En un panorama normativo en constante cambio, las empresas tienen que cumplir toda una serie de normas y reglamentos relacionados con la protección de datos, la seguridad informática de los sistemas de información y los empleados, y la seguridad y fiabilidad de los productos.

Además de las sanciones por incumplimiento, que pueden ser importantes, un fallo de seguridad o una vulnerabilidad no abordados pueden empañar la imagen de marca de una organización,
un fallo de seguridad o una vulnerabilidad no abordados pueden empañar la imagen de marca de una organización.

¿Qué es una laguna de cumplimiento? ¿Cómo gestionar eficazmente estas desviaciones? ¿Cuáles son las consecuencias de no gestionar estas discrepancias? ¿Qué soluciones pueden aplicar las empresas? Se lo explicamos.

 

¿Qué es una desviación de cumplimiento?

Una desviación de conformidad es una situación en la que las normas definidas por la política de seguridad informática (PSSI) no se aplican correctamente. Según Baptiste David, Responsable de Preventa y Entrega en Tenacy: "Una desviación de conformidad se caracteriza por la constatación de un incumplimiento de una reglamentación establecida" .

La mayoría de las veces, las desviaciones se detectan durante auditorías externas realizadas por auditores independientes. Estos auditores inspeccionan, cuestionan y documentan las no conformidades que detectan. Para garantizar que se tienen en cuenta estas desviaciones, se realizan auditorías a intervalos regulares para controlar las medidas correctoras adoptadas por la empresa a lo largo del tiempo.

Ya sean de naturaleza técnica u organizativa, todas las empresas son susceptibles de generar desviaciones de cumplimiento. Por eso es esencial aplicar una estrategia proactiva para detectar estas desviaciones, que pueden adoptar varias formas.

Brecha técnica

Una brecha técnica se refiere generalmente a una vulnerabilidad,una mala configuración o un error de diseño en la infraestructura técnica de la empresa.

No aplicar una actualización crítica, no activar una función de seguridad... las fuentes de discrepancias pueden ser numerosas.

Brecha organizativa

Se produce una brecha organizativa cuando las políticas o procedimientos de seguridad definidos en una organización no se siguen, aplican o documentan adecuadamente.

Un caso observado con frecuencia es el de una empresa que ha establecido una política de sensibilización para ciberseguridad, exigiendo a los empleados que sigan un curso de sensibilización. Sin embargo, durante una auditoría, puede descubrirse que esta formación sólo se ha llevado a cabo una vez cada dos años, o que el compromiso de los empleados para seguir la formación e-learning es insatisfactorio. Ya sean menores o mayores, las lagunas de cumplimiento de la organización deben ser objeto de un estrecho seguimiento.

 

¿Qué ocurre si la empresa no gestiona las discrepancias?

La gestión de brechas es una obligación para todas las empresas, independientemente de su sector de actividad. Forma parte integrante de un sistema de gestión de la seguridad informática (SGSI) y no se limita a la simple identificación de los problemas, sino que exige la aplicación de medidas correctoras para resolverlos.

Cuando se detecta una deficiencia, ya sea una vulnerabilidad, una no conformidad o cualquier otra disfunción, es imprescindible documentarla, supervisarla y asegurarse de que se toman las medidas adecuadas para resolverla.

Más allá del riesgo cibernético, la ausencia de un sistema de gestión de brechas puede tener consecuencias perjudiciales para la empresa, como la pérdida de la certificación (ISO 27001, TISAX, etc.).

Mayor superficie de ataque

La ausencia de gestión de brechas en una empresa aumenta el riesgo cibernético. Para Baptiste David: "En términos de gestión de riesgos, no ocuparse de una brecha equivale adejar abierto un agujero conocido y ampliar la superficie de ataque de la empresa". Un error que puede ser muy penalizado en caso de compromiso.

Sanción impuesta por el legislador

No gestionar las discrepancias expone a las empresas a posibles sanciones de los organismos reguladores.

Estas sanciones pueden adoptar la forma de multas importantes, como las impuestas por autoridades como la CNIL. En virtud del RGPD (Reglamento General de Protección de Datos), el responsable también puede ser procesado por negligencia manifiesta. La pena puede oscilar entre dos meses y diez años de prisión (artículo 131-4 del Código Penal), con o sin una multa mínima de 3.750 euros.

Además, las autoridades pueden optar por adoptar un enfoque de"nombrar y avergonzar", en el que no sólo imponen multas sino que también dan publicidad a la infracción de la empresa, desacreditando así a la marca infractora a los ojos de sus clientes y proveedores.

Aumento de los costes de los ciberseguros

Las compañías de seguros prestan cada vez más atención a la gestión de riesgos y la seguridad de sus clientes.

Las organizaciones que descuidan la gestión de carencias pueden enfrentarse a primas de seguro más elevadas, ya que las aseguradoras consideran que presentan un mayor nivel de riesgo.

Es más, si una empresa no toma las medidas necesarias para corregir las deficiencias y vulnerabilidades detectadas, las aseguradoras pueden negarse a cubrir los incidentes que se produzcan como consecuencia de una deficiencia no resuelta. En ese caso, la empresa tendrá que asumir sola los costes asociados a los daños o interrupciones. En otras palabras, una doble penalización.

 

¿Cómo puede gestionar eficazmente las discrepancias en su empresa?

Centralizar las discrepancias

El primer paso para gestionar las desviaciones es centralizarlas. En otras palabras, cuando alguien detecta una desviación o anomalía, debe poder notificarla y documentarla. Este enfoque centralizado facilita el seguimiento y la evaluación del progreso de las medidas adoptadas para resolver las desviaciones.

Priorizar las lagunas

El segundo paso consiste en priorizar las carencias. Esto implica determinar qué problemas son los más críticos y requieren medidas correctoras.

Durante las auditorías de certificación, los auditores suelen asignar niveles de gravedad a las no conformidades que identifican, clasificándolas como menores o mayores en función de su impacto en la seguridad y el cumplimiento.

Al priorizar las discrepancias según su importancia, la empresa puede centrarse primero en las más críticas, garantizando que los problemas más graves se resuelvan rápidamente.

Acordar no resolver determinadas discrepancias, con gestión de excepciones

A veces es necesario reconocer que existe un problema y que puede estar justificado no abordarlo inmediatamente.

No es infrecuente, por ejemplo, ver máquinas de diagnóstico médico por imagen (escáneres, resonancias magnéticas) que utilizan sistemas operativos Windows que ya no reciben mantenimiento. Dado que el ciclo de vida y el tiempo de amortización de estos equipos puede extenderse a varias décadas, los hospitales y centros de salud tienen que convivir con la situación y aceptar las discrepancias añadiendo medidas de seguridad adicionales en torno a los equipos en cuestión.

Fijar objetivos

Cuando se aborda una desviación, ya sea menor o mayor, hay que definir una fecha en la que debe corregirse o tratarse. Al fijar una fecha límite para resolver la desviación, se establece una medida de responsabilidad y seguimiento.

Si no se consigue este objetivo, puede indicar un problema de comprensión o de aplicación de medidas correctoras. Afortunadamente, existen soluciones técnicas para simplificar esta labor.

 

¿Cómo le ayuda la plataforma Tenacy a gestionar las discrepancias?

La solución Tenacy ofrece una serie de funciones para gestionar las desviaciones de cumplimiento.

Centralización de distintas fuentes

La interfaz de la solución permite centralizar todas las fuentes de discrepancias de conformidad, ya procedan de auditorías anuales, soluciones técnicas o conectores integrados en plataformas de terceros. Esta centralización proporciona una visión global de todas las discrepancias encontradas, eliminando la dispersión de la información.

Control preciso de las discrepancias

La plataforma Tenacy ofrece la posibilidad de seguir el progreso detallado de cada desviación. En lugar de limitarse a notificar un problema, la herramienta ofrece información como la fecha en que se identificó la desviación, la persona que la identificó y las medidas previstas para corregirla, junto con comentarios de los equipos internos.

Priorización simplificada

La interfaz de la plataforma Tenacy facilita la priorización de las desviaciones. Esta tarea, que suele ser responsabilidad del CISO, permite evaluar la criticidad de cada desviación en función de su impacto potencial en la empresa. La plataforma Tenacy simplifica este proceso estandarizando las evaluaciones de criticidad, al tiempo que permite a los CISO añadir información específica.

Informes en tiempo real

Por último, la plataforma Tenacy ofrece una función avanzada de elaboración de informes que permite ver el estado de la gestión de desviaciones en tiempo real. Esta función proporciona una visibilidad completa del progreso de la resolución de problemas. También incluye métricas de rendimiento, como la validez y el porcentaje de finalización de las acciones planificadas.

Lo esencial

La gestión de las lagunas de cumplimiento es una parte esencial de la gobernanza empresarial.

Al proporcionar información centralizada, seguimiento detallado, priorización de discrepancias y visibilidad mediante la generación de informes y cuadros de mando, la plataforma Tenacy permite a las empresas organizarse mejor y tomar decisiones informadas en la gestión de sus discrepancias de cumplimiento.

No deje que la gestión de la brecha de cumplimiento se convierta en una carga para su empresa. Póngase en contacto con nuestro equipo hoy mismo para obtener más información sobre nuestra plataforma.