¿Cómo puede estructurar eficazmente su supervisión normativa cuando es un CISO?

Garantizar la seguridad de su organización requiere un perfecto conocimiento del cumplimiento de la normativa vigente. Por ello, la supervisión reglamentaria de la seguridad de los sistemas de información es una de las principales tareas y obligaciones del CISO. Con un seguimiento estructurado, es fácil mantenerse al día de los cambios en las prácticas, normas y leyes que rigen la ciberseguridad de su organización. Gestión de proyectos, identificación de reglementaciones, actualización de documentos, difusión de información pertinente, análisis de impacto... hay tantos temas que coordinar detrás de esta noción de seguimiento de reglamentos y normas. Entonces, ¿cómo establecer una vigilancia reglamentaria de la SSI sin sentirse abrumado? Este artículo ofrece algunas ideas y respuestas.

¿Qué es el control reglamentario y normativo?

Antes de entrar en el meollo de la cuestión, debemos repasar la definición de inteligencia reguladora y comprender la diferencia con la inteligencia normativa.

Por definición, el control reglamentario consiste en mantenerse al corriente de la legislación aplicable a su sector, así como en seguir la evolución de los textos y las obligaciones. Conocer el marco legislativo dedicado a la seguridad de los sistemas de información permite poner en marcha las acciones necesarias para garantizar la conformidad de los SI a los que está sujeta la organización. Este seguimiento del entorno normativo es esencial para que los CISO y sus equipos descubran nuevas leyes, decretos o reglamentos, analicen su impacto y adapten en consecuencia la política de seguridad de los SI de la organización. Sea cual sea el tamaño, el tipo de actividad o el sector geográfico de la organización, la vigilancia reglamentaria forma parte de un enfoque de gestión de riesgos. También puede ser obligatorio para los sectores regulados o durante las auditorías de conformidad.

El control normativo identifica las normas vigentes que su organización debe cumplir. Al igual que el seguimiento normativo, se trata de una actividad continua e iterativa destinada a controlar activamente el entorno de su organización. Las normas internacionales, europeas, nacionales o sectoriales son una garantía de calidad, y su cumplimiento es un requisito previo para obtener la certificación. Pongamos un ejemplo concreto: si su empresa aloja o utiliza datos sanitarios, está sujeta a la obligación de utilizar un alojamiento certificado HDS (alojamiento de datos sanitarios).

¿Cómo puede estructurar eficazmente su vigilancia reglamentaria de las IASS?

Para mantenerse al día de la evolución de la normativa y garantizar que la seguridad de su empresa cumple con ella, es esencial que los CISO estructuren eficazmente su supervisión de la normativa de seguridad informática, para no verse afectados por los cambios, sino anticiparse a ellos de la forma más eficaz posible.

El primer paso para poner en marcha un proyecto de supervisión de las normas y reglamentos en materia de SSI es alinear a todas las partes interesadas del proyecto en torno a un objetivo común. Como ya se ha dicho, el objetivo de la supervisión es identificar sus obligaciones legales y normativas para que pueda validar su cumplimiento. Si es necesario, se pondrá en marcha un plan de medidas correctoras. Pero el seguimiento no se limita a recopilar documentos. Permite tomar decisiones estratégicas para su organización.

Para definir su estrategia de supervisión, debe responder a las siguientes preguntas:

¿Cuál es el impacto en los equipos empresariales de la organización? ¿Cuál es la inversión necesaria y la rentabilidad esperada? ¿Qué recursos humanos y materiales se movilizarán?

La supervisión forma parte del proceso de capitalización del conocimiento y gestión de la información, y es uno de los componentes de la inteligencia económica de una organización. La vigilancia reglamentaria y normativa de SSI es un elemento clave de la estrategia empresarial. Le permite asegurar su negocio garantizando el cumplimiento de las normas y la legislación vigentes. Por ello, la definición del marco, las responsabilidades, los recursos y la frecuencia del seguimiento son elementos clave que deben definirse inicialmente.

Se trata de determinar los documentos y la información a los que debe referirse su empresa. Puede tratarse de leyes, decretos, normas, informes gubernamentales, etc. Cada empresa u organización tiene su propio marco de control normativo y, por tanto, "elegirá" entre la legislación vigente en función de :

• Zona geográfica: ¿qué legislación se aplica a nivel local y/o nacional? ¿Está sujeto a la normativa europea e internacional? ¿Qué legislación extranjera debe aplicar?
• Su sector de actividad: ¿Pertenece a un sector regulado (por ejemplo, sanidad o banca)?

• Sus garantías de calidad: ¿Qué certificaciones desea tener o conservar su organización (certificación ISO 270001, por ejemplo)? ¿Cuáles son las políticas internas de seguridad de la organización (PSSI, PRA, PCA, etc.)?

Una vez que haya completado su reglamentación reglamentos y normas de seguridad de los sistemas de información, estará en condiciones de seguir de cerca los cambios en la legislación. ¿Qué impacto tendrá un próximo texto legislativo en su organización? ¿Qué nuevas medidas tendrá que aplicar cuando la Comisión Europea adopte la directiva NIS V2.0?

