¿Ingresos regulatorios? 10 maneras de convertir el cumplimiento normativo en una ventaja competitiva 

La Ley de Resiliencia Operacional Digital (DORA) de la Unión Europea entrará en vigor el próximo mes de enero. Además, no olvidemos la HIPAA, el RGPD, la CCPA y la Ley de Telecomunicaciones (Servicios), que también piden a las empresas que cambien la forma en que protegen sus datos y que vengan con multas importantes por infringir las normas. 

Luego está el Marco de Ciberseguridad (CSF) del Instituto Nacional de Estándares y Tecnología (NIST). El NIST lanzó una versión actualizada a principios de este año, la primera actualización importante del CSF desde 2014.

Estas normativas y marcos de trabajo tienen el objetivo de hacer que todo sea más seguro para todos —empresas y clientes por igual—, gracias a una mejor supervisión de los datos y a más medidas de protección en relación con aspectos como la protección y la privacidad de los datos. Pero donde muchas empresas se equivocan es ver estas nuevas normativas y marcos como cargas u obstáculos en lugar de oportunidades y plataformas de lanzamiento. 

«Si tenemos que hacer algo, hagamos que sea útil», explica Rob Glanzman, Arquitecto Principal de Global Strategic Alliances, Servicios Financieros de Pure Storage, en un reciente webinar: “El cumplimiento como catalizador: Transformar los retos regulatorios en oportunidades”. 

Hay mucho que decir sobre cómo convertir el cumplimiento normativo en una ventaja competitiva. Las regulaciones como DORA, RGPD e HIPAA están vivas y resplandecen documentos que evolucionan para reflejar los ciberpeligros de la época. Por lo tanto, son como los responsables de la ciberresiliencia y la resiliencia de los datos, lo que ayuda a garantizar que solo las empresas más resilientes están en el ámbito de la ciberresiliencia para sobrevivir y prosperar. 

Siga leyendo para descubrir lo que significa hacer que el cumplimiento sea el mejor amigo de su empresa, convirtiéndolo en resiliencia y protección de los ingresos.  

El coste del incumplimiento

Lo primero es lo primero: El cumplimiento no garantiza la seguridad. Como le dirá cualquier CISO, a los ciberdelincuentes no les preocupa que las empresas encuentren una manera de cumplir las normas. Sin embargo, lo que muchos ciberdelincuentes no saben es lo mucho mejor y más fácil que serían las cosas para ellos si las empresas ni siquiera se preocuparan por el cumplimiento normativo y si cosas como DORA y NIST CSF 2.0 no existieran. 

CSF 2.0, por ejemplo, incluye varias incorporaciones importantes a su primera iteración, abordando problemas organizativos, gestión de riesgos y políticas; directrices para ayudar a las empresas a medir su nivel de cumplimiento; asignaciones y referencias adicionales a otros estándares de ciberseguridad; y un nuevo conjunto de directrices para ayudar con la implementación. También va más allá de la infraestructura crítica para promover cadenas de suministro seguras. 

Las empresas que lo cumplen no solo ganan por el lado de la seguridad, sino que también ganan por el lado de los ingresos. Una encuesta de McKinsey realizada a más de 1300 responsables empresariales y 3000 consumidores de todo el mundo reveló:

• El 40% de todos los encuestados ya no trabajaba con una empresa después de una vulneración de datos.
• El 52% de todos los encuestados dejaron de trabajar con una empresa después de una vulneración de datos.
• El 10% de los encuestados dejó de trabajar con una empresa que sufrió una vulneración de datos en los 12 meses anteriores.

¿El coste del incumplimiento?

Pérdida de seguridad, pérdida de ingresos, pérdida de reputación y pérdida de clientes. 

Cómo estar preparado para la respuesta

Ahora que hemos establecido que el incumplimiento no es una opción, tenemos que ver los cambios que puede empezar a realizar ahora mismo para que el cumplimiento no solo sea su máxima prioridad, sino también el mejor amigo de su empresa, independientemente de su tamaño o vertical. 

1. Salas limpias de datos

Cada vez hablamos más de «salas limpias de datos». Una sala limpia de datos es un entorno seguro y controlado en el que múltiples partes pueden compartir y analizar conjuntos de datos sin exponer o compartir directamente información sensible o de identificación personal (IIP). Permite que las organizaciones (como anunciantes, editores o marcas) colaboren y obtengan información de conjuntos de datos combinados, manteniendo estrictos controles de privacidad y seguridad. Las salas limpias ayudan a las organizaciones a cumplir con las leyes de protección de datos, como el RGPD o la CCPA, ya que los datos se procesan de un modo que limita la exposición de los datos personales.

2. Minimización de datos

La minimización de los datos reduce el riesgo de la organización en caso de vulneración y se ajusta al principio de «minimización de datos» del RGPD. Recopilar solo los datos que son necesarios para un fin específico y anonimizar o seudonimizar los datos personales para reducir la exposición. 

