Elección del artículo: En el mundo actual, donde las tecnologías avanzan más rápido que nunca, proteger la información ya no es tan sencillo como antes. Este artículo revela cómo el rol de compliance ha evolucionado para enfrentar las amenazas cibernéticas modernas, obligando a los profesionales a adaptarse al vertiginoso desarrollo tecnológico. Desde la inteligencia artificial hasta la computación cuántica, las nuevas tecnologías traen consigo no solo oportunidades, sino también riesgos críticos que deben ser gestionados con una estrategia sólida de ciberseguridad y compliance. La colaboración entre estos dos campos ya no es solo una opción, sino una necesidad urgente para mantenerse al día con las expectativas regulatorias y proteger la integridad de las organizaciones.
Fuente: Este artículo apareció originalmente como una publicación de NAVEX: https://www.navex.com/en-us/blog/article/compliance-cybersecurity-working-and-worrying-together-about-the-intersection-of-people-and-technology/
Autor: Bill Cameron
Transcripción traducida y ajustada por ICR
Artículo Traducido:
No soy un experto en ciberseguridad, pero como profesional de compliance, responsable de las investigaciones internas de mala conducta de empleados y terceros, he tenido un asiento de primera fila para observar la evolución del riesgo que ha acompañado la adopción masiva de nuevas tecnologías.
Proteger la información solía ser menos complejo. Mantener a los actores malintencionados fuera de una organización significaba tener cercas, cerraduras en las puertas y guardias de seguridad. Gestionar el riesgo de que empleados y otros internos hicieran un mal uso o robaran activos e información era un poco complicado, pero las buenas prácticas de contratación, las cámaras de seguridad y las políticas simples de limitación de acceso físico funcionaban bastante bien. Después de todo, robar información significaba llevarse o copiar físicamente documentos y salir con ellos, o tomar fotos con una cámara y luego revelar el rollo. Algo bastante engorroso e ineficiente.
Ahora, todo eso suena como historia antigua, aunque realmente no lo es. El iPhone debutó en 2008 y, aunque los primeros bancos nombraron a sus primeros directores de seguridad de la información en los años 90, esta posición no se volvió común hasta hace aproximadamente una década.
Hoy en día, todos llevamos una combinación de computadora/cámara/dispositivo de grabación en nuestros bolsillos. Las laptops han reemplazado a las voluminosas PC, y cada herramienta de negocios es generalmente más pequeña, más rápida y más capaz de ser tanto una herramienta como un objetivo de ataques.
La observación del cofundador de Intel, Gerald Moore, de que la potencia de procesamiento de las computadoras se duplica cada dos años (la Ley de Moore), se menciona a menudo para resaltar la velocidad del avance tecnológico y, si acaso, está subestimada.
La nueva tecnología, impulsada por la conectividad casi universal de la información a través de internet, ha generado un ciclo perpetuo de desarrollo de software y otros productos sofisticados que impulsan la productividad y la eficiencia.
Las tecnologías y el software más recientes que son imprescindibles tientan tanto a las grandes como a las pequeñas empresas con infinitas formas de innovar y volverse más eficientes y rentables. Esto, a su vez, ha puesto a prueba la ingeniosidad de los actores de amenazas y ha impulsado a los gobiernos a elevar sus expectativas para que las empresas enfrenten los nuevos riesgos de seguridad de la información.A medida que la inteligencia artificial (IA) se despliega y el riesgo de la computación cuántica se avecina, el progreso y el riesgo han empujado a las funciones corporativas de compliance y seguridad, ambas recién llegadas al intenso foco de la supervisión gubernamental y la responsabilidad ante las partes interesadas, a pasar de ser simples aliadas a convertirse en las mejores amigas para siempre.
La relación en evolución (y esencial) entre Seguridad y Compliance
Como nuevos mejores amigos, los profesionales de ciberseguridad y sus contrapartes en compliance ven cada vez más cómo sus áreas de experiencia y responsabilidad se interceptan y se superponen. A medida que se expone una mayor cantidad de información crítica (por ejemplo, datos de clientes y otra información personal identificable), se implementan nuevas políticas de compliance y herramientas cibernéticas para abordar el riesgo. Las herramientas lanzadas por programas de amenazas internas cibernéticas generan nuevas categorías de investigaciones internas y destacan nuevas áreas de riesgo para que los equipos de compliance aborden.
