y supervisa sus medidas de protección. Asegúrese también de que existe un proceso claro para notificar los incidentes de seguridad y de que la información puede fluir sin problemas a las partes interesadas pertinentes, incluidos los reguladores o las aseguradoras si es necesario.
  • Supervise: El cumplimiento no es un esfuerzo puntual, sino un proceso continuo. Como parte de la información continua, supervise regularmente las medidas de cumplimiento y aborde las áreas que requieran atención. Esto incluye la comprobación de las vulnerabilidades de los sistemas, la realización periódica de evaluaciones de riesgos y la revisión de los protocolos de seguridad para que su empresa cumpla las normas reglamentarias en constante evolución.
  • Manténgase transparente: si se descubre una brecha, evalúe inmediatamente los daños e informe a la autoridad competente: el proveedor de seguros, el regulador y, por supuesto, las víctimas. Como se ha demostrado anteriormente, la divulgación oportuna puede ayudar a mitigar los daños, reducir el riesgo de nuevas violaciones y demostrar su compromiso con el cumplimiento, lo que en última instancia le ayudará a mantener la confianza de sus clientes, socios y partes interesadas.

Estos cinco pasos proporcionan una base para lograr el cumplimiento de la ciberseguridad. Aunque las directrices de este tipo son ampliamente aplicables, recuerde que cada empresa puede enfrentarse a retos únicos. Póngase en contacto con las autoridades pertinentes para conocer los requisitos más recientes y asegurarse de que sus esfuerzos de cumplimiento están en consonancia con las expectativas cambiantes de gobiernos, socios y organismos reguladores. Al comprender los requisitos específicos de su organización y sector, puede dar el primer paso para navegar por estas complejidades de forma más eficaz y garantizar que su empresa siga siendo segura, conforme y resistente frente a las ciberamenazas.