12 Jul Compliance en las empresas TIC: ¿Qué debo requisitos debo cumplir?
Vivimos en un mundo informatizado, en el que los delitos e infracciones pueden cometerse ya no sólo en el ámbito de lo físico, sino también en el digital o virtual. Las empresas dedicadas a las nuevas Tecnologías de la Información y la Comunicación (TIC) lo saben, y aunque estos posibles males pueden ocurrir en cualquier negocio (casi todos cuentan ya con presencia en Internet), este sector se trata de uno de los más vulnerables en materia de cumplimiento normativo o compliance. Precisamente para analizar los retos de las TIC en materia de compliance acaba de hacerse público el estudio “Gestión del compliance en el entorno TIC”, elaborado por la Asociación Española de Usuarios de Telecomunicaciones y de la Sociedad de la Información (Autelsi).
¿A qué retos se enfrentan las empresas TIC en materia de compliance?
El compliance depende muchísimo de los sistemas de información, y ello es motivo suficiente para lanzarse a la elaboración de un estudio que tiene como objetivo profundizar en un aspecto estratégico para las empresas TIC. El punto de partida es claro: la creciente dependencia de las nuevas tecnologías en el mundo de la empresa es tal que muchos negocios hoy en día operan exclusivamente en el entorno de la Sociedad de la Información. Se habla por ello de transformación digital y de globalización y de la innovación basada en la tecnología como motor de cambio. Miles de soluciones tecnológicas aparecen cada día, respondiendo a las necesidades de pymes y grandes corporaciones de todo tipo de industrias.
De ahí que aparezcan conceptos como Big Data, Cloud Computing, Internet de las cosas, Social Business, Open Source, Movilidad… Por eso es tan importante la gestión de riesgos en el marco de los departamentos TIC de cualquier empresa, identificando medidas, controles y evidencias que den apoyo al programa de compliance general.
¿Qué deben tener en cuenta las empresas TIC a la hora de elaborar su plan de cumplimiento normativo?
Los principales elementos de control se agrupan básicamente en:
• El control del entorno
• El análisis y gestión de riesgos
• Los sistemas de acceso y difusión de información y comunicación
• Las actividades de control y monitorización
Así, estas medidas y controles internos están soportados por políticas y procedimientos, establecidos por la organización con el objetivo de asegurar el cumplimiento normativo y legal, destacando los siguientes controles típicamente TIC:
• Definición de las políticas de seguridad de la información y de uso de los medios tecnológicos en que se soportan los procesos de negocio, incluyendo supervisión y revisión periódica del cumplimiento.
• Control de acceso basado en la necesidad de conocer mediante los que se regule el acceso a la información que también permite en control de las fugas de información.
• Auditoría a nivel de sistemas, aplicaciones, redes y sistema operativo mediante los que se identifique el acceso, la modificación y el borrado de la información.
• Destrucción y borrado seguro de la información crítica para el negocio de los medios de almacenamiento, así como aquella que se encuentre en formato papel.
• Respaldo y recuperación de la información crítica para el negocio.
• Controles de integridad de la información para evitar su alteración (sirvan de ejemplo servicios y soluciones informáticas como cortafuegos, IDS/IPS, software de gestión de derechos, aplicaciones para filtrar la información, etc.)
• Clasificación de la información según su nivel de criticidad para los procesos de negocio de la organización, lo que constituirá la base de las medidas de seguridad a aplicar.
• Securización (o cifrado) de la información transmitida por medios electrónicos (principalmente el correo electrónico o la mensajería instantánea).
• Monitorización de la actividad en los sistemas, aplicaciones, redes, etc., para asegurar la emisión de alarmas al detectarse comportamientos anómalos.