En un panorama normativo en constante cambio, las empresas tienen que cumplir una serie de normas y reglamentos relacionados con la protección de datos, la seguridad de la SI y de los empleados, y el funcionamiento de sus productos.
Además de las sanciones por incumplimiento -que pueden ser importantes-, una violación de la seguridad o una vulnerabilidad no abordadas pueden dañar gravemente la imagen de marca de una organización.
La gestión de las desviaciones de cumplimiento es, por tanto, una cuestión central, que plantea una serie de interrogantes.
- ¿Qué es una desviación de cumplimiento?
- ¿Qué ocurre si no se gestionan adecuadamente?
- ¿Qué soluciones puede aplicar su empresa?
Antes de responder, empecemos por el principio.
¿Qué es una desviación de cumplimiento?
Una desviación de conformidad es una situación en la que las normas definidas por la política de seguridad de los sistemas de información no se aplican correctamente. Según Baptiste David, Jefe de Preventa y Entrega de Tenacy,”una desviación de conformidad se caracteriza por la constatación del incumplimiento de una norma establecida“.
La mayoría de las veces, las desviaciones se detectan durante auditorías externas realizadas por auditores independientes. Estos auditores inspeccionan, cuestionan y documentan las no conformidades que detectan. Las auditorías se realizan a intervalos regulares para garantizar que se tienen en cuenta estas desviaciones y controlar las medidas correctoras adoptadas por la empresa a lo largo del tiempo.
Toda empresa es susceptible de generar desviaciones de conformidad, ya sean de carácter técnico u organizativo. Por eso es esencial aplicar una estrategia proactiva para detectar estas desviaciones, que pueden adoptar varias formas.
Desviación técnica
Una desviación técnica se refiere generalmente a una vulnerabilidad, una mala configuración o un error de diseño en la infraestructura técnica de la empresa.
No aplicación de una actualización crítica, no activación de una función de seguridad… Las fuentes de discrepancias pueden ser numerosas.
Desviación organizativa
Se produce una desviación organizativa cuando las políticas o procedimientos de seguridad definidos en una organización no se siguen, aplican o documentan adecuadamente.
Un caso observado con frecuencia es el de una empresa que ha establecido una política de cibersensibilización, exigiendo a los empleados que sigan un curso de sensibilización. Sin embargo, durante una auditoría, puede descubrirse que esta formación sólo se ha llevado a cabo una vez cada dos años, o que el compromiso de los empleados con la formación e-learning es insatisfactorio. Ya sean menores o mayores, las desviaciones de cumplimiento de la organización deben ser objeto de un estrecho seguimiento.
¿QUÉ OCURRE SI LA EMPRESA NO SE OCUPA DE ESTAS DESVIACIONES?
La gestión de las desviaciones de conformidad es una obligación para todas las empresas, sea cual sea su sector de actividad. Esta gestión forma parte integrante de un sistema de gestión de la seguridad informática (SGSI) y no se limita a la simple identificación de los problemas: exige también la aplicación de medidas correctoras para resolverlos.
Cuando se detecta una deficiencia -ya sea una vulnerabilidad, una no conformidad o cualquier otra disfunción- es imprescindible documentarla, supervisarla y asegurarse de que se toman las medidas adecuadas para resolverla.
Más allá del riesgo cibernético, la ausencia de un sistema de gestión de desviaciones puede tener consecuencias perjudiciales para la empresa, como la pérdida de la certificación (ISO 27001, TISAX, etc.).
Mayor superficie de ataque
No gestionar las lagunas de cumplimiento dentro de una empresa aumenta el riesgo cibernético. Para Baptiste David, “en términos de gestión de riesgos, no ocuparse de una desviación equivale adejar abierto un agujero conocido y ampliar la superficie de ataque de la empresa“. Un error que puede ser muy penalizado en caso de compromiso.
Sanción impuesta por el legislador
Dejar sin abordar las lagunas de cumplimiento expone a las empresas a posibles sanciones de los organismos reguladores.
Estas sanciones pueden adoptar la forma de multas importantes, como las impuestas por autoridades como la CNIL: en virtud del RGPD (Reglamento General de Protección de Datos), un responsable puede ser procesado por negligencia manifiesta. La pena puede oscilar entre dos meses y diez años de prisión (artículo 131-4 del Código Penal), con o sin una multa mínima de 3.750 euros.
Además, y con el fin de causar impresión, las autoridades pueden optar por adoptar un enfoque de “nombrar y avergonzar“. Se trata de hacer pública la infracción de la empresa, desacreditando así a la marca infractora ante sus clientes y proveedores.
