¿Ingresos regulatorios? Diez formas de convertir el cumplimiento en una ventaja competitiva 

La Ley de resiliencia operativa digital (DORA) de la Unión Europea entra en vigencia el próximo mes de enero. Además, no olvidemos la HIPAA, GDPR, CCPA y la Ley de Telecomunicaciones (Servicios), que también les pide a las empresas que cambien la forma en que protegen sus datos y que vengan con multas considerables por infringir las reglas. 

Luego está el Marco de seguridad cibernética (CSF) del Instituto Nacional de Estándares y Tecnología (NIST). El NIST publicó una versión actualizada a principios de este año, la primera actualización importante del CSF desde 2014.

Estas reglamentaciones y marcos de trabajo están destinados a hacer que todo sea más seguro para todos, tanto para las empresas como para los clientes, a través de un mejor monitoreo de datos y más medidas de seguridad en torno a cosas como la protección de datos y la privacidad de datos. Pero donde muchas empresas se equivocan es ver estas nuevas regulaciones y marcos como cargas u obstáculos en lugar de oportunidades y plataformas de lanzamiento. 

“Si tenemos que hacer algo, hagamos que sea útil”, dijo Rob Glanzman, arquitecto principal de Alianzas Estratégicas Globales, Servicios Financieros, Pure Storage, en un seminario web reciente: “Cumplimiento como catalizador: Transformar los desafíos regulatorios en oportunidades”. 

Hay mucho que decir sobre cómo convertir el cumplimiento en una ventaja competitiva. Las regulaciones como DORA, GDPR y HIPAA son documentos vivos y respirables que evolucionan para reflejar los peligros cibernéticos de la época. Como tal, son como los guardianes de la ciberresistencia y la resiliencia de datos, lo que ayuda a garantizar que solo las empresas más resilientes entren en el ámbito de la ciberresiliencia para sobrevivir y prosperar. 

Continúe leyendo para saber lo que significa hacer que el cumplimiento sea el mejor amigo de su empresa al convertirlo en resiliencia y protección de ingresos.  

El costo del incumplimiento

Primero lo primero: El cumplimiento no garantiza la seguridad. Como le dirá cualquier CISO, a los ciberdelincuentes no les preocupa que las empresas encuentren una forma de cumplir con las normas. Sin embargo, lo que muchos delincuentes cibernéticos no conocen es lo mucho mejor y más fácil que serían las cosas para ellos si las empresas ni siquiera se preocuparan por el cumplimiento y si no existieran cosas como DORA y NIST CSF 2.0. 

CSF 2.0, por ejemplo, incluye varias adiciones importantes a su primera iteración, que abordan problemas organizativos, gestión de riesgos y políticas; pautas para ayudar a las empresas a medir su nivel de cumplimiento; mapas y referencias adicionales a otros estándares de ciberseguridad; y un nuevo conjunto de pautas para ayudar con la implementación. También va más allá de la infraestructura crítica para promover cadenas de suministro seguras. 

Las empresas que cumplen no solo ganan por el lado de la seguridad, sino que también ganan por el lado de los ingresos. Una encuesta de McKinsey realizada a más de 1300 líderes empresariales y 3000 consumidores en todo el mundo reveló lo siguiente:

• El 40 % de todos los encuestados ya no trabajaba con una empresa después de una filtración de datos.
• El 52 % de todos los encuestados empresariales dejaron de trabajar con una empresa después de una filtración de datos.
• El 10 % de los encuestados dejó de trabajar con una empresa que experimentó una filtración de datos en los últimos 12 meses.

¿El costo del incumplimiento?

Pérdida de seguridad, pérdida de ingresos, pérdida de reputación y pérdida de clientes. 

Cómo estar preparado para la respuesta

Ahora que hemos establecido que no cumplir no es una opción, debemos analizar los cambios que puede comenzar a hacer ahora mismo para hacer que el cumplimiento no solo sea su prioridad principal, sino también el mejor amigo de su empresa, independientemente de su tamaño o vertical. 

1. Salas de limpieza de datos

Escuchamos cada vez más hablar de “salas limpias de datos”. Una sala limpia de datos es un entorno seguro y controlado en el que varias partes pueden compartir y analizar conjuntos de datos sin exponer ni compartir directamente información sensible o de identificación personal (PII). Permite que las organizaciones (como anunciantes, editores o marcas) colaboren y obtengan información de conjuntos de datos combinados mientras mantienen estrictos controles de privacidad y seguridad. Las salas limpias ayudan a las organizaciones a cumplir con las leyes de protección de datos como GDPR o CCPA, ya que los datos se procesan de una manera que limita la exposición de los datos personales.

2. Minimización de datos

Minimizar los datos reduce el riesgo de la organización en caso de una violación y se alinea con el principio de “minimización de datos” del GDPR. Recopile solo los datos necesarios para un propósito específico y anonimice o seudonimice los datos personales para reducir la exposición. 

