El compliance, como ya hemos dicho en otros de nuestros artículos, abarca diferentes ámbitos y áreas, lo que permite adoptar programas de compliance más especializados para determinadas empresas en función de su sector de actividad y las normas externas e internas que la afecten. Entre esos ámbitos, el tecnológico ha dado lugar al denominado compliance IT; en este artículo explicaremos en qué consiste el compliance IT, cuál es su utilidad y qué beneficios puede aportar a la empresa.
En este artículo hablamos de:
¿Qué es el compliance IT?
El compliance IT (o IT compliance o cumplimiento TI) es el proceso implementado por las empresas para cumplir con las obligaciones legales derivadas de normas sobre seguridad de la información, las obligaciones contractuales adquiridas con un cliente, las obligaciones contempladas en su normativa interna y los requisitos de seguridad que se derivan de ella. Define las políticas y procedimientos para configurar y operar sistemas digitales en empresas y organizaciones públicas.
Aunque en ocasiones compliance IT y compliance tecnológico se usan como sinónimos, es más acertado decir que el primero forma parte del segundo, ya que el compliance tecnológico engloba no solo el cumplimiento normativo en el uso de nuevas tecnologías, sino también en el uso de dichas tecnologías para la gestión del propio compliance.
También es habitual que compliance IT y seguridad IT o seguridad de la información se confundan entre sí, pero en realidad podemos decir que es a través de un programa de compliance IT cómo se aplican algunas medidas de seguridad de la información concretas, que son necesarias para cumplir con las normas externas o internas que afectan a la empresa.
Como ocurre con el compliance en general, el compliance IT también puede ramificarse y especializarse, por ejemplo, cuando hablamos de compliance en ciberseguridad, centrado en los requerimientos legales en materia de seguridad informática, o el compliance en la web, que ayuda a los titulares de páginas web a cumplir con los requisitos legales en las mismas.
¿Para qué sirve el compliance IT?
El compliance IT, como cualquier otro tipo de compliance, sirve para ayudar a la organización a cumplir con todas aquellas obligaciones legales derivadas de normas, reglamentos y leyes, tanto nacionales como internacionales, que la afectan por su actividad, localización, tamaño, etc., así como su normativa interna, pero centrado alrededor de entornos y sistemas digitales y todo lo relacionado con la seguridad de la información.
Además, también sirve para cumplir con las obligaciones derivadas de un contrato con un cliente, especialmente para empresas dedicadas al desarrollo de tecnologías de la información, como pueden ser programas informáticos o dispositivos.
Un programa de compliance IT también ayuda a las empresas a reforzar sus sistemas de seguridad de la información y seguridad informática, puesto que permite detectar ciertos riesgos relacionados con riesgos de incumplimiento.
En definitiva, a través del programa de compliance IT la empresa tiene una visión completa de las normas y obligaciones relacionadas con el uso de tecnologías y sistemas digitales que le afectan y que debe cumplir, identificando y detectando, como decíamos, los riesgos de cumplimiento que se derivan de ellas y pudiendo, en base a los informes de mapas de riesgos, escoger e implementar aquellas políticas y procedimientos más adecuados para mitigar sus probabilidades de materialización o el impacto si ocurren.
¿Deben las empresas implementar un programa de compliance IT?
Implementar un programa de compliance IT no es una obligación, pero para aquellas empresas que se desempeñan en el entorno digital, sí que deben considerar aplicarlo o, como mínimo, incorporar a su programa de compliance una parte dedicada al compliance IT.
Para empresas del sector tecnológico, así como aquellas que operan casi enteramente a través de entornos digitales o sus servicios están relacionados con este ámbito, el compliance IT es una herramienta imprescindible para evitar incumplimientos de las diferentes normas que lo afectan, especialmente si operan en mercados internacionales, donde las leyes varían y los requisitos legales son diferentes.
Para empresas que hayan comenzado un proceso de digitalización, el compliance IT también es algo a tener en cuenta, ya que podrán detectar e identificar riesgos de cumplimiento que les permitan reforzar su seguridad e, incluso, mejorar sus procesos.
¿Cómo elaborar e implementar un programa de compliance IT?
