¿Cómo estructurar eficazmente su vigilancia reglamentaria como CISO?

Garantizar la seguridad de su organización requiere un perfecto conocimiento del cumplimiento de la normativa vigente. Por ello, la vigilancia reglamentaria de la seguridad de los sistemas de información es una de las principales tareas y obligaciones del CISO. Con un seguimiento estructurado, es fácil mantenerte al día de los cambios en las prácticas, normas y leyes que rigen la ciberseguridad de tu organización. Gestión de proyectos, identificación de reglementaciones, actualización de documentos, difusión de información pertinente, análisis de impacto… hay tantos temas que coordinar detrás de esta noción de seguimiento de reglamentos y normas. Entonces, ¿cómo establecer una vigilancia reglamentaria de la SSI sin sentirse abrumado? Este artículo ofrece algunas ideas y respuestas.

¿QUÉ ES EL LA VIGILANCIA REGLAMENTARIA Y NORMATIVA?

Antes de entrar en el meollo de la cuestión, debemos repasar la definición de vigilancia reglamentaria y comprender la diferencia con la vigilancia normativa.

Por definición, el control reglamentario consiste en mantenerse al corriente de la legislación aplicable a su sector, así como en seguir la evolución de los textos y las obligaciones. Conocer el marco legislativo dedicado a la seguridad de los sistemas de información permite poner en marcha las acciones necesarias para garantizar la conformidad de los SI a los que está sujeta la organización. Este seguimiento del entorno normativo es esencial para que los CISO y sus equipos descubran nuevas leyes, decretos o reglamentos, analicen su impacto y adapten en consecuencia la política de seguridad de los SI de la organización. Sea cual sea el tamaño, el tipo de actividad o el sector geográfico de la organización, la vigilancia reglamentaria forma parte de un enfoque de gestión de riesgos. También puede ser obligatorio para los sectores regulados o durante las auditorías de conformidad.

La vigilancia normativa identifica las normas vigentes que tu organización debe cumplir. Al igual que el seguimiento normativo, se trata de una actividad continua e iterativa destinada a controlar activamente el entorno de tu organización. Las normas internacionales, europeas, nacionales o sectoriales son una garantía de calidad, y su cumplimiento es un requisito previo para obtener la certificación. Pongamos un ejemplo concreto: si tu empresa aloja o utiliza datos sanitarios, está sujeta a la obligación de utilizar un alojamiento certificado HDS (alojamiento de datos sanitarios).

¿CÓMO ESTRUCTURAR EFICAZMENTE SU VIGILANCIA REGLAMENTARIA?

Para mantenerse al día de la evolución de la normativa y garantizar que la seguridad de la empresa cumple con ella, es esencial que los CISO estructuren eficazmente su supervisión de la normativa de seguridad informática, para no verse afectados por los cambios, sino anticiparse a ellos de la forma más eficaz posible.

El primer paso para poner en marcha un proyecto de supervisión de las normas y reglamentos en materia de SSI es alinear a todas las partes interesadas del proyecto en torno a un objetivo común. Como ya se ha dicho, el objetivo de la supervisión es identificar sus obligaciones legales y normativas para que pueda validar su cumplimiento. Si es necesario, se pondrá en marcha un plan de medidas correctoras. Pero el seguimiento no se limita a recopilar documentos. Permite tomar decisiones estratégicas para su organización.

Para definir tu estrategia de supervisión, debes responder a las siguientes preguntas:

¿Cuál es el impacto en los equipos empresariales de la organización? ¿Cuál es la inversión necesaria y la rentabilidad esperada? ¿Qué recursos humanos y materiales se movilizarán?

La supervisión forma parte del proceso de capitalización del conocimiento y gestión de la información, y es uno de los componentes de la inteligencia económica de una organización. La vigilancia reglamentaria y normativa de SSI es un elemento clave de la estrategia empresarial. Te permite asegurar tu negocio garantizando el cumplimiento de las normas y la legislación vigentes. Por ello, la definición del marco, las responsabilidades, los recursos y la frecuencia del seguimiento son elementos clave que deben definirse inicialmente.

Se trata de determinar los documentos y la información a los que debe referirse tu empresa. Puede tratarse de leyes, decretos, normas, informes gubernamentales, etc. Cada empresa u organización tiene su propio marco de control normativo y, por tanto, “elegirá” entre la legislación vigente en función de:

• Zona geográfica: ¿qué legislación se aplica a nivel local y/o nacional? ¿Está sujeto a la normativa europea e internacional? ¿Qué legislación extranjera debe aplicar?
• Su sector de actividad: ¿Pertenece a un sector regulado (por ejemplo, sanidad o banca)?

• Sus garantías de calidad: ¿Qué certificaciones desea tener o conservar tu organización (certificación ISO 270001, por ejemplo)? ¿Cuáles son las políticas internas de seguridad de la organización (PSI, PRA, PCA, etc.)?

Una vez que hayas completado tu referencial reglamentario y normativo de seguridad de los sistemas de información, estarás en condiciones de seguir de cerca los cambios en la legislación. ¿Qué impacto tendrá un próximo texto legislativo en tu organización? ¿Qué nuevas medidas tendrás que aplicar cuando la Comisión Europea adopte la directiva NIS V2.0?

