¿Cuál es el problema más común al que se enfrentan las empresas hoy en día? ¿Es la fragilidad de la cadena de suministro? ¿La competencia feroz? ¿La falta de liquidez? ¿O es la creciente e implacable oleada de ciberataques?
Las pruebas y los analistas sugieren que suele ser lo segundo. Como las ciberamenazas no muestran signos de desacelerarse, tanto las pequeñas como las grandes organizaciones reconocen cada vez más que la ciberseguridad ya no es opcional.
Es más, los gobiernos y las agencias reguladoras también se han dado cuenta de su importancia, especialmente cuando se trata de organizaciones que operan en sectores críticos para la infraestructura nacional de un país. ¿Cuál es el resultado? Un conjunto cada vez mayor de requisitos de cumplimiento que parecen desalentadores, pero que son esenciales para el buen funcionamiento y la seguridad pública de un país.
Formas de cumplimiento
Para empezar, tenemos que distinguir entre dos tipos de cumplimiento: obligatorio y voluntario, ya que cada uno conlleva su propio conjunto de requisitos.
El cumplimiento obligatorio abarca las normativas aplicadas por organismos estatales o adyacentes y dirigidas a empresas que operan en sectores de infraestructuras críticas, como la sanidad, el transporte y la energía. Por ejemplo, una empresa que trabaje con datos de pacientes en Estados Unidos debe cumplir la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA, sus siglas en inglés), una normativa federal, para mantener la privacidad de los datos de los pacientes más allá de las fronteras estatales.
Por otro lado, el cumplimiento voluntario significa que las empresas solicitan certificaciones y normas específicas que las identifican como expertas en un campo concreto o califican algunos de sus productos como conformes a una norma. Por ejemplo, una empresa que busque credibilidad medioambiental puede solicitar la certificación ISO 14001, que demuestra su compromiso con las prácticas respetuosas con el medio ambiente.
Sin embargo, todas las empresas deben reconocer que el cumplimiento de las normas no es un esfuerzo único. Cada norma, u otra "pizca de cumplimiento", requiere recursos adicionales, ya que estos procesos exigen un seguimiento constante y asignaciones presupuestarias (incluso las certificaciones ISO requieren una recertificación periódica).
Cumplimiento de la ciberseguridad: no sólo para los proveedores de seguridad
Una empresa que no se ajuste al cumplimiento obligatorio puede enfrentarse a cuantiosas multas. Incidentes como las filtraciones de datos o los ataques de ransomware pueden acarrear grandes costes, pero la evidencia de un incumplimiento de las medidas de seguridad obligatorias puede hacer que la factura final se dispare.
La normativa específica en materia de ciberseguridad que debe cumplir una organización depende del tipo de sector en el que opere la empresa y de la importancia que tenga la seguridad de sus datos internos para la privacidad, la seguridad de los datos o los actos sobre infraestructuras críticas. También hay que tener en cuenta que muchas normativas y certificaciones son específicas de cada región.
Además, dependiendo de qué clientes o socios quiera atraer una empresa, es aconsejable solicitar un certificado específico para poder optar a un contrato. Por ejemplo, si una empresa quiere trabajar con el gobierno federal estadounidense, necesita solicitar el certificado FedRAMP, que demuestra su competencia en la protección de datos federales.
En cualquier caso, el cumplimiento de la normativa debe formar parte de los cimientos de cualquier estrategia empresarial. Como los requisitos normativos seguirán aumentando en el futuro, a las empresas bien preparadas les resultará más fácil adaptarse a los cambios. El cumplimiento se mide continuamente, lo que puede ahorrar a las organizaciones importantes recursos y permitir su crecimiento a largo plazo.
