¿Cuál es el problema más común al que se enfrentan las empresas en la actualidad? ¿La fragilidad de la cadena de suministro? ¿La competencia feroz? ¿Los flujos de caja ajustados? ¿O la creciente e incesante ola de ciberataques?
La evidencia y los analistas sugieren que, a menudo, se trata de esto último. Como las ciberamenazas no muestran signos de desaceleración, tanto las organizaciones pequeñas como las grandes Reconocer cada vez más Que la ciberseguridad ya no es opcional.
Además, los gobiernos y las agencias reguladoras también se han dado cuenta de su importancia, especialmente cuando se trata de organizaciones que operan en sectores que son críticos para la infraestructura nacional de un país. ¿El resultado? Un conjunto cada vez mayor de requisitos de cumplimiento que parecen abrumadores pero que son esenciales para el buen funcionamiento de un país y la seguridad pública.
Formas de cumplimiento
Para empezar, debemos distinguir entre dos tipos de cumplimiento: obligatorio y voluntario, ya que cada uno conlleva su propio conjunto de requisitos.
El cumplimiento obligatorio abarca las regulaciones impuestas por agencias estatales o adyacentes a los estados y dirigidas a empresas que operan en sectores de infraestructura crítica, como la atención médica, el transporte y la energía. Por ejemplo, una empresa que trabaja con datos de pacientes en los EE. UU. debe cumplir con la Ley de Portabilidad y Responsabilidad del Seguro Médico (Health Insurance Portability and Accountability Act,la Ley de Responsabilidad y Transferibilidad de Seguros Médicos (HIPAA, por sus siglas en inglés)), una regulación federal, para mantener la privacidad de los datos de los pacientes a través de las fronteras estatales.
Por otra parte, el cumplimiento voluntario significa que las empresas solicitan certificaciones y estándares específicos que las identifican como expertas en un campo en particular o califican algunos de sus productos como que cumplen con un estándar. Por ejemplo, una empresa que busca credibilidad ambiental podría solicitar ISO 14001 certificación que demuestra su compromiso con prácticas respetuosas con el medio ambiente.
Sin embargo, todas las empresas deben reconocer que el cumplimiento no es un esfuerzo que se realiza una sola vez. Cada norma, u otro “fragmento de cumplimiento”, requiere recursos adicionales, ya que estos procesos requieren una supervisión constante y asignaciones presupuestarias (incluso las certificaciones ISO requieren una recertificación periódica).
Cumplimiento de la ciberseguridad: no solo para proveedores de seguridad
Una empresa que no cumpla con las normas de cumplimiento obligatoria puede enfrentarse a multas elevadas. Incidentes como filtraciones de datos o ataques de ransomware pueden resultar en costos elevados, pero la evidencia de un incumplimiento de las medidas de seguridad obligatorias puede, en última instancia, hacer que la factura final se dispare.
Las normas específicas de ciberseguridad que debe cumplir una organización dependen del tipo de industria en la que opera la empresa y de la importancia que tenga la seguridad de sus datos internos para la privacidad, la seguridad de los datos o las leyes de infraestructura crítica. Tenga en cuenta también que muchas leyes y certificaciones regulatorias son específicas de cada región.
Además, dependiendo de qué clientes o socios desee atraer una empresa, es conveniente solicitar un certificado específico para calificar para un contrato. Por ejemplo, si una empresa desea trabajar con el gobierno federal de los EE. UU., debe solicitar el certificado de certificación de la empresa. Certificado FedRAMP, demostrando su competencia en la protección de datos federales.
En cualquier caso, el cumplimiento normativo debe formar parte de los cimientos de cualquier estrategia empresarial. A medida que los requisitos normativos sigan aumentando en el futuro, las empresas bien preparadas tendrán más facilidad para adaptarse a los cambios. Si se mide el cumplimiento normativo de forma continua, las organizaciones pueden ahorrar recursos importantes y permitir su crecimiento a largo plazo.
