Para mejorar el cumplimiento en su empresa, empiece por mejorar su plan de seguridad: Fortinet
Llevar a cabo un efectivo cumplimiento regulatorio en una empresa no tiene que ser un proceso complicado, sino parte del gobierno de TI en general. David Ramírez de Fortinet nos lo explicó.
Para muchas empresas de América Latina, cumplimiento es sinónimo de cumplir las leyes de privacidad de la información, y punto. Sin embargo, cuanto más crece una organización y empieza a operar en diferentes países, cumplir con diferentes legislaciones y normativas internacionales se vuelve un tema complejo. Aunque implementar una estrategia de cumplimiento, en sí, no es materia compleja, según nos comentó David Ramírez, director del área de Mexico System Engineers en Fortinet.
SearchDataCenter en Español conversó con él sobre la cercanía entre el cumplimiento y la seguridad de la información, los retos que enfrentan las empresas de la región en este frente y cuál es el panorama del cumplimiento en los países latinoamericanos.
¿Debe la estrategia de cumplimiento de una empresa ser parte de la estrategia de seguridad, debe ser independiente o debe estar más bien cerca del área legal?
David Ramírez: El cumplimiento regulatorio tiene múltiples aristas. Desde solicitudes mandatorias por industria, requerimientos del mercado financiero por parte de la Comisión Nacional Bancaria y de Valores, regulaciones federales –como la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP), que aplica a cualquier organización que procese datos personales como parte de sus procesos– hasta normatividad no obligatoria, que puede ayudar a simplificar la operación de TI, y establecer políticas y procedimientos para el gobierno de TI de una organización, de tal forma que se convierta en motor para ser más eficiente.
Así, una estrategia de cumplimiento, en su concepto más básico, debe formar parte de la visión de una organización, con patrocinio del rango más alto de la empresa. Emanando de esta autoridad, ésta debe permear a todas las áreas, siendo seguridad de la información una entidad que perfectamente puede coordinar el esfuerzo de cumplimiento. Esto no significa que otros departamentos no pueden tomar dicho liderazgo, solo que seguridad de la información, al requerir