En los últimos dos años las organizaciones de todo el mundo se enfrentaron a un número creciente de ciberataques, especialmente a partir de la tendencia cada vez más consolidada del trabajo a distancia. Así lo refleja el fuerte aumento del costo medio global de las brechas, que en 2021 fue de 3,86 millones de dólares y en 2022 de 4,24 millones de dólares.
Ante este escenario, las organizaciones de todo el mundo renuevan sus estrategias de ciberseguridad para minimizar el riesgo. Paralelamente, los gobiernos y las agencias reguladoras toman medidas contra las malas prácticas de seguridad e introducen regulaciones más estrictas. En este contexto, el departamento de IT debe intensificar su seguridad de IT, así como las medidas de cumplimiento de la normativa (o compliance).
La seguridad y el cumplimiento de las normas de IT son dos aspectos de la gestión de riesgos. Por desgracia, hay mucha confusión respecto a ambos. Por eso, en este artículo exploramos las diferencias entre seguridad vs. compliance de IT, a la vez de cómo trabajan juntos para mantener a la organización y a los clientes a salvo de las ciberamenazas.
¿Qué es la seguridad de IT?
La seguridad de IT es un conjunto de medidas y prácticas aplicadas en la organización para proteger sus activos, empleados y clientes de las ciberamenazas. El departamento de IT es responsable de custodiar la red y esos activos, así como los datos almacenados allí.
Como puedes imaginar, la seguridad de IT tiene diferentes aristas y es tan compleja como la variedad de amenazas a las que se enfrenta una organización. Debe hacer frente al software malicioso, a los ataques que producen interrupciones en los servicios, a los actores maliciosos que pueden dañar o destruir los activos de la empresa y de sus clientes, a los abordajes de ingeniería social dirigidos a los empleados o a los consumidores, y a quienes intentan robar datos de los servidores, entre otros.
Al igual que la naturaleza evolutiva de las ciberamenazas, la seguridad de IT es un campo en constante cambio.
La seguridad de los datos que pueden afectar a la organización, a sus empleados y a sus clientes se considera un subconjunto de la seguridad de IT denominada seguridad de la información. Con la amplia difusión de la Internet de las cosas, la inteligencia artificial y las soluciones de análisis avanzadas, que almacenan y utilizan grandes cantidades de datos, la seguridad de la información se ha convertido en una parte fundamental de la seguridad de IT.
Por eso es importante construir una cultura de ciberseguridad. La estrategia de seguridad de IT de una organización está esencialmente orientada a mitigar riesgos; minimizar las posibilidades de un ataque exitoso y las consecuencias del mismo.
Por ejemplo, una organización puede implementar la autenticación de dos factores en el espacio de trabajo digital, el acceso biométrico a sus instalaciones y pedir a sus empleados que utilicen el mejor gestor de contraseñas. Y, a su vez, aislar sus sistemas principales, añadir múltiples redundancias a sus servidores, y poner en práctica un plan de recuperación de desastres y de continuidad del negocio.
Es importante entender que la seguridad de IT no se limita a los aspectos técnicos; no se trata sólo de aplicar las últimas actualizaciones y parches o de vigilar constantemente la red en busca de actividades sospechosas. También es fundamental crear una sólida cultura de ciberseguridad: educar e informar a los empleados para que identifiquen y mitiguen las amenazas, y animarlos a seguir prácticas de seguridad sólidas.
¿Qué es el compliance de IT?
El compliance de IT garantiza que los procesos y las prácticas informáticas cumplen las normas y los reglamentos establecidos por los clientes, los gobiernos y los organismos de certificación. Volvemos a diferenciar seguridad vs. compliance: mientras que la primera consiste en un conjunto de prácticas definidas por el departamento de IT para mantener la seguridad de la organización, el compliance implica aplicar las prácticas definidas por un tercero para mostrar un nivel mínimo de seguridad de IT.
Las normas de cumplimiento o compliance de IT incluyen GDPR, HIPAA, PCI DSS, ISO 27001, así como las que pueden ser dictadas por los clientes. Algunas, como el GDPR y la HIPAA son definidas y obligadas por organismos gubernamentales, mientras que la ISO 27001 es establecida por organismos de certificación. Y algunas constituyen un mandato legal, mientras que otras se implementan para garantizar a los posibles clientes y consumidores un nivel de seguridad.
Asimismo, los requisitos de compliance de IT varían según los sectores. Por ejemplo, las organizaciones financieras y sanitarias suelen tener que cumplir normas más estrictas que una cadena de tiendas de colchones o un negocio de comida rápida. Las que tratan con datos personales de sus clientes también están muy reguladas.
También hay que aclarar que existen diferentes tipos de normas de compliance en función del objetivo. Por ejemplo, el GDPR o Reglamento General de Protección de Datos se ocupa de mantener la seguridad de los datos, mientras que la HIPAA se circunscribe más a los datos de los pacientes en las organizaciones sanitarias. Y la ISO 20000 está relacionada con la calidad del servicio prestado por una empresa de IT. Pero en términos sencillos, el objetivo del compliance es el control y la garantía de calidad; garantizar a un tercero que la organización sigue una norma prescrita.