La elaboración de un programa de compliance IT no es muy diferente a la de un programa de compliance, con la distinción de que se circunscribe a todas aquellas normas relacionadas con la seguridad informática, la seguridad de la información, la protección de datos, etc. Es decir, debe fijar políticas y procedimientos cuyo objetivo sea garantizar la confidencialidad, integridad y disponibilidad de la información.
Así, la elaboración e implementación de un programa de compliance IT pasa por las siguientes fases:
- Definición de los objetivos del programa de compliance IT; estos objetivos saldrán de los requisitos y obligaciones legales que afecten a la empresa, así como de su normativa interna.
- Designación de un responsable o responsables de la implementación y seguimiento del plan; si la empresa cuenta con ello, lo habitual es que esta responsabilidad recaiga en el CISO o el departamento de IT de la empresa.
- Realizar el mapa o mapas de riesgos, centrados en aquellos derivados o relacionados con la digitalización, los sistemas informáticos, el ámbito digital, el uso de dispositivos electrónicos, etc., así como los relacionados con las normas que afecten a la empresa. El mapa de riesgos servirá para identificar los riesgos de cumplimiento a los que está expuesta la empresa, la probabilidad de que estos ocurran y cuán críticos resultarían para la empresa.
- Elaboración del plan de acción y respuesta; en base a los riesgos detectados, su nivel de probabilidad e impacto, se elegirán las medidas y controles a implementar en la empresa y sus sistemas y procesos, para minimizar las probabilidades de materialización de los riesgos y, en caso de que ocurran, reducir su impacto y responder ante la situación para recuperar lo antes posible la normalidad. Estas medidas y controles pueden tomar la forma de políticas y procedimientos de compliance IT (por ejemplo, una política de copias de seguridad incluirá medidas para llevarla a cabo con una periodicidad X y servirá para minimizar el impacto que un ataque de ransomware puede tener para la empresa).
- Si la empresa no lo tiene, implementar un canal de denuncias interno (los canales de denuncias son elementos esenciales de cualquier programa de compliance, puesto que sirven para detectar y prevenir comportamientos o acciones ilícitas en el seno de la empresa).
- Comunicación del programa a los empleados. Así mismo, se debe formar a los empleados en cumplimiento y seguimiento de las medidas implementadas.
- Evaluación y actualización del programa, para asegurar su efectividad y realizar mejoras cuando se detecten insuficiencias o problemas o se aprueben nuevas leyes que afecten a la empresa en el ámbito IT.
- Documentación de todo el proceso llevado a cabo.
Ejemplos de aplicación de compliance IT
Casos reales en los que se puede aplicar un programa de compliance IT o, como hemos dicho, incluirlo dentro del sistema de gestión de compliance, son:
- Protección de datos (cumplimiento del RGPD y la LOPDGDD).
- Comercio electrónico (cumplimiento de la LSSI-CE).
- Seguridad de la información (adaptación del Esquema Nacional de Seguridad, normas ISO 27001 y 27002).
- Elaboración del Plan Director de Seguridad.
- Elaboración de un plan de continuidad de negocio y plan de recuperación ante desastres.
- Gestión de la propiedad intelectual en entornos digitales.
Beneficios del compliance IT
Entre los beneficios del compliance IT esta:
- Tener una visión completa de los requisitos y obligaciones legales que debe cumplir la empresa en cuestiones relacionadas con el uso de nuevas tecnologías y entornos digitales.
- Mejorar la ciberseguridad de la empresa.
- Ahorro de costes al evitar sanciones derivadas de incumplimientos de las normas (por ejemplo, sufrir una brecha de seguridad que afecta a los datos personales que maneja la empresa, puede ser motivo de sanción por la AEPD).
- Mejora la imagen y reputación de la empresa, lo que la hace más competitiva en el mercado.
- Evita daños reputacionales graves.
- Mayor control sobre los procesos de la empresa.
En conclusión, y dado el contexto digital que cada vez afecta a más empresas y las normas creadas para su regulación, contar con un programa de compliance IT o incluirlo en el sistema de gestión de compliance de la empresa, es fundamental para evitar determinados riesgos de cumplimiento y reforzar y mejorar la seguridad de la información de la misma.