Estar al tanto de estas novedades te permitirá controlar el impacto de los nuevos riesgos legislativos en tu empresa y adelantarte al cumplimiento de la normativa.

Realizando esta vigilancia, podrás definir y caracterizar los requisitos de cumplimiento para asegurar la SI de tu organización. Estos requisitos pueden agruparse en categorías y subcategorías para facilitar la gestión de riesgos. Tomemos el ejemplo de la norma ISO 27001, que establece el marco para la gestión de la seguridad de la información dentro de una organización. Esta norma internacional se divide en 252 requisitos agrupados en 6 familias de procesos. Hay que tener en cuenta que un mismo requisito puede derivarse de diferentes reglamentos o normas. A continuación, puedes elaborar tu propio referencial de requisitos.

Cumplir todos los criterios puede resultar complejo si tu organización incorpora sistemas informáticos obsoletos que, sin embargo, son vitales para el buen funcionamiento de tu negocio, como suele ocurrir en los sectores sanitario o energético. Por eso, identificar nuevos requisitos o cambios en los mismos te permite analizar las medidas correctoras que debes poner en marcha utilizando un enfoque basado en el riesgo. ¿Cuál es el impacto de no cumplir un requisito? ¿Cuál sería el coste financiero del incumplimiento? En función de las respuestas, se elabora un plan de acción adecuado. Tu objetivo es garantizar que tu organización cumple las normas SSI.

Proporcionar la información adecuada, en el momento adecuado y a la persona adecuada es el tríptico ganador para facilitar la toma de decisiones. Hay muchas formas distintas de compartir tu reloj SSI, según el objetivo que pretendas alcanzar con tus destinatarios: boletín informativo, nota de síntesis, análisis, plataforma de acceso a la documentación completa. Decide con qué frecuencia quieres enviar la información, teniendo en cuenta estas dos preguntas: ¿a quién envías la información y qué uso pueden hacer de ella?

Proporciona a tu comité de dirección y a los responsables de la toma de decisiones una visión estratégica de las amenazas y oportunidades que plantean los cambios en la legislación y las normas. Prefiere formatos breves, como notas estratégicas acompañadas de un análisis.

También debes distribuir un resumen de tu supervisión a tu departamento de ventas y marketing. Así podrán utilizar las certificaciones y conformidades como base de su discurso de ventas. Podrán promocionar estos activos y garantías de confianza entre los clientes, clientes potenciales y socios de tu organización.

El equipo de I+D, por su parte, utilizará tu vigilancia para anticiparse a los cambios en su hoja de ruta de productos. Dales acceso a toda la información que necesiten, a través de una plataforma de gestión del conocimiento, por ejemplo.

La misión del CISO consiste en difundir información útil y pertinente a sus distintos interlocutores para fundamentar su toma de decisiones. Y a los ojos de tu personal, ¡tú serás un facilitador!

5 MEJORES PRÁCTICAS PARA UNA VIGILANCIA EFICAZ DE LA SEGURIDAD INFORMÁTICA

1. Pon un piloto en el avión

Al leer este artículo, comprenderás que la puesta en marcha de un proyecto de seguimiento de la reglamentación y las normas de la SSI es una empresa compleja y estratégica para tu organización. Designa a una persona de tu equipo como responsable del seguimiento. Podrás recurrir a la ayuda de proveedores de servicios externos, algunos o todos ellos expertos en este campo.

2. Traducir la jerga jurídica

Supervisar los reglamentos y normas en materia de SSI no es cuestión de amontonar textos cada vez más complejos. Haz que los textos sean inteligibles modelizándolos en términos de requisitos de cumplimiento. Con un lenguaje “inteligible”, facilitas la comprensión de las amenazas y oportunidades.

3. Actualizar regularmente

Es esencial establecer una frecuencia para actualizar su vigilancia. Si sigues la evolución con regularidad, estarás mejor preparado para tomar medidas correctivas. No te dejes abrumar.

4. Define correctamente tu perímetro.

Con la proliferación de textos normativos y requisitos de seguridad, es esencial definir qué textos son estrictamente aplicables y/o necesarios. Así evitarás verte abrumado por un cúmulo de información que no te es aplicable.

5. Deja de pensar que puedes hacerlo solo

Definir los textos de reglamentación, traducirlos en requisitos, gestionar las actualizaciones y deducir las consecuencias para la conformidad de tu empresa… ¡No es algo que se pueda improvisar! En función de tus limitaciones, tus recursos, tu presupuesto y el tiempo del que dispongas para dedicarte a esta tarea, puedes recurrir total o parcialmente a proveedores de servicios externos expertos en la materia. Esto te dará tranquilidad y te liberará tiempo para tus otras tareas.

Estar al día de los reglamentos y normas que se aplican a tu organización es vital para el buen funcionamiento de tu empresa. Mantenerse al tanto de las últimas normativas es un factor clave para controlar los riesgos y corregir los incumplimientos. Modelizar los requisitos y mantenerlos actualizados lleva mucho tiempo y es complejo. ¡Deja que los expertos te ayuden!