¿En qué se diferencian el cumplimiento de la ciberseguridad y un Estado verdaderamente seguro?
Cumplir la normativa no equivale a alcanzar un estado de seguridad real
El telón de fondo del panorama actual de la seguridad de la información está plagado de exigencias de la miríada de requisitos de cumplimiento de la industria y el gobierno para proteger la información. Desde la HIPAA a la PCI, pasando por otros innumerables mandatos de cumplimiento sectoriales y gubernamentales, las normativas son complejas y aparentemente interminables, y la mayoría de las empresas tienen que dedicar una cantidad considerable de recursos a lograr y mantener el cumplimiento.
Pero aquí está el problema: muchas empresas, en todos los sectores, caen víctimas de la falsa creencia de que lograr el cumplimiento de una determinada normativa equivale a lograr la seguridad real. Es cierto que el cumplimiento es absolutamente crítico; las consecuencias del incumplimiento pueden implicar consecuencias legales, incluidas multas federales. Además, es lógico que las empresas equiparen a menudo cumplimiento con seguridad, dadas las estipulaciones en materia de ciberseguridad establecidas por los organismos reguladores.
Sin embargo, cuando se mira más de cerca, la mayoría de los requisitos de cumplimiento proporcionan recomendaciones básicas para la seguridad de la información; no condiciones detalladas para un estado operativo seguro. Los controles de seguridad exigidos no son necesariamente específicos, y por una buena razón: los controles de seguridad que debe utilizar su empresa son increíblemente variables en función de numerosos factores, como el sector, el tamaño de la empresa, la sensibilidad de la información, la cantidad de datos y muchos otros.
Pensemos, por ejemplo, en la HIPAA. Según el Departamento de Salud y Servicios Humanos de EE.UU., "La Regla de Seguridad" exige que las entidades cubiertas mantengan salvaguardias físicas, técnicas y administrativas razonables para proteger la información sanitaria electrónica protegida (ePHI). Las especificaciones estipulan que las entidades cubiertas hagan lo siguiente con respecto a la protección de la ePHI:
- Garantizar la confidencialidad, integridad y disponibilidad de la e-PHI
- Identificar y protegerse contra las amenazas razonablemente previstas para la seguridad de la información.
- Proteger contra usos o divulgaciones razonablemente previstos e inadmisibles.
- Garantizar el cumplimiento de las normas por parte de los trabajadores
No es tan exacto como muchas organizaciones creen, y muchos requisitos procedentes de otros organismos reguladores se presentan de forma similar. A su empresa se le pide que demuestre que está protegiendo la información a un determinado nivel, pero no necesariamente se le dice cómo. Aquí es donde entran en juego los controles de seguridad que decida emplear.
Una forma arriesgada de abordar la gestión de los controles de seguridad
Es habitual que las empresas asocien el cumplimiento de la normativa con la seguridad, lo que a menudo conduce a adoptar un enfoque mínimo a la hora de elegir las herramientas de seguridad. En realidad, este paradigma puede conducir a lo contrario de lo que se pretende con los requisitos de cumplimiento, dejando a las empresas expuestas a mayores riesgos.
En el ámbito de la seguridad de la información, el cumplimiento significa poder demostrar un determinado nivel de protección de datos de acuerdo con una normativa, pero no significa que su empresa esté a salvo de infracciones. Hacer esta distinción es fundamental, porque la selección de las herramientas y la estrategia adecuadas para lograr la seguridad de su empresa depende de sus necesidades específicas.
Lograr y mantener la conformidad y la seguridad
Dependiendo de la naturaleza de los requisitos de cumplimiento de su sector relacionados con la normativa y la gobernanza, algunas políticas pueden ser más complejas que otras. Una organización también puede requerir políticas más estrictas, dependiendo de su tolerancia al riesgo. La clave del dilema entre cumplimiento y seguridad es entender cómo lograr y mantener el cumplimiento, al tiempo que se equilibra eficazmente el desarrollo y la gestión de un programa de seguridad que proteja a la empresa de los riesgos.
CSS está disponible para hablar sobre las cuestiones de ciberseguridad relacionadas con el cumplimiento que tenga su organización. Nuestros expertos en ciberseguridad pueden trabajar con usted para navegar por el panorama de cumplimiento e identificar el mejor enfoque de ciberseguridad para su negocio.
