Deja de tratar el cumplimiento como una tarea tediosa: Construye una cultura de seguridad resiliente
Menciona "cumplimiento en ciberseguridad" ante la mayoría de las personas en tu organización, y probablemente verás cómo dejan de prestarte atención. Sin embargo, su mala reputación se debe en parte a la forma en que muchas empresas abordan el cumplimiento. Suele percibirse como un obstáculo molesto para la innovación y el crecimiento, por lo que los negocios hacen solo lo mínimo necesario para aprobar y luego lo olvidan hasta que llega de nuevo la época de auditorías.
En realidad, el cumplimiento puede lograr lo contrario: crear una base para una mayor resiliencia y éxito empresarial.
Si consideras que el cumplimiento es un mal necesario, es que aún no has encontrado el marco adecuado. Por eso este año debería ser el año en que tu organización adopte un nuevo enfoque.
Want more from The CTO Club?
Create a free account to finish this piece and join a community of CTOs and engineering leaders sharing real-world frameworks, tools, and insights for designing, deploying, and scaling AI-driven technology.
Have an account? Log In
Las amenazas están en todas partes
Las normas y regulaciones existen por una razón. En el mundo del riesgo cibernético, buscan asegurar que las organizaciones que cumplen cuenten con un conjunto básico de políticas y procesos que, en teoría, las protegerán de brechas graves. Esto es especialmente importante considerando que la ciberseguridad todavía no se integra como parte de la cultura corporativa como sí lo son las normas de seguridad laboral.
Solo necesitas echar un vistazo al panorama de amenazas para comprender por qué existen esas reglas. Una vasta economía del cibercrimen valorada en billones de dólares ofrece un mercado listo para el comercio de herramientas de hacking, conocimientos y datos robados. Gran parte de este conocimiento se ofrece como servicios fáciles de consumir, lo que reduce aún más la barrera de entrada para nuevos actores de amenaza.
Las empresas SaaS deben ser especialmente cautelosas. Tu negocio puede ser un objetivo atractivo si gestiona grandes volúmenes de datos sensibles de clientes y tiene poca tolerancia a los tipos de interrupciones de servicio que puede causar el ransomware—es decir, como la mayoría de las compañías. Los ataques patrocinados por estados son más raros pero están aumentando en volumen y agresividad, según Microsoft.
¿Cuáles son las amenazas cibernéticas más comunes?
Según una investigación de ISMS.online, que abarca EE. UU., Reino Unido y Australia, las cinco amenazas principales experimentadas por los encuestados en 2024 fueron:
- Las infecciones por malware (35%) son cada vez más comunes gracias a kits de herramientas preempaquetados.
- La ingeniería social (32%) puede incluir phishing a través de correo electrónico, mensajes de texto, redes sociales y voz.
- Los deepfakes (30%) pueden engañar a las víctimas para realizar transferencias de dinero corporativas o ayudar a los estafadores a eludir controles de conocimiento del cliente.
- El ransomware (29%) está en auge gracias al modelo "as-a-service", por lo que la protección contra ransomware es necesaria.
- Los usuarios internos (28%) pueden ser negligentes o maliciosos.
También se debe dar una mención especial a las amenazas en la cadena de suministro. La mayoría de las empresas SaaS estarán en el epicentro de una compleja red de proveedores digitales. Además, interactúan con despachos jurídicos, empresas de nómina y otros servicios profesionales. Cualquiera de estas relaciones podría ser utilizada por actores de amenazas para explorar posibles debilidades.
El año pasado, el principal reto de seguridad de la información al que se enfrentaron nuestros encuestados fue "gestionar el riesgo de proveedores y terceros".
¿Qué significa esto para tu empresa?
Las brechas de seguridad graves pueden, por supuesto, producir un daño financiero y reputacional significativo. Es por eso que la mayoría de las empresas SaaS deben cumplir con un conjunto superpuesto de regulaciones de ciberseguridad.
En Estados Unidos, esto puede incluir leyes federales como la Ley de Reporte de Incidentes para Infraestructura Crítica (CIRCIA), leyes estatales de seguridad y privacidad, así como leyes sectoriales como la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA).