Leyes y marcos clave de ciberseguridad
Ahora, echemos un vistazo rápido a algunas de las leyes y marcos regulatorios de ciberseguridad más importantes:
- Ley de Responsabilidad y Portabilidad del Seguro Médico (HIPAA)
Este acto reglamentario cubre la Manejo de la información de los pacientes en los hospitales y otros centros de atención sanitaria. Representa un conjunto de normas que tienen por objeto proteger los datos confidenciales de salud de los pacientes contra el uso indebido, exigiendo a las entidades administrativas la adopción de diversas medidas de protección para proteger dichos datos, tanto física como electrónicamente.
- Marcos del Instituto Nacional de Estándares y Tecnología (NIST)
El NIST, una agencia del gobierno de los EE. UU. que depende del Departamento de Comercio, desarrolla estándares y pautas para varios sectores, incluida la ciberseguridad. Al imponer un conjunto determinado de políticas que sirven como base de la seguridad organizacional, permite que las empresas e industrias gestionen mejor su ciberseguridad. Por ejemplo, el NIST Marco de ciberseguridad 2.0 del NIST Contiene una guía completa para organizaciones de todos los tamaños y posturas de seguridad actuales sobre cómo pueden gestionar y reducir sus riesgos de ciberseguridad.
- Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS)
PCI DSS es otro estándar de seguridad de la información diseñado para controlar el manejo de datos de tarjetas de crédito. Su objetivo es reducir los riesgos de fraude en los pagos reforzando la seguridad de los datos de los titulares de tarjetas. Se aplica a todas las entidades que manejan datos de tarjetas, ya sea una tienda, un banco o un proveedor de servicios.
- Directiva de seguridad de la información y las redes (NIS2)
esta directiva La NIS2 refuerza la ciberresiliencia de las entidades críticas en la Unión Europea al imponer requisitos de seguridad y prácticas de gestión de riesgos más estrictos a las entidades que operan en sectores como la energía, el transporte, la salud, los servicios digitales y los servicios de seguridad gestionados. También introduce nuevas normas de notificación de incidentes y multas por incumplimiento.
- Reglamento General de Protección de Datos (GDPR)
El GDPR es una de las normas de seguridad y privacidad de datos más estrictas del mundo. Se centra en la privacidad y los derechos de privacidad de los datos de las personas en la Unión Europea, otorgándoles control sobre sus datos y exigiendo el almacenamiento seguro y la notificación de infracciones a las empresas que gestionan los datos.
Existen marcos regulatorios generales y específicos para cada sector, y cada uno de ellos tiene requisitos únicos. Cumplir con uno no garantiza que no se infrinjan otras normas; por lo tanto, preste atención a qué regulaciones se aplican a su empresa y sus operaciones.
Incumplimiento costoso
¿Qué ocurre en caso de incumplimiento? Como ya se ha mencionado, algunas normativas establecen fuertes sanciones.
Por ejemplo, las infracciones del RGPD pueden dar lugar a multas de hasta 10 millones de euros, o el 2 % de la facturación anual global, para cualquier empresa que no notifique una infracción a una autoridad de control o a los interesados. Las autoridades de control también pueden imponer multas adicionales por medidas de seguridad inadecuadas, lo que genera más costes.
En los EE.UU, incumplimiento de la FISMA, por ejemplo, puede significar una reducción de la financiación federal, audiencias gubernamentales, censura, pérdida de contratos futuros y más. De manera similar, violaciones de HIPAA También podría tener consecuencias nefastas, como multas por valor de 1.5 millones de dólares anuales e incluso penas de prisión de 10 años. Es evidente que hay más en juego que el bienestar financiero.
En definitiva, es mejor prevenir que curar, y también es prudente mantenerse al día con las regulaciones de ciberseguridad específicas de su sector. En lugar de verlo como un gasto adicional evitable, su empresa debería ver el cumplimiento como una inversión esencial y regular, especialmente en el caso de las normas obligatorias, que, si se descuidan, podrían poner rápidamente patas arriba su negocio, o incluso su vida.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.welivesecurity.com/en/business-security/beyond-checkbox-demystifying-cybersecurity-compliance/