Las expectativas de supervisión gubernamental también están aumentando. Por ejemplo, la Evaluación de Programas de Compliance Corporativa del Departamento de Justicia de EE. UU. contempla claramente la evaluación y mitigación de los riesgos presentados por controles cibernéticos débiles, incluida la pérdida de datos, la privacidad y el impacto operativo. Además, la Comisión de Bolsa y Valores de EE. UU. (SEC) adoptó recientemente reglas que exigen que las empresas que cotizan en bolsa revelen incidentes de ciberseguridad materiales, así como su estrategia para gestionar sus riesgos de ciberseguridad.
Así que, los riesgos son reales, el panorama está cambiando rápidamente y los stakeholders —gobierno, clientes, empleados y otros— están observando. Construir y mantener una cultura corporativa que adopte la vigilancia necesaria para cumplir con las expectativas de esos stakeholders requiere una sólida asociación entre los programas de compliance y ciberseguridad.
Evaluaciones de riesgo de compliance
Si están llevando a cabo evaluaciones de riesgo de compliance de manera integral (y claro que deberían hacerlo), la ciberseguridad debe evaluarse como un riesgo independiente y no agruparse con otros riesgos operativos o departamentales. Además, si su equipo central de compliance no cuenta con experiencia en ciberseguridad, considere involucrar a un profesional de ciberseguridad en el equipo de evaluación de riesgos de compliance.
Capacitación
La capacitación en compliance y la capacitación en ciberseguridad deben ser complementarias y tener objetivos comunes. Ambos equipos deben estar al tanto de las iniciativas del otro y, siempre que sea posible, reforzar los mensajes críticos de forma conjunta. Los proyectos de capacitación combinada, especialmente en áreas de responsabilidad compartida, pueden ayudar a enfatizar un mensaje coherente y permitir el uso eficiente de los recursos técnicos.
Comunicación
Es importante mantener una comunicación clara y coherente sobre los riesgos cibernéticos y las expectativas de compliance para evitar mensajes contradictorios dentro de la organización. Las organizaciones maduras saben que la responsabilidad no solo implica tomar medidas correctivas ante violaciones de políticas, sino también comunicar regularmente los riesgos y las medidas preventivas de manera proactiva, no solo después de una falla de seguridad o compliance.
Proveedores externos
Los terceros, como contratistas y proveedores, a menudo tienen un acceso significativo a los sistemas y tecnologías de la empresa y juegan un papel esencial en la finalización de proyectos importantes. Sin embargo, las expectativas de compliance y la supervisión de estos terceros suelen ser menos estrictas que las aplicadas a los empleados internos. Es fundamental que los profesionales de ciberseguridad y compliance trabajen junto con los responsables de la cadena de suministro y el área legal para definir estándares claros de capacitación y supervisión para los proveedores.
Compartición de datos
A medida que las organizaciones adoptan herramientas más avanzadas, es común que los datos y sistemas crezcan y evolucionen de manera desorganizada. Con frecuencia, los diferentes sistemas y plataformas no están bien integrados, lo que puede dificultar la detección de patrones y el análisis de riesgos. Compartir datos entre las distintas áreas de gobernanza puede ayudar a identificar tendencias y proporcionar una base sólida para la toma de decisiones basadas en evidencia.
2024 y más allá
A medida que el panorama de las amenazas cibernéticas se intensifica y aumentan las expectativas regulatorias, la asociación entre los líderes de ciberseguridad y compliance será clave para mitigar las amenazas internas, proteger la información confidencial y fortalecer los programas que puedan soportar el escrutinio de la aplicación gubernamental.
Comentarios ICR:
La rápida evolución tecnológica ha transformado la manera en que las organizaciones abordan la seguridad de la información y la gestión de riesgos. Como se menciona en el artículo, las estrategias que antes eran suficientes para proteger una empresa han quedado obsoletas frente a las amenazas actuales. Hoy en día, la inteligencia artificial (IA) se ha convertido en un pilar fundamental tanto para la innovación como para los desafíos en cumplimiento y seguridad.