Principales leyes y marcos de ciberseguridad
Hagamos ahora un rápido repaso de algunas de las leyes y marcos normativos más importantes en materia de ciberseguridad:
- Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios (HIPAA)
Esta ley regula el tratamiento de la información de los pacientes en hospitales y otros centros sanitarios. Representa un conjunto de normas diseñadas para proteger los datos sanitarios confidenciales de los pacientes frente a usos indebidos, exigiendo a las entidades administrativas que promulguen diversas salvaguardias para proteger dichos datos, tanto física como electrónicamente.
- Marcos del Instituto Nacional de Normas y Tecnología (NIST)
El NIST, una agencia gubernamental estadounidense dependiente del Departamento de Comercio, elabora normas y directrices para diversos sectores, entre ellos el de la ciberseguridad. Al imponer un determinado conjunto de políticas que sirven de base a la seguridad de las organizaciones, permite a las empresas e industrias gestionar mejor su ciberseguridad. Por ejemplo, el Marco de Ciberseguridad 2.0 del NIST contiene orientaciones exhaustivas para organizaciones de todos los tamaños y postura de seguridad actual sobre cómo pueden gestionar y reducir sus riesgos de ciberseguridad.
- Norma de seguridad de datos del sector de las tarjetas de pago (PCI DSS)
PCI DSS es otra norma de seguridad de la información diseñada para controlar el manejo de datos de tarjetas de crédito. Su objetivo es reducir los riesgos de fraude en los pagos reforzando la seguridad en torno a los datos de los titulares de tarjetas. Se aplica a todas las entidades que manejan datos de tarjetas, ya sea una tienda, un banco o un proveedor de servicios.
- Directiva sobre seguridad de las redes y de la información (NIS2)
Esta directiva refuerza la ciberresiliencia de las entidades críticas de la Unión Europea al imponer requisitos de seguridad y prácticas de gestión de riesgos más estrictos a las entidades que operan en sectores como la energía, el transporte, la sanidad, los servicios digitales y los servicios de seguridad gestionados. NIS2 también introduce nuevas normas de notificación de incidentes y multas por incumplimiento.
- Reglamento General de Protección de Datos (RGPD)
El GDPR es una de las normativas sobre privacidad y seguridad de datos más estrictas a nivel mundial. Se centra en los derechos de privacidad y protección de datos de las personas en la Unión Europea, dándoles el control sobre sus datos y ordenando el almacenamiento seguro y la notificación de infracciones para las empresas que gestionan los datos.
Existen marcos normativos tanto específicos del sector como amplios, y cada uno viene acompañado de requisitos únicos. Cumplir una no garantiza que no se infrinja otro conjunto de normas; por tanto, preste atención a qué reglamentos se aplican a su empresa y a sus operaciones.
Incumplimiento costoso
¿Qué ocurre con el incumplimiento? Como se ha mencionado anteriormente, algunas normativas establecen sanciones cuantiosas.
Por ejemplo, las infracciones del GDPR pueden dar lugar a multas de hasta 10 millones de euros, o el 2% de la facturación anual global, para cualquier empresa que no notifique una infracción a una autoridad supervisora o a los interesados. Las autoridades supervisoras también pueden imponer multas adicionales por medidas de seguridad inadecuadas, con los consiguientes costes adicionales.
En Estados Unidos, el incumplimiento de la FISMA, por ejemplo, puede suponer una reducción de la financiación federal, audiencias gubernamentales, censura, pérdida de futuros contratos y mucho más. Del mismo modo, las infracciones de la HIPAA también podrían tener consecuencias nefastas, ya sean multas por valor de 1,5 millones de dólares anuales e incluso penas de cárcel de 10 años. Está claro que hay más en juego que el bienestar financiero.
En definitiva, es mejor prevenir que curar, y también es prudente mantenerse al día de las normativas de ciberseguridad específicas de su sector. En lugar de verlo como un gasto adicional evitable, su empresa debería ver el cumplimiento como una inversión esencial y regular, doblemente en el caso de las normas obligatorias, que, si se descuidan, podrían poner rápidamente su negocio, si no su vida, patas arriba.
