LA IMPORTANCIA DEL CUMPLIMIENTO DE REGULACIONES EN LA SEGURIDAD DE INFORMACIÓN
Ole Christian Olsen tiene más de 10 años de experiencia en IT Security y auditorias de tecnología. Además cuenta con experiencia en el campo de la ciber-seguridad y en regulaciones de cumplimiento para mejores prácticas en la seguridad de la información, cuenta con certificaciones CISA, CRISC, Cobit 5, implementación de ISO 27001, e ITIL. Ha trabajado para prestigiosas compañías en Países Bajos y en Noruega.
Es importante para nosotros aportarles con el punto de vista de un experto en temas relacionados a regulaciones ya que las empresas deberían intentar apegarse lo más posible a ellas para evitar fugas de información sensible y de igual manera ser multadas por las agencias de gobierno. Ole responderá algunas preguntas en relación a este tema y comenzaremos con la siguiente:
Es importante cumplir con las normas de la regulación?
Siempre es importante cumplir con las normativas de las regulaciones que rigen en el área de negocios que opera la empresa. El grado de cumplimiento depende de cómo sea la gestión de riesgos de la misma. Algunas regulaciones, como por ejemplo GDPR, establecen que debe tener seguridad en el procesamiento de la información personal tanto de los clientes como de los colaboradores, accionistas y cualquier persona que esté en el ecosistema de la compañía. Pero ¿qué significa eso? La compañía debe cumplir lo que le damande su nivel de riesgo. Eso lo explica de manera clara la normativa. Por lo tanto, todas las empresas que procesan información personal deben hacer su propio análisis de riesgos.
Dependiendo del riesgo involucrado y la aceptación del riesgo del negocio, se deben implementar medidas apropiadas de seguridad de la información.
Conozca como Kriptos puede ayudar a la seguridad de su negocio:
Dónde se comienza y cuáles son los primeros pasos que debo cumplir para asegurar el cumplimiento de las normativas de las regulaciones?
El primer paso que se debería hacer es una revisión de que leyes y normativas son aplicables para el giro de negocio en el que se encuentre su empresa. Existen leyes y normativas que cambian por el tipo de empresa y por el tipo de industria. Hay normativas que son aplicables para todos y hay normativas que se ajustan a características específicas de las empresas. Por ejemplo, si su empresa está en algún mercado cambiario, existen normativas que se apegan a esa característica en específico. Después de hacer esta revisión fundamental, es importante evaluar el riesgo y esto debe ser contemplado en la política, procesos y controles del manejo de información de la compañía. Es muy importante entender que en las políticas de información de la empresa se puede validar en auditorías que se estén cumpliendo las normativas.
En estos tiempos, qué tan importante es la seguridad de la información en relación a las regulaciones?
Vivimos en una época tecnológica donde la información y los datos se mueven muy rápido. Debido a esto la sociedad depende mucho de la información y de los sistemas que la manejan. Es por esto que las normativas han decidido entender esto y buscan que la información esté protegida. Perder información personal o información de tarjetas de crédito puede terminar en daños severos para los clientes y para las empresas. Proteger la información debería ser visto por las empresas como algo ético y necesario para garantizar la seguridad de los clientes, pero como no lo ven de esa manera, existen normativas que las obligan a ver. Y así mismo las políticas de la empresa deberían ser consistentes con el nivel de riesgo ajustado a las necesidades de la empresa.
La información hoy en día es más valiosa que el petróleo, la información más sensible de nuestros clientes e incluso nuestra propia información como compañía debería ser tratada con cuidado para evitar fugas y evitar multas que podrían hacer quebrar a cualquier empresa. Si protegen la información es una buena práctica y puedes retener clientes por la seguridad que los estás dando.
Cómo puedo empezar a proteger los activos de información?
Primero, deberían entender qué tipo de información es la que tiene la empresa, su valor, sus niveles de confidencialidad, dónde está ubicada y quien tiene acceso a ella. Se puede resumir este proceso entendiendo los pilares de la seguridad informática: Confidencialidad, Integridad y Disponibilidad. Así mismo deberíamos entender cuántos niveles de sensibilidad tiene la empresa, poco sensible, medianamente sensible, o muy sensible. Una vez que entendemos que tipo de información tenemos y donde está ubicada podemos recién empezar a invertir en herramientas que protejan la información.