En un panorama normativo en constante cambio, las empresas tienen que cumplir una serie de normas y reglamentos relacionados con la protección de datos, la seguridad de la SI y de los empleados, y el funcionamiento de sus productos.
Además de las sanciones por incumplimiento -que pueden ser importantes-,
una violación de la seguridad o una vulnerabilidad no abordadas pueden dañar gravemente la imagen de marca de una organización.
La gestión de las lagunas de cumplimiento es, por tanto, una cuestión central, que plantea una serie de interrogantes.
- ¿Qué es una desviación de cumplimiento?
- ¿Qué ocurre si no se gestionan adecuadamente?
- ¿Qué soluciones puede aplicar su empresa?
Antes de responder, empecemos por el principio.
¿Qué es una desviación de cumplimiento?
Una desviación de conformidad es una situación en la que las normas definidas por la política de seguridad de los sistemas de información (ISSP) no se aplican correctamente. Tenacy reglamentación Según Baptiste David, Jefe de Preventa y Entrega de ,"una desviación de conformidad secaracteriza por la constatación del incumplimiento de una norma establecida ".
La mayoría de las veces, las desviaciones se detectan duranteauditorías externas realizadas por auditores independientes. Estos auditores inspeccionan, cuestionan y documentan las no conformidades que detectan. Las auditorías se realizan a intervalos regulares para garantizar que se tienen en cuenta estas desviaciones y controlar las medidas correctoras adoptadas por la empresa a lo largo del tiempo.
Toda empresa es susceptible de generar desviaciones de conformidad, ya sean de carácter técnico u organizativo. Por eso es esencial aplicar una estrategia proactiva para detectar estas desviaciones, que pueden adoptar varias formas.
Brecha técnica
Una brecha técnica se refiere generalmente a una vulnerabilidad, una mala configuración o un error de diseño en la infraestructura técnica de la empresa.
No aplicación de una actualización crítica, no activación de una función de seguridad... Las fuentes de discrepancias pueden ser numerosas.
Brecha organizativa
Se produce una brecha organizativa cuando las políticas o procedimientos de seguridad definidos en una organización no se siguen, aplican o documentan adecuadamente.
ciberseguridadUn caso observado con frecuencia es el de una empresa que ha establecido una política de sensibilización para , exigiendo a los empleados que sigan un curso de sensibilización. Sin embargo, durante una auditoría, puede descubrirse que esta formación sólo se ha llevado a cabo una vez cada dos años, o que el compromiso de los empleados con la formación e-learning es insatisfactorio. Ya sean menores o mayores, las lagunas de cumplimiento de la organización deben ser objeto de un estrecho seguimiento.
¿Qué ocurre si la empresa no se ocupa de estas discrepancias?
La gestión de las deficiencias de conformidad es una obligación para todas las empresas, sea cual sea su sector de actividad. Esta gestión forma parte integrante de un sistema de gestión de la seguridad informática (SGSI ) y no se limita a la simple identificación de los problemas: exige también la aplicación de medidas correctoras para resolverlos.
Cuando se detecta una deficiencia -ya sea una vulnerabilidad, una no conformidad o cualquier otra disfunción- es imprescindible documentarla, supervisarla y asegurarse de que se toman las medidas adecuadas para resolverla.
Más allá del riesgo cibernético, la ausencia de un sistema de gestión de brechas puede tener consecuencias perjudiciales para la empresa, como la pérdida de la certificación(ISO 27001, TISAX, etc.).
Mayor superficie de ataque
No gestionar las lagunas de cumplimiento dentro de una empresa aumenta el riesgo cibernético. Para Baptiste David,"en términos de gestión de riesgos, no ocuparse de una laguna equivale adejar abierto un agujero conocido y ampliar la superficie de ataque de la empresa". Un error que puede ser muy penalizado en caso de compromiso.
Sanción impuesta por el legislador
Dejar sin abordar las lagunas de cumplimiento expone a las empresas a posibles sanciones de los organismos reguladores.
Estas sanciones pueden adoptar la forma demultas importantes, como las impuestas por autoridades como la CNIL: en virtud del RGPD (Reglamento General de Protección de Datos), un responsable puede ser procesado por negligencia manifiesta. La pena puede oscilar entre dos meses y diez años de prisión (artículo 131-4 del Código Penal), con o sin una multa mínima de 3.750 euros.
Además, y con el fin de causar impresión, las autoridades pueden optar por adoptar un enfoque de "nombrar y avergonzar". nombrar y avergonzar ". Se trata de hacer pública la infracción de la empresa, desacreditando así a la marca infractora ante sus clientes y proveedores.