3. Gestión de los derechos de los interesados

El RGPD exige que las personas puedan ejercer estos derechos y que estar preparadas para responder rápidamente demuestre el cumplimiento. Desarrollar un proceso para gestionar las solicitudes de los interesados, como el acceso, la rectificación, la eliminación y la portabilidad de los datos personales.

4. Auditorías periódicas de datos y mantenimiento de registros

Las normativas como el RGPD exigen unos registros claros de dónde y cómo se tratan los datos personales, mientras que la directiva CSF 2.0 hace hincapié en el registro y la notificación de los incidentes de seguridad. Implementar un inventario de datos o una herramienta de asignación para mantener una visión general en tiempo real de todos los flujos de datos dentro de la organización. Realizar auditorías internas periódicas de las actividades de procesamiento de datos y mantener registros detallados.

5. Cifrado de datos y autenticación multifactor (MFA)

El aumento de las normativas de protección y cumplimiento de datos que exigen diversos sectores, países y regiones exige que las empresas tengan un alto nivel de seguridad y capacidad de cifrado integradas. Cifre los datos confidenciales tanto en tránsito como en reposo y aplique unas políticas de control de acceso sólidas, incluida la MFA. Descubra cómo FlashArray™ ayuda a las organizaciones a lograr este alto nivel de seguridad y cifrado integrados sin complicar las cosas. Obtenga más información sobre por qué el cifrado es clave para el cumplimiento rentable de DORA. 

6. Planes de respuesta a incidentes y notificación de infracciones

«Creo que cada vez son más las empresas que se están dando cuenta de cuántos sistemas tienen, cuántos de esos sistemas son críticos y, en algunos casos, de la terrible realidad de cuánto o poco acceso tienen a esos sistemas cuando las cosas salen mal de manera catastrófica», explica Michael Russo, Director Sénior de Alianzas Estratégicas Globales de Servicios Financieros de Pure Storage, en el webinar «Cumplimiento como Catalizador». 

El RGPD exige (y recomienda NIST CSF 2.0) que las notificaciones de incumplimiento se realicen dentro de unos plazos estrictos (por ejemplo, 72 horas en virtud del RGPD) y DORA se centra en la resiliencia operativa frente a los incidentes. Es fundamental estar preparado para responder rápidamente y mitigar los daños. Implementar un plan de respuesta a incidentes (IRP) claro que incluya plazos y procedimientos detallados de notificación de las infracciones.

7. Nombramiento de un Delegado de Protección de Datos (DPO)

Designe a un DPO o cree un equipo de gobernanza de datos interfuncional responsable de supervisar el cumplimiento de las leyes de protección de datos. Un DPO actúa como punto de contacto para los reguladores y garantiza que las políticas de datos de la organización se ajustan a los requisitos legales. El equipo también garantiza que los datos se gestionen correctamente en todos los departamentos.

8. Formación y concienciación de los empleados 

El error humano es una de las principales causas de las filtraciones de datos. La formación periódica ayuda a los empleados a mantenerse al tanto de las amenazas de phishing, la higiene de contraseñas y la importancia de cumplir las leyes de privacidad de los datos.

9. Gestión del ciclo de vida de los datos

El RGPD y otras normativas exigen que las organizaciones conserven los datos solo durante el tiempo que sea necesario para los fines con los que se recopilaron. Los procedimientos de eliminación adecuados minimizan el riesgo. Establecer procedimientos para gestionar los datos a lo largo de todo su ciclo de vida, incluidas políticas de borrado seguro para los datos que ya no son necesarios.

10. Colaboración entre equipos

La comunicación entre departamentos es clave para proteger los datos en toda la organización. Los datos llegan desde todas partes y el CISO tiene que saber todo lo que está pasando. Esto solo puede ocurrir con la colaboración. Obtenga más información sobre cómo construir un futuro ciberresiliente con la colaboración entre equipos. 

Pure Storage y la ventaja de la ciberresiliencia

Pure Storage se centra en hacer que las empresas no solo cumplan los requisitos, sino también en que sean ciberresilientes, ya que les permite recuperarse rápidamente de los contratiempos y minimizar o eliminar los daños causados por los ciberataques. 

“Si estamos protegiendo contra cosas como los cortes de energía y los huracanes, eso es una cosa. Pero ya no es tan sencillo», explica Glanzman. “Porque ahora estamos volviendo a un momento en el que puede haber partes de esa cadena crítica que se han visto afectadas y otras que no lo han hecho, y es un juego de espera para descubrir cuándo sacarlas y cuándo se designan limpias, ya sea por la oficina de un CISO o un organismo regulador”.

Obtenga más información sobre la protección de sus datos. Consiga la «Guía Definitiva para la Protección de Datos».