Compliance y seguridad de la información. ¿Cómo se relacionan?
Compliance y seguridad de la información
Para abordar la cuestión de la relación existente entre compliance y seguridad de la información es preciso tener en cuenta diferentes cuestiones legales. No obstante, no se puede dejar atrás el carácter organizativo que tiene, el cual excede del ámbito de la protección y se introduce en el mundo de la gestión de riesgos de compliance.
La gestión sobre la incertidumbre se materializa en base a los incumplimientos de determinadas obligaciones normativas o en el compromiso voluntario o contractual adquirido. Esto conlleva un perjuicio para las organizaciones. Sin embargo, el camino está íntimamente ligado de forma irremediable al ámbito de la seguridad de la información.
Compliance como concepto
Es recomendable comenzar abordando una perspectiva amplia y general para llegar a entender la relación entre ambos conceptos. Además, se debe continuar descendiendo sobre ámbitos concretos de obligaciones como puede ser el cumplimiento en materia de seguridad de la información y protección de datos.
El concepto de compliance es conocido desde hace algunos años. También lo son los métodos que se deben seguir en las organizaciones para conocer y cumplir con sus obligaciones y, por lo tanto, conseguir mitigar los riesgos de incumplimiento. Esto hace referencia tanto a las obligaciones de carácter fundamental que se derivan de las imposiciones legales en diferentes materias como pueden ser la protección de datos. Además, también alude a la prevención de blanqueo de capitales, a la lucha contra el fraude y la prevención de la corrupción, entre muchas otras normativas sectoriales.
Existen obligaciones que la empresa deben asumir de forma voluntaria. Entre ellas se encuentran diferentes estándares de gestión con los que acceder a distintos mercados. También se incluyen aquellos que marcan la diferencia con los competidores en la contratación pública y privada. Por último, se da la existencia de compromisos voluntarios vinculados con la ética, con la responsabilidad social y con las buenas prácticas.
Cumplimiento
En el ámbito de compliance, a las normas consideradas ineludibles se las conoce como requerimientos y al resto, como compromisos. Tal distinción es mucho más sencilla en la teoría. En la realidad muchos de los compromisos se han convertido en auténticos requerimientos para acceder a diferentes mercados. De ahí que parece más razonable proponer una división bipartita en la que se encuentren compromisos semivolutarios. Esto es los que la compañía asume para competir en el mercado, y aquellos que son de carácter voluntario.
Un buen ejemplo de compromisos de naturaleza semivoluntaria dentro del ámbito de la seguridad de la información y la protección de datos puede encontrarse en el Reglamentos Europeo de Protección de Datos vigente. Esto hace que se incremente el valor de las certificaciones en el ámbito de la seguridad de la información.
El artículo 42.1 determina que los Estados miembros, las autoridades de control, el Comité y la Comisión promoverán la creación de mecanismos de certificación en materia de protección de datos, de sellos y marcas de protección de datos. De la redacción del texto legal puede extraerse con respecto a las certificaciones que no resultan obligatorias en base a la normativa, que no asumirlas puede conllevar que la empresa quede fuera de determinados mercados, o que la compañía sea incapaz de probar la existencia de mecanismos de prevención y control frente a los incumplimientos.
Protección de datos y compliance
Por su parte, aunque orientado al sector bancario, la protección de datos y los riesgos de compliance pueden aplicarse a otros ámbitos. Ejemplo de ello es el Acuerdo de Basilea II. En él se detalla el riesgo al que se expone una entidad bancaria por el incumplimiento de leyes, reglamentos y normas. A ello se incluyen los acuerdos de autorregulación en políticas de empresa y códigos de conducta aplicables a las actividades de la misma. Estas situaciones pueden generar sanciones legales o regulatorias, así como pérdidas financieras o de reputación empresarial.
El Acuerdo de Basilea II va mucho más allá de cumplir con las normas o con las obligaciones. Es necesario que se establezca una cultura de compliance en las empresas que se relacionan con el compromiso de la misma.
El compromiso de la organización debe provenir del órgano de gobierno, a través de la implementación de diferentes metodologías para minimizar el riesgo de incumplimiento.
Eficacia de un sistema de compliance
No es lo mismo la generación una cultura de compliance o que únicamente el cumplimiento de las obligaciones. Estas son las señales de que un sistema de compliance no es eficaz:
- Ausencia de disciplina en relación con el control de los flujos financieros de la compañía.
- Exceso de enfoque legal en las cuestiones relativas al compliance.
- Diseño de un sistema basado en mínimos legales.
- Confundir la eficacia de las métricas con el grado de asistencia a las capacitaciones.
- Poner el foco en medidas de control concretas más que en la gestión del sistema en su conjunto.
- Basar el sistema en el cumplimiento de una normativa concreta en lugar de basarlo en generar una cultura.
- Pensar que todo el sistema de compliance se a una política de regalos.
Software ISOTools
Toda ayuda es poca a la hora de cumplir con las normativas y reglamentaciones de compliance a las que está sujeta una empresa en materia de seguridad de la información. El Software ISOTools ofrece la oportunidad de dar cumplimiento a la Gestión del Compliance gracias a la vinculación de su matriz de requisitos legales con la actividad principal de la empresa.