3. Administración de derechos de los sujetos de datos

GDPR exige que las personas tengan la capacidad de ejercer estos derechos y estar preparadas para responder rápidamente demuestra cumplimiento. Desarrolle un proceso para administrar las solicitudes de los interesados, como el acceso, la rectificación, la eliminación y la portabilidad de los datos personales.

4. Auditorías periódicas de datos y mantenimiento de registros

Las regulaciones como GDPR exigen registros claros de dónde y cómo se procesan los datos personales, mientras que la directiva CSF 2.0 enfatiza el registro y la notificación de incidentes de seguridad. Implemente un inventario de datos o una herramienta de asignación para mantener una descripción general en tiempo real de todos los flujos de datos dentro de la organización. Realizar auditorías internas regulares de las actividades de procesamiento de datos y mantener registros detallados.

5. Encriptación de datos y autenticación multifactor (MFA)

El aumento en la protección de datos y las regulaciones de cumplimiento requeridas por varias industrias, países y regiones requiere que las empresas tengan un alto nivel de seguridad incorporada y capacidad de encriptación. Encripte los datos confidenciales tanto en tránsito como en reposo, y aplique políticas de control de acceso sólidas, incluida la MFA. Descubra cómo FlashArray ™ ayuda a las organizaciones a lograr este alto nivel de seguridad y cifrado incorporados sin complicar las cosas. Obtenga más información sobre por qué la encriptación es clave para el cumplimiento rentable de DORA. 

6. Planes de notificación de violación y respuesta a incidentes

“Creo que cada vez más empresas están tomando conciencia de cuántos sistemas tienen, cuántos de esos sistemas son críticos y, en algunos casos, de la horrible realidad de cuánto o cuánto acceso tienen a esos sistemas cuando las cosas salen mal de manera catastrófica”, dijo Michael Russo, director sénior de Alianzas Estratégicas Globales, Servicios Financieros, Pure Storage, en el seminario web “Cumplimiento como catalizador”. 

El GDPR exige (y NIST CSF 2.0 recomienda) que las notificaciones de incumplimiento se realicen dentro de plazos estrictos (p. ej., 72 horas en virtud del GDPR), y DORA se centra en la resiliencia operativa ante incidentes. Estar listo para responder rápidamente y mitigar los daños es clave. Implemente un plan de respuesta a incidentes (Incident Response Plan, IRP) claro que incluya plazos y procedimientos detallados para el informe de violaciones.

7. Designación de un oficial de protección de datos (DPO)

Designe un DPO o cree un equipo multidisciplinario de gobierno de datos responsable de supervisar el cumplimiento de las leyes de protección de datos. Un DPO actúa como punto de contacto para los reguladores y garantiza que las políticas de datos de la organización se alineen con los requisitos legales. El equipo también se asegura de que los datos se manejen correctamente en todos los departamentos.

8. Capacitación y concientización de los empleados 

El error humano es una de las principales causas de las filtraciones de datos. La capacitación regular ayuda a los empleados a mantenerse al tanto de las amenazas de phishing, la higiene de contraseñas y la importancia de cumplir con las leyes de privacidad de datos.

9. Administración del ciclo de vida de los datos

El GDPR y otras regulaciones exigen que las organizaciones solo conserven los datos durante el tiempo que sea necesario para los fines con los que se recopilaron. Los procedimientos de eliminación adecuados minimizan el riesgo. Establezca procedimientos para administrar datos en todo su ciclo de vida, incluidas políticas de eliminación segura para datos que ya no son necesarios.

10. Colaboración entre equipos

La comunicación entre departamentos es clave para asegurar los datos en toda la organización. Los datos provienen de todas partes y el CISO necesita saber todo lo que sucede. Esto solo puede suceder con la colaboración. Lea más sobre cómo construir un futuro ciberrresiliente con la colaboración entre equipos. 

Pure Storage y la ventaja de la ciberresiliencia

Pure Storage se centra en hacer que las empresas no solo cumplan, sino que también sean ciber resilientes al permitirles recuperarse rápidamente de los contratiempos y minimizar o eliminar los daños de los ciberataques. 

“Si nos estamos protegiendo contra cosas como cortes de energía y huracanes, eso es una cosa. Pero ya no es tan simple”, dijo Glanzman. “Debido a que ahora estamos volviendo a un punto en el tiempo en el que podría haber partes de esa cadena crítica que se han visto afectadas y otras que no lo han hecho, y es un juego de espera averiguar cuándo mencionarlas y cuándo se designan limpias, ya sea por la oficina de un CISO o un organismo regulador”.

Obtenga más información sobre cómo proteger sus datos. Obtenga la “Guía definitiva para la protección de datos”.