En este contexto, la actualización de la guía del U.S. Department of Justice (DOJ) en septiembre de 2024 destaca la necesidad de regular y controlar el uso de la IA. Reconocemos que esta tecnología ofrece oportunidades extraordinarias para mejorar la productividad empresarial, pero también implica nuevos riesgos que requieren una gestión responsable.
La guía del DOJ enfatiza la importancia de implementar controles rigurosos para asegurar que la IA se use de manera ética y en conformidad con las leyes. Las empresas deben adoptar políticas claras de gobernanza y medidas de supervisión para garantizar que esta tecnología se emplee para los fines previstos, detectando y corrigiendo desviaciones con rapidez.
Desde nuestra perspectiva, esta regulación es fundamental para establecer un marco seguro y ético en el uso de tecnologías emergentes. La IA no solo tiene el potencial de impulsar el crecimiento empresarial, sino también de optimizar los mecanismos de cumplimiento y seguridad, siempre que se gestione con el cuidado adecuado.
A medida que la innovación continúa desafiando el statu quo, la integración de la IA en las operaciones corporativas debe ir acompañada de un enfoque sólido en ética y cumplimiento. Esta actualización del DOJ subraya la urgencia de que las empresas adopten estas tecnologías y, al mismo tiempo, asuman mayor responsabilidad en la gestión de sus riesgos. Creemos firmemente que el éxito a largo plazo de la IA dependerá de una regulación eficaz y del compromiso organizacional con el cumplimiento normativo.
Nos alineamos con las ideas planteadas sobre la evolución de la relación entre ciberseguridad y compliance. La integración de la ciberseguridad en el ADN de cumplimiento es esencial para que las organizaciones se mantengan al día con los riesgos emergentes y las expectativas regulatorias. Esta alianza permite no solo identificar y mitigar riesgos, sino también crear una cultura organizacional resiliente y proactiva.
En nuestro rol como evaluadores, hemos observado que algunas organizaciones agrupan la ciberseguridad con otros riesgos operativos, lo cual puede diluir su relevancia. Coincidimos con el artículo en que tratar la ciberseguridad como un riesgo independiente permite un análisis más preciso y una gestión más eficaz. Por eso, en nuestras evaluaciones recomendamos esta práctica para mejorar la identificación y mitigación de amenazas cibernéticas.
También coincidimos en que la capacitación integrada entre compliance y ciberseguridad es clave para el éxito organizacional. Hemos notado que la falta de coordinación entre ambas áreas puede debilitar la efectividad de los programas de prevención. Por ello, resaltamos la importancia de alinear las iniciativas de formación para maximizar su impacto.
Además, evaluamos cómo las organizaciones manejan la comunicación interna sobre riesgos y cumplimiento. Una comunicación inconsistente puede generar malentendidos y dificultar la implementación de políticas. Por eso, destacamos la relevancia de una comunicación coherente y proactiva en todos los niveles.
En cuanto a los proveedores externos, detectamos que las medidas de compliance aplicadas a terceros a menudo no alcanzan el nivel requerido para los empleados internos, lo que representa un riesgo significativo. Consideramos esencial que las empresas definan estándares claros y consistentes para sus terceros y mantengan una supervisión adecuada.
Finalmente, al evaluar la gestión de datos, hemos identificado que la falta de integración entre sistemas puede limitar la capacidad para detectar riesgos y tomar decisiones informadas. Coincidimos con el enfoque del artículo: compartir datos entre áreas de gobernanza ofrece mayores oportunidades para identificar tendencias y mitigar riesgos. En resumen, reafirmamos que la colaboración estrecha entre ciberseguridad y compliance es fundamental para enfrentar los desafíos regulatorios y de seguridad en un entorno cada vez más dinámico. Las empresas que fortalezcan esta integración estarán mejor preparadas para proteger su información sensible, cumplir con los requerimientos normativos y garantizar su sostenibilidad a largo plazo.