Cuando hablamos de compliance nos referimos al conjunto de buenas prácticas que adopta una empresa para identificar, alertar, monitorear y reportar cualquier tipo de riesgo, ya sea este operativo o legal. Este elemento de cumplimiento es tan importante porque afecta a todas las personas dentro de la organización.
Si bien todas las organizaciones cuentan con la figura de un DPO, cuando hay un incidente o un riesgo, este pasa a afectar a todos los departamentos y miembros de un equipo.
Riesgos a los que podemos enfrentarnos
Hay un gran abanico de riesgos a los que pueden enfrentarse las empresas; una lista de posibles amenazas que, como hemos visto a lo largo de los últimos años, no para de ampliarse. Estos son algunos ejemplos:
- Derrame de datos. Los datos se comparten con un socio, pero el acceso a la carpeta no se revoca una vez concluida la asociación empresarial.
- Robo de PI. Un empleado que se traslada a la competencia se lleva consigo datos vitales.
- Fraude. Se filtra un archivo de la empresa a una persona no autorizada y ésta chantajea a la organización.
- Insider trading. Un empleado obtiene acceso a resultados empresariales anunciados de antemano y negocia con ese conocimiento.
- Pérdida de datos. Un empleado denuncia la pérdida o el robo de un dispositivo (portátil, USB, teléfono) y no sabe exactamente qué datos había en él ni cómo estaban protegidos.
Otros posibles riesgos y amenazas incluyen: filtración de datos sensibles de terceros, violación de la confidencialidad, violencia y acoso en el lugar de trabajo, proliferación de datos, fuga accidental de datos o incumplimiento de la normativa.
¿Quién debe estar involucrado en la conversación?
El primer paso consiste en preguntarnos quién debería estar involucrado en una conversación sobre compliance.
Como vemos, para eliminar el riesgo y erradicar el problema, todas las áreas de una empresa deben estar involucradas en la conversación sobre el cumplimiento.
Pensemos, por ejemplo, en los responsables del diseño UX (user experience). También ellos tienen el reto de asegurarse que la implementación de un proceso de compliance sea lo suficientemente sencilla para el resto de usuarios, tanto a nivel de adaptación como de uso.
Los 3 retos principales
A la hora de implementar un programa de compliance, nos encontramos con 3 retos principales:
- Los datos crecen de forma exponencial y, en paralelo, aunque a menor velocidad, también lo hacen los requisitos a nivel de regulaciones. Hablamos entonces de una constante evaluación de la cantidad de datos que van proliferando y de cómo las regulaciones se van adaptando a este gran crecimiento.
- El nivel de cumplimiento que tenemos internamente. Es esencial ver dónde nos situamos en un cuadrante que analice tanto el cumplimiento externo e interno como el nivel de automatización, ya que dependiendo de nuestra posición determinaremos si estamos haciendo un mal uso de la automatización, si hemos tomado una dirección errónea, si disponemos de políticas anticuadas que no cumplen con las normativas actualizadas, etc.
- Ser proactivos y adaptarnos constantemente. Las regulaciones se adaptan constantemente a través del tiempo. No podemos tener procesos y prácticas anclados en el pasado, ya que las regulaciones podrían afectar a esas prácticas de forma distinta a las del presente o las del futuro. La solución es ser proactivos y adaptarnos a cada situación.
También es esencial recordar que cuando hablamos de compliance, no solo hablamos de la protección de la información donde quiera que esté, sino que también hacemos referencia al gobierno de los datos sensibles, la gestión e investigación del riesgo interno (identificar y tomar acción hacia riesgos internos críticos para responder a esos incidentes) y la monitorización de datos.
Por supuesto, podemos aplicar todo este proceso a nuestra nube o a nuestras estructuras On-Premise.
¿Por dónde empezamos?
Una vez tenemos nuestro comité de gobierno, es necesario estructurar el proceso de la siguiente forma para dar respuesta a algunas preguntas clave:
- Comprende tu entorno de datos e identifica los datos importantes en tu entorno híbrido. En este primer paso nos preguntaremos lo siguiente: ¿Qué tipo de datos sensibles tengo en mi organización? ¿Dónde residen estos? ¿Cómo se está accediendo a estos datos y cómo se comparten?
- Aplica acciones de protección flexibles que incluyan cifrado, restricciones de acceso y marcas visuales. Las preguntas que tendrá que hacerse tu comité de gobierno en este segundo paso son: ¿Cómo puedo proteger los datos sensibles? ¿Dónde puedo proteger los datos sensibles? ¿Cómo encuentro el equilibrio entre la seguridad de datos y la productividad? Es decir, que si bien aplicar la seguridad y las políticas de cumplimiento es esencial, tenemos que analizar también a qué nivel estas medidas van a impactar la productividad del usuario.
- Evitar que se comparta información sensible de forma accidental. ¿Cómo puedo desplegar políticas de DLP para la nube y los endpoints? ¿Cómo puede la DLP guiar a los usuarios para que tomen las medidas de cumplimiento correctas? Cómo se resuelven los incidentes de incumplimiento?
- Conserva, elimina y almacena automáticamente la información y los archivos como indica la normativa. ¿Qué datos debería conservar realmente? ¿Cómo los clasifico y gobierno? ¿Cómo cumplo los requisitos de mantenimiento de registros?
Ya tenemos claro cómo empezar a elaborar un plan de compliance para tu negocio y qué elementos debemos tener en cuenta. En siguiente artículo veremos cómo seguir adelante con un plan de despliegue y con la implementación del proceso.
¿Quieres más información sobre cómo desde Algoritmia podemos ayudarte a clasificar y proteger tus datos y sistemas? Ponte en contacto con nosotros a través del correo hello@agoritmia8.com o bien llámanos al (+34) 93 786 87 77.