Aumento de los costes de los ciberseguros
Las compañías de seguros prestan cada vez más atención a la gestión de riesgos y a la seguridad de sus clientes. Como consecuencia, las organizaciones que no gestionan las lagunas de cumplimiento pueden enfrentarse a primas de seguro más elevadas, ya que las aseguradoras consideran que presentan un mayor nivel de riesgo.
Es más, si una empresa no toma las medidas necesarias para corregir las deficiencias y vulnerabilidades detectadas, las aseguradoras pueden negarse a cubrir los incidentes que se produzcan como consecuencia de una deficiencia no resuelta. En ese caso, la empresa tendrá que asumir sola los costes asociados a los daños o interrupciones. En otras palabras, una doble penalización.
4 consejos para gestionar sus lagunas de cumplimiento
#1 Centralizar las discrepancias
El primer paso para gestionar las desviaciones de cumplimiento es centralizarlas. En otras palabras, cuando un usuario detecta una desviación o anomalía, debe poder notificarla y documentarla rápidamente. Este enfoque central izado facilita el seguimiento y la evaluación de las medidas adoptadas para resolver las desviaciones.
#2 Priorizar las lagunas
El segundo paso consiste en priorizar las lagunas de cumplimiento. Esto implica determinar qué problemas son los más críticos y requieren medidas correctoras.
Durante las auditorías de certificación, los auditores suelen asignar niveles de gravedad a las no conformidades que identifican, clasificándolas como "menores" o "mayores" en función de su impacto en la seguridad y el cumplimiento. Al priorizar las desviaciones según su importancia, la empresa puede centrarse primero en las más críticas, garantizando que los problemas más graves se resuelvan rápidamente.
#3 Acordar no resolver determinadas discrepancias, gestionando excepciones
A veces es necesario reconocer que existe un problema y que puede estar justificado no abordarlo inmediatamente. Es lo que se conoce como dispensas de cumplimiento.
No es infrecuente, por ejemplo, ver máquinas de diagnóstico médico por imagen (escáneres, resonancias magnéticas) que utilizan sistemas operativos Windows que ya no reciben mantenimiento. Dado que el ciclo de vida y el tiempo de amortización de estos equipos puede extenderse a varias décadas, los hospitales y centros de salud tienen que convivir con la situación y aceptar las discrepancias, al tiempo que añaden medidas de seguridad adicionales en torno a los equipos en cuestión.
#4 Márcate objetivos
Cuando se aborda una desviación del cumplimiento, ya sea menor o mayor, es necesario definir una fecha en la que debe corregirse o tratarse. Al fijar una fecha límite para resolver la desviación, se establece una medida de responsabilidad y seguimiento.
Si no se consigue este objetivo, puede indicar un problema de comprensión o de aplicación de medidas correctoras. Afortunadamente, existen soluciones técnicas para simplificar esta labor.
4 buenas razones para gestionar sus lagunas de cumplimiento con tenacy
La solución Tenacy ofrece una serie de funciones para gestionar las desviaciones de cumplimiento.
#1 Centralizar las distintas fuentes
La interfaz de la solución permite centralizar todas las fuentes de discrepancias de conformidad, ya procedan de auditorías anuales, soluciones técnicas o conectores integrados en plataformas de terceros. Esta centralización proporciona una visión global de todas las discrepancias encontradas, eliminando la dispersión de la información.
#2 Control preciso de las desviaciones de cumplimiento
Tenacy La plataforma permite seguir al detalle el progreso de cada desviación. En lugar de limitarse a informar de un problema, la herramientaproporciona información como..:
- la fecha en que se reconoce la diferencia ;
- la persona que lo identificó ;
- las acciones previstas para corregirlo...
... todo ello acompañado de comentarios de los equipos internos.
#3 Priorización simplificada
Tenacy La interfaz facilita la priorización de las desviaciones de cumplimiento. Esta tarea, que suele ser responsabilidad del CISO, permite evaluar la criticidad de cada desviación en función de suimpacto potencial en la empresa. Tenacy La plataforma simplifica este procesoestandarizando las evaluaciones de criticidad, al tiempo que permite a los CISO añadir información específica.
#4 Informes en tiempo real
Tenacy ofrece una funcionalidad avanzada de elaboración de informes, que le permite ver el estado de la gestión de las desviaciones de cumplimiento en tiempo real. Esto le proporciona una visibilidad completa del progreso de la resolución de problemas, junto con métricas de rendimiento como la validez y el porcentaje de finalización de las acciones planificadas.