El compliance pone un gran énfasis en la documentación de los procesos. Por ejemplo, con la seguridad de los datos, las organizaciones tienen que mantener registros claros sobre quién ha tenido acceso a ellos. Esta documentación también estará sujeta a auditorías periódicas por parte de terceros para garantizar el cumplimiento (por eso es importante tener una lista de control de auditoría de cumplimiento de licencias de software).
¿Cuál es la diferencia entre seguridad vs. compliance de IT?
Si bien las prácticas de seguridad y de compliance de IT pueden superponerse, los objetivos son distintos. Mientras la seguridad apunta a proteger a la organización y a sus clientes, el enfoque del compliance se centra más en preservar a los consumidores, activos y datos. Y aunque la estrategia de seguridad de IT puede variar incluso dentro de un mismo sector, las normas de compliance se mantienen constantes al menos dentro de un mismo rubro.
Los requisitos de compliance de IT también tienden a ser muy específicos, por ejemplo, implementar el cifrado de 256 bits para todas las transacciones de pago o habilitar la autenticación de dos factores para los inicios de sesión. Y la seguridad de IT se centra más en los objetivos, en tanto los métodos y prácticas pueden variar.
Otra de las diferencias entre seguridad vs. compliance tiene que ver con los fallos: cuando ocurren en el cumplimiento de las normas de IT pueden acarrear graves sanciones por parte de las autoridades respectivas. En el mejor de los casos, la empresa perderá las certificaciones y, en el peor, a un descenso de los ingresos, multas significativas y a otras medidas de las entidades reguladoras.
Los fallos en la seguridad de IT pueden hacer caer los procesos de negocio de toda la empresa, dañar sus activos y los de sus clientes, provocar la pérdida de sus datos y de los consumidores y, además, incurrir en multas u otras sanciones de los organismos gubernamentales.
¿Por qué es necesario el compliance de IT?
En términos muy sencillos, el compliance de IT es necesario para que una organización siga funcionando.
He aquí los motivos.
El compliance de IT es necesario para trabajar con clientes y consumidores
La empresa que sigue ciertas normas y cuenta con una certificación transmite fiabilidad, calidad y seguridad en la prestación de servicios.
Por ejemplo, la norma ISO 20000-1 establece la forma en que una organización ejecutará la planificación, el diseño y la prestación de servicios, además de la definición de los requisitos. Esto garantiza que tanto el cliente como la organización entiendan claramente lo que se espera de cada uno.
En el caso de la norma ISO/IEC 27001, exige que la organización evalúe constantemente sus estrategias de gestión de riesgos de seguridad de la información, garantizando a los clientes el manejo de los datos de forma segura.
Otra cuestión es la complicación cuando un cliente trabaja con múltiples proveedores de servicios, que siguen prácticas o normas diferentes. Pero con el compliance de IT, el cliente simplemente tiene que elegir proveedores que sigan una norma coherente, lo que simplificará enormemente los procesos.
Los fallos en el compliance de IT pueden hacerte perder clientes actuales y potenciales, negocios, y también afectar tu reputación.
Incluso en las empresas B2C, estos fallos resultarán costosos. Las infracciones cosechan mucha atención de los medios de comunicación: dañarán tu reputación, los clientes perderán su confianza y recurrirán a otras marcas.
Una encuesta de clientes de 2019 realizada por PingIdentity mostró que el 81% de los clientes dejaría de interactuar en línea con una marca después de una violación de datos, incluyendo el 25% que dijo que dejaría de interactuar en cualquier capacidad. Esto puede afectar seriamente los ingresos y el valor de las acciones de una organización.
El compliance de IT es necesario para evitar multas y otras sanciones de los organismos reguladores
Con el GDPR, la UE faculta a las autoridades a imponer multas de hasta 24,1 millones de dólares o el 4% de la facturación anual global de una empresa, lo que sea mayor.
En el caso de las violaciones intencionadas de la HIPAA, las sanciones penales comienzan en un mínimo de 50.000 dólares y pueden incluir una pena de cárcel.
Las infracciones de otras normas de IT acarrean sanciones similares.
Además, estos incumplimientos generan largas y costosas investigaciones que pueden erosionar la confianza de los clientes.
¿Cómo pueden colaborar la seguridad y el compliance de IT?
Si bien el compliance de IT no garantiza la gestión de riesgos, al menos sirve de punto de partida.
A menudo existe una distancia significativa entre seguridad vs. compliance, es decir, entre las necesidades de una organización en cuanto a la seguridad de IT y las normas y reglamentos, que suelen ser muy generales. Pero al menos ayudan a mitigar los riesgos informáticos y a actuar como la base sobre la que se puede construir la estrategia de seguridad de IT.
Por ejemplo, la mayoría de las normas, especialmente las relacionadas con la seguridad de la información, establecen estrictos requisitos de control de acceso. Las organizaciones deben gestionar y documentar quién tiene acceso a qué. Y la seguridad de IT puede basarse en esto para mejorar la seguridad general de la red, definiendo protocolos de gestión de acceso para los distintos activos.