Aumento de los costes de los ciberseguros
Las compañías de seguros prestan cada vez más atención a la gestión de riesgos y a la seguridad de sus clientes. Como consecuencia, las organizaciones que no gestionan las desviaciones de cumplimiento pueden enfrentarse a primas de seguro más elevadas, ya que las aseguradoras consideran que presentan un mayor nivel de riesgo.
Es más, si una empresa no toma las medidas necesarias para corregir las deficiencias y vulnerabilidades detectadas, las aseguradoras pueden negarse a cubrir los incidentes que se produzcan como consecuencia de una deficiencia no resuelta. En ese caso, la empresa tendrá que asumir sola los costes asociados a los daños o interrupciones. En otras palabras, una doble penalización.
4 CONSEJOS PARA GESTIONAR LAS DESVIACIONES DE CUMPLIMIENTO
#1 Centralizar las desviaciones
El primer paso para gestionar las desviaciones de cumplimiento es centralizarlas. En otras palabras, cuando un usuario detecta una desviación o anomalía, debe poder notificarla y documentarla rápidamente. Este enfoque centralizado facilita el seguimiento y la evaluación de las medidas adoptadas para resolver las desviaciones.
#2 Priorizar las desviaciones
El segundo paso consiste en priorizar las desviaciones de cumplimiento. Esto implica determinar qué problemas son los más críticos y requieren medidas correctoras.
Durante las auditorías de certificación, los auditores suelen asignar niveles de gravedad a las no conformidades que identifican, clasificándolas como “menores” o “mayores” en función de su impacto en la seguridad y el cumplimiento. Al priorizar las desviaciones según su importancia, la empresa puede centrarse primero en las más críticas, garantizando que los problemas más graves se resuelvan rápidamente.
#3 Acordar no resolver determinadas desviaciones, gestionando excepciones
A veces es necesario reconocer que existe un problema y que puede estar justificado no abordarlo inmediatamente. Es lo que se conoce como exención de cumplimiento.
No es infrecuente, por ejemplo, ver máquinas de diagnóstico médico por imagen (escáneres, resonancias magnéticas) que utilizan sistemas operativos Windows que ya no reciben mantenimiento. Dado que el ciclo de vida y el tiempo de amortización de estos equipos puede extenderse a varias décadas, los hospitales y centros de salud tienen que convivir con la situación y aceptar las desviaciones, al tiempo que añaden medidas de seguridad adicionales en torno a los equipos en cuestión.
#4 Márcarse objetivos
Cuando se aborda una desviación del cumplimiento, ya sea menor o mayor, es necesario definir una fecha en la que debe corregirse o tratarse. Al fijar una fecha límite para resolver la desviación, se establece una medida de responsabilidad y seguimiento.
Si no se consigue este objetivo, puede indicar un problema de comprensión o de aplicación de medidas correctoras. Afortunadamente, existen soluciones técnicas para simplificar esta labor.
4 BUENAS RAZONES PARA GESTIONAR TUS LAGUNAS DE CUMPLIMIENTO CON TENACY
La solución Tenacy ofrece una serie de funciones para gestionar las desviaciones de cumplimiento.
#1 Centralizar las distintas fuentes
La interfaz de la solución permite centralizar todas las fuentes de desviaciones de conformidad, ya procedan de auditorías anuales, soluciones técnicas o conectores integrados en plataformas de terceros. Esta centralización proporciona una visión global de todas las desviaciones encontradas, eliminando la dispersión de la información.
#2 Control preciso de las desviaciones de cumplimiento
La plataforma Tenacy permite seguir al detalle el progreso de cada desviación. En lugar de limitarse a informar de un problema, la herramienta proporciona información como:
- la fecha en que se reconoce la diferencia;
- la persona que lo identificó;
- las acciones previstas para corregirlo…
… todo ello acompañado de comentarios de los equipos internos.
#3 Priorización simplificada
La interfaz Tenacy facilita la priorización de las desviaciones de cumplimiento. Esta tarea, que suele ser responsabilidad del CISO, permite evaluar la criticidad de cada desviación en función de su impacto potencial en la empresa. La plataforma simplifica este proceso estandarizando las evaluaciones de criticidad, al tiempo que permite a los CISO añadir información específica.
#4 Informes en tiempo real
Tenacy ofrece una funcionalidad avanzada de elaboración de informes, que te permite ver el estado de la gestión de las desviaciones de cumplimiento en tiempo real. Esto te proporciona una visibilidad completa del progreso de la resolución de problemas, junto con métricas de rendimiento como la validez y el porcentaje de finalización de las acciones planificadas.