En la UE, nuevas regulaciones incluyen la Ley de Resiliencia Operativa Digital (DORA), NIS 2 y la Ley de Resiliencia Cibernética (CRA).
Con tantas normas y, a menudo, altas multas por no cumplir, todo esto puede parecer abrumador, especialmente para los proveedores SaaS más pequeños. Los encuestados mencionaron el cumplimiento con diversas regulaciones como el segundo mayor reto de seguridad de la información.
Por qué los viejos métodos no son los mejores
En este contexto, se podría justificar adoptar un enfoque de cumplimiento basado solo en marcar casillas. En teoría, tiene sentido: enfócate en las normas e invierte solo el tiempo, dinero y recursos para cumplir con ellas: nada más.
Sin embargo, esto genera muchos problemas a largo plazo. Es una forma superficial de cumplimiento que crea una falsa sensación de seguridad, limitando tanto el enfoque que no se abordan las fuentes subyacentes del riesgo. Además, como los reguladores reaccionan constantemente a los cambios en el panorama de amenazas y de la tecnología, adoptar el cumplimiento de "marcar casillas" significa que tú también estarás reaccionando. Eso podría dejar a tu empresa expuesta a amenazas que evolucionan rápidamente.
Fuera la mentalidad de marcar casillas, bienvenida la habilitación empresarial
Al comenzar un nuevo año, es momento de un enfoque renovado: una mentalidad proactiva centrada en la seguridad continua y la gestión de riesgos, considerando el cumplimiento como un facilitador para el crecimiento. Veamos dos enfoques de mejores prácticas que pueden ayudar.
ISO 27001 es una norma de reconocido prestigio internacional diseñada para ayudar a las organizaciones a estructurar y simplificar la gestión de la seguridad de la información. Consta de tres elementos:
- Un marco de Sistema de Gestión de Seguridad de la Información (ISMS, por sus siglas en inglés) que ayuda a establecer un conjunto integral de políticas y procedimientos para gestionar la seguridad de la información. Este es el elemento fundamental y la clave para fomentar una cultura proactiva de cumplimiento.
- Un proceso de evaluación de riesgos que exige a las organizaciones identificar las amenazas potenciales.
- Un conjunto de controles "Anexo A" ayudará a asegurar que el ISMS de la organización mitigue eficazmente los riesgos.
Reconocida en más de 150 países, la certificación ISO 27001 destaca tu negocio como uno serio en la gestión proactiva de riesgos. Esto puede ayudar a prevenir brechas (y el tiempo y dinero que consumen), generar confianza en los clientes y acelerar los ciclos de venta.
La cultura de mejora continua, resiliencia y concienciación en seguridad que promueve está muy alejada del cumplimiento por marcar casillas.
SOC 2 no es una norma, sino un marco desarrollado explícitamente para organizaciones que almacenan datos de clientes en la nube. Por ello, es ideal para proveedores SaaS, especialmente en Norteamérica, donde goza de mayor reconocimiento que ISO 27001.
SOC 2 abarca cinco categorías de “confianza”: seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad. Pero aquí está la particularidad: cada organización elige solo las categorías aplicables a su negocio y luego define cómo cumplir con los cerca de 60 requisitos de cada una. En lugar de seguir una lista de controles preestablecida, puedes diseñar las políticas y procesos personalizados que realmente sean relevantes para tu empresa.
No hay mejor momento que el presente
Al final, los beneficios de SOC 2 son similares a los de ISO 27001. Una vez que superes la auditoría técnica, el cumplimiento de SOC 2 mantendrá tu organización más segura frente a incidentes graves—evitando daños financieros y reputacionales. También ayudará a brindar a los clientes actuales y potenciales sólidas garantías de seguridad, así como a simplificar el cumplimiento de muchas regulaciones de ciberseguridad que se basan en las mismas mejores prácticas.
Nadie sabe qué traerá el próximo año. Pero en un mundo de caos e incertidumbre, una cultura de cumplimiento basada en la mejora continua ayudará a aislar tu negocio del riesgo hoy y a prepararlo para el éxito mañana.
Suscríbete al boletín de The CTO Club para más consejos, herramientas y mejores prácticas de cumplimiento.
