Aunque en principio pueda parecer que no existe una relación entre compliance y ciberseguridad, lo cierto es que la adopción y el compromiso con el compliance o cumplimiento normativo, puede ayudar a mejorar la ciberseguridad de las empresas. En las siguientes líneas explicaremos cómo esta aplicación del compliance en la ciberseguridad puede ayudar a tu empresa a prevenir ciertos riesgos y posibles sanciones por infracciones o brechas de seguridad.

La importancia del compliance para la ciberseguridad de la empresa

Los procesos de digitalización que experimentan actualmente infinidad de empresas y las normativas relacionadas con la ciberseguridad, la seguridad informática y la seguridad de la información, hacen que el compliance cobre una especial relevancia y se convierta en un elemento fundamental para mejorar la ciberseguridad de la empresa.

Si tenemos en cuenta que un programa o plan de compliance tiene como finalidad la gestión de los riesgos de cumplimiento, identificándolos e implementado las medidas y procedimientos necesarios para su prevención o, cuanto menos, la reducción de sus probabilidades de materialización y la reducción de su impacto para la empresa, si finalmente ocurren, es lógico pensar que, aplicado a los riesgos inherentes a la digitalización de las empresas y su conexión a Internet, se puede obtener una imagen clara de los riesgos de cumplimiento concretos derivados de las mencionadas normativas que afectan a la ciberseguridad.

Además, no debemos olvidar que entre los delitos de los que puede tener responsabilidad penal una empresa, se halla el Delito informático y el Delito de descubrimiento, revelación de secretos y allanamiento informático. Por lo tanto, en el eventual caso de que uno de estos delitos se cometiera dentro del seno de la empresa, contar con un plan de compliance que contemple la seguridad informática y cuente con controles para su vigilancia y prevención, podría atenuar o eximir a la empresa de dicha responsabilidad penal.

Pero el cumplimiento normativo en ciberseguridad no se detiene en el Código Penal, puesto que hay otras normativas que afectan a este ámbito y que de una infracción o vulneración, incluso siendo involuntaria, se puedan derivar consecuencias tanto económicas (sanciones) como reputacionales para la empresa. A través del compliance y de la metodología que se emplea para gestionar otros riesgos de cumplimiento, también es posible gestionar riesgos informáticos y cumplir así con las obligaciones de esas otras normativas.

tarifas compliance

Normativas que afectan a la ciberseguridad

Aparte del Código Penal y los delitos citados, entre esas otras normativas que afectan a la ciberseguridad y donde la aplicación del compliance puede ayudar a la empresa a cumplirlas, reforzando así la ciberseguridad, tenemos:

  • La Ley de Protección de Datos (tanto el RGPD como la LOPDGDD)
  • El Esquema Nacional de Seguridad (ENS)
  • La Ley de Infraestructuras Críticas
  • La Directiva NIS
  • La Ley de Gobernanza de Datos

Fuera de normativas nacionales e internacionales, también tenemos las normas de la serie ISO 27000, que se corresponden con un conjunto de buenas prácticas para la implantación, mantenimiento y gestión del Sistema de Gestión de Seguridad de la Información (SGSI) y que sirven como guía para implementar medidas y procedimientos para garantizar la seguridad de la información en la empresa.

Implantar compliance en ciberseguridad

¿Cómo el compliance puede ayudar a mejorar la ciberseguridad de tu empresa?

El compliance puede ayudar a mejorar la ciberseguridad de la empresa, al incluir las obligaciones derivadas de las normativas de ciberseguridad o que afectan en mayor o menor medida a la ciberseguridad, en el sistema de gestión de compliance de la empresa.

Puesto que, como decíamos, para elaborar el plan de compliance, es necesario identificar los riesgos de cumplimiento a los que está expuesta la empresa en base a sus procesos y otros factores como la localización, la actividad o su tamaño, en materia de ciberseguridad también podemos valernos de los mapas de riesgos de compliance para detectar, identificar y valorar los riesgos de seguridad de la información que puede enfrentar la empresa.

Identificar esos riesgos, permitirá adoptar e incluir las medidas y procedimientos más adecuados para prevenirlos o mitigar su impacto. Son ejemplo de estas medidas el cifrado de bases de datos, las pruebas de pentesting, el control de accesos, la formación en materia de ciberseguridad de los empleados, la adopción e implementación de sistemas seguridad de la información (como SIEM, IDS o IPS), el protocolo o la política de protección de datos, la política de uso de dispositivos corporativos, etc.

En definitiva, se trata de aplicar la cultura del compliance a la ciberseguridad de la empresa, lo que debe implicar a todos los miembros de la empresa (dirección y empleados) y, en especial, al departamento de IT o encargados de la seguridad de la información en la empresa, que serán los responsables de aplicar el programa de cumplimiento normativo en esta área.

Cómo implementar el compliance en la ciberseguridad

Para implementar el compliance en la ciberseguridad de la empresa, se debe incluir esta y todo lo que conlleva (procesos, protección de datos, equipos, etc.) en el programa de compliance, es decir, se deben tener en cuenta las obligaciones derivadas de las normativas de ciberseguridad y relacionadas con esta que afecten a la empresa, a la hora de elaborar el programa o plan de compliance.

De la misma forma que tenemos en cuenta los riesgos de cumplimiento penales, laborales o fiscales, debemos también tener en cuenta los riesgos cibernéticos, como, por ejemplo, los que se derivan de la Ley de Protección de Datos, para adoptar las medidas y procedimientos necesarios para prevenirlos.

Así mismo, se designará a un responsable o responsables de implementar, supervisar y gestionar las medidas y procedimientos del plan de compliance que afecten o estén relacionados con la ciberseguridad (como decíamos más arriba, este rol recaerá en el departamento de IT y el CISO, si la empresa cuenta con ello). Además, en la fase de elaboración del plan de compliance, es recomendable contar con el asesoramiento y asistencia del CISO o del responsable de la seguridad informática de la empresa, ya que conocerá mejor las necesidades de la empresa en este aspecto.

En definitiva, y como hemos venido diciendo a lo largo de este artículo, aplicar el compliance en ciberseguridad, permitirá a la empresa conocer su situación en materia de ciberseguridad; qué riesgos y amenazas enfrenta en el desarrollo de su actividad, qué obligaciones normativas debe cumplir relacionadas con este ámbito, en qué punto se encuentran sus medidas y políticas de ciberseguridad, qué falta por hacer y dónde se puede mejorar para reforzar la seguridad informática y prevenir los riesgos de incumplimiento.