Garantizar el cumplimiento de la ciberseguridad puede ser engorroso (y un auténtico dolor de cabeza), pero si no lo haces, puede costarte literalmente tu negocio.

Hay cientos de controles y numerosos requisitos impuestos por múltiples organismos reguladores y grupos de la industria privada.

Además, las organizaciones que operan a nivel mundial deben enfrentarse al gran reto adicional de tener que cumplir con una multitud de normativas, tanto globales como locales, de distintas jurisdicciones y reguladores, en muchas zonas geográficas diferentes.

Y el reto no hará más que aumentar a medida que se incremente la frecuencia, el volumen y la gravedad de los ataques, lo que hará que las normas y las organizaciones gubernamentales endurezcan aún más los requisitos de cumplimiento.

Cumplimiento y mitigación de riesgos

Pero no superar el reto es algo que ninguna empresa puede permitirse. Las empresas que incumplen la normativa se enfrentan a fuertes multas y sanciones, por no hablar del daño a su reputación. Por ejemplo, Uber recibió una multa de 148 millones de dólares y Equifax pagó 575 millones de dólares por una infracción en 2017. En cuanto a las empresas que tienen ciudadanos de la UE en su base de clientes, infringir el Reglamento General de Protección de Datos (RGPD) dará lugar a una multa máxima de ~23 millones de dólares (20 millones de euros), o el 4% de la facturación anual, lo que sea mayor, con una multa media de 180.000 dólares incluso para las pequeñas y medianas empresas.

La única manera de reducir el riesgo de una infracción, los costes asociados de respuesta y recuperación, las excesivas multas, y evitar el daño a la continuidad de la empresa y al valor de la marca, es asegurarse de que la protección es sólida y de que todo el mundo cumple los requisitos de ciberseguridad.

Los 7 retos de la normativa de ciberseguridad

Si quieres implantar altos niveles de controles y procesos de ciberseguridad que garanticen el cumplimiento de la normativa, tendrás que superar siete retos clave.

Un panorama de amenazas en constante cambio

Las amenazas a la ciberseguridad surgen y cambian muy rápidamente, lo que hace muy difícil para las organizaciones (y los reguladores) mantenerse al día. Tan pronto como se observa un nuevo tipo de amenaza y se establecen nuevos controles, surge una amenaza más nueva que requiere una atención y acción rápidas.

Aumento de la sofisticación y frecuencia

Las tecnologías y estrategias que utilizan los ciberdelincuentes son cada vez más sofisticadas. Además, la frecuencia de los ataques y la amplitud de su alcance también aumentan, provocando más daños que nunca.

Rápida evolución de la tecnología

El reto de mantenerse al día con la sofisticación de los ciberdelincuentes es aún mayor cuando hay que estar continuamente al día con la rápida evolución de las tecnologías.

Por ejemplo, para las empresas con entornos Kubernetes, es necesario desplegar nuevas tecnologías para mitigar el riesgo que suponen las vulnerabilidades innatas de la plataforma, que resultan de su empaquetamiento de la funcionalidad de las aplicaciones, las definiciones de la infraestructura y los componentes de terceros.

Además, con el aumento del tráfico no autorizado y malicioso en la red, muchas organizaciones están implementando un modelo de confianza cero que requiere también un nuevo conjunto de controles y tecnologías.

La brecha de habilidades

Garantizar el cumplimiento de la normativa también significa que es necesario contar con un amplio y variado conjunto de habilidades en la empresa, lo que incluye tener un conocimiento profundo de múltiples normativas, amenazas cibernéticas, procesos, controles y tecnologías de ciberseguridad.

Sin estos amplios conocimientos, es imposible crear un programa eficaz y exhaustivo y llevar a cabo con precisión el alcance, la supervisión y la corrección necesarios para garantizar la seguridad y demostrar el cumplimiento.

Crecimiento de los puntos finales “El 70% de los ciberataques exitosos se originan en el punto final”. (IDC)

El endpoint se ha convertido en el epicentro de las amenazas. Sin embargo, la protección del endpoint nunca ha sido tan difícil. El modelo de trabajo remoto impulsado por la pandemia ha dado lugar a una proliferación sin precedentes de dispositivos que han ampliado considerablemente la posibilidad de ataque.

Por ello, no es de extrañar que, en un estudio realizado a mediados de 2020, el 39% de los profesionales de la seguridad afirmaran que no confían en la resistencia de sus actuales soluciones de protección de endpoints.

La organización sin perímetro

La fuerza de trabajo actual es dinámica, itinerante y, como acabamos de mencionar, remota. El paso a la nube se acelera continuamente, al igual que la proliferación de dispositivos conectados al IoT. Lo que esta combinación de fuerzas significa para la ciberseguridad es que los días de un perímetro de seguridad bien definido han quedado muy atrás.

Esto hace que las infraestructuras de seguridad heredadas queden obsoletas y confiere un nuevo nivel de complejidad a la hora de garantizar la protección y el cumplimiento.

Múltiples normativas

Independientemente del sector en el que operes, es probable que tengas que cumplir con muchas normas diferentes. Por ejemplo, las organizaciones de servicios sanitarios deben cumplir la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA). Y si estas mismas organizaciones aceptan pagos a través de puntos de venta (POS), entonces también debe cumplir con los requisitos del Estándar de Seguridad de Datos de la Industria de las Tarjetas de Pago (PCI DSS).

Además, si la base de clientes incluye ciudadanos de la UE, entonces el cumplimiento del GDPR es obligatorio.

La luz al final del túnel de la normativa

En lo que respecta a la posible complejidad y confusión que supone tener que cumplir tanto las múltiples normativas como los diferentes aspectos locales, la buena noticia es que hay muchos elementos comunes que alivian parte de la carga.

Requisitos similares

Muchas normativas se centran en las mismas o similares amenazas y vulnerabilidades y, por tanto, conllevan requisitos de mitigación similares, por ejemplo:

• Establecer un marco de gobernanza para garantizar la responsabilidad de la ciberseguridad
• Identificar los sistemas que requieren mayores controles de seguridad
• Supervisar los sistemas de datos para detectar intentos de violación y casos de éxito
• Implementar programas de respuesta a incidentes que incluyan la notificación a los reguladores y a las partes afectadas
• Poner a prueba el programa de seguridad de forma regular

Superposición de normas

Muchas de las nuevas normas se basan en las ya existentes. Además, en general, muchas también están estrechamente alineadas y son coherentes con las normas existentes establecidas por organizaciones como el Instituto Nacional de Normas y Tecnología (NIST) o la Organización Internacional de Normalización (ISO). Por eso es esencial e incluso estratégico asegurarse de que los proveedores de soluciones y servicios apoyan, implementan y mantienen los programas, controles y tecnologías de ciberseguridad de la organización y estén certificados para SOC 2, GDPR, HIPPA y PCI DSS, por nombrar algunos, así como para ISO 22301 e ISO/IEC 27001.

La ISO 22301 es importante por ser aplicable a la provisión de soluciones de ciberseguridad para simulaciones de hacking, investigaciones forenses, ciberinteligencia, formación y construcción y funcionamiento de centros de operaciones de seguridad.

La norma ISO/IEC 27001 es importante porque es aplicable a los procesos empresariales relacionados con el suministro de las mismas soluciones de ciberseguridad mencionadas anteriormente.

Abordar el reto

A la hora de establecer un marco de cumplimiento normativo en materia de ciberseguridad, se recomienda:

Globalízate

Evaluar todas las normativas que sean relevantes no sólo para tu sector, sino también para todas las regiones y jurisdicciones en las que operes.

Identificar los puntos comunes, que deben servir de marco básico, y luego crear marcos locales para abordar los requisitos pendientes específicos de cada jurisdicción.

Recurrir a las normas

Del mismo modo, dado que muchas normativas se derivan de estándares establecidos, estos estándares pueden servir como una valiosa fuente de información para identificar los puntos comunes entre varias normativas locales.

Sin embargo, es importante señalar que la protección de la organización contra un ataque requiere ir más allá de las normas de cumplimiento de la industria. Es ciertamente la base. Pero el trabajo de seguridad no termina ahí.

Acceder a la experiencia

“El cumplimiento de las normas de integridad cibernética requiere una profunda experiencia tanto en tecnología como en cumplimiento normativo”. (Deloitte)

No hay nada que pueda ayudarte más que la experiencia y los conocimientos. Si no los tienes en tu empresa, la mejor manera de mitigar el riesgo, garantizar la seguridad y el cumplimiento de la normativa y evitar los daños es recurrir a un proveedor externo de soluciones y servicios específicos de ciberseguridad, con más experiencia en el cumplimiento de la normativa cibernética (y las certificaciones adecuadas).