Estar al tanto de estas novedades le permitirá controlar el impacto de los nuevos riesgos legislativos en su empresa y adelantarse al cumplimiento de la normativa.

Realizando esta vigilancia, podrá definir y caracterizar los requisitos de cumplimiento para asegurar la SI de su organización. Estos requisitos pueden agruparse en categorías y subcategorías para facilitar la gestión de riesgos. Tomemos el ejemplo de la norma ISO 27001, que establece el marco para la gestión de la seguridad de la información dentro de una organización. Esta norma internacional se divide en 252 requisitos agrupados en 6 familias de procesos. Hay que tener en cuenta que un mismo requisito puede derivarse de diferentes reglamentos o normas. A continuación, puede elaborar su propia reglamentación de requisitos que deben cumplirse.

Cumplir todos los criterios puede resultar complejo si su organización incorpora sistemas informáticos obsoletos que, sin embargo, son vitales para el buen funcionamiento de su negocio, como suele ocurrir en los sectores sanitario o energético. Por eso, identificar nuevos requisitos o cambios en los mismos le permite analizar las medidas correctoras que debe poner en marcha utilizando un enfoque basado en el riesgo. ¿Cuál es el impacto de no cumplir un requisito? ¿Cuál sería el coste financiero del incumplimiento? En función de las respuestas, se elabora un plan de acción adecuado. Su objetivo es garantizar que su organización cumple las normas SSI.

Proporcionar la información adecuada, en el momento adecuado y a la persona adecuada es el tríptico ganador para facilitar la toma de decisiones. Hay muchas formas distintas de compartir su reloj SSI, según el objetivo que pretenda alcanzar con sus destinatarios: boletín informativo, nota de síntesis, análisis, plataforma de acceso a la documentación completa. Decide con qué frecuencia quieres enviar la información, teniendo en cuenta estas dos preguntas: ¿a quién envías la información y qué uso pueden hacer de ella?

Proporcione a su comité de dirección y a los responsables de la toma de decisiones una visión estratégica de las amenazas y oportunidades que plantean los cambios en la legislación y las normas. Prefiera formatos breves, como notas estratégicas acompañadas de un análisis.

También debe distribuir un resumen de su supervisión a su departamento de ventas y marketing. Así podrán utilizar las certificaciones y conformidades como base de su discurso de ventas. Podrán promocionar estos activos y garantías de confianza entre los clientes, clientes potenciales y socios de su organización.

Elequipo de I+D, por su parte, utilizará tu inteligencia para anticiparse a los cambios en su hoja de ruta de productos. Dales acceso a toda la información que necesiten, a través de una plataforma de gestión del conocimiento, por ejemplo.

La misión del CISO consiste en difundir información útil y pertinente a sus distintos interlocutores para fundamentar su toma de decisiones. Y a los ojos de su personal, ¡usted será un facilitador!

5 mejores prácticas para una supervisión eficaz de la seguridad informática

1. Pon un piloto en el avión

Al leer este artículo, comprenderá que la puesta en marcha de un proyecto de seguimiento de la reglamentación y las normas de la SSI es una empresa compleja y estratégica para su organización. Designe a una persona de su equipo como responsable del seguimiento. Podrá recurrir a la ayuda de proveedores de servicios externos, algunos o todos ellos expertos en este campo.

2. Traducir la jerga jurídica 

Supervisar los reglamentos y normas en materia de SSI no es cuestión de amontonar textos cada vez más complejos. Haz que los textos sean inteligibles modelizándolos en términos de requisitos de cumplimiento. Con un lenguaje "inteligible", facilitas la comprensión de las amenazas y oportunidades.

3. Actualizar regularmente

Es esencial establecer una frecuencia para actualizar su vigilancia. Si sigues la evolución con regularidad, estarás mejor preparado para tomar medidas correctivas. No te dejes abrumar.

4. Defina correctamente su perímetro 

Con la proliferación de textos normativos y requisitos de seguridad, es esencial definir qué textos son estrictamente aplicables y/o necesarios. Así evitará verse abrumado por un cúmulo de información que no le es aplicable.

5. Deja de pensar que puedes hacerlo solo

Definir los textos de reglamentación , traducirlos en requisitos, gestionar las actualizaciones y deducir las consecuencias para la conformidad de su empresa... ¡No es algo que se pueda improvisar! En función de sus limitaciones, sus recursos, su presupuesto y el tiempo de que disponga para dedicarse a esta tarea, puede recurrir total o parcialmente a proveedores de servicios externos expertos en la materia. Esto le dará tranquilidad y le liberará tiempo para sus otras tareas.

Estar al día de los reglamentos y normas que se aplican a su organización es vital para el buen funcionamiento de su empresa. Estar al día de las últimas normativas es un factor clave para controlar los riesgos y corregir los incumplimientos. Modelizar los requisitos y actualizarlos lleva mucho tiempo y es complejo. Deje que los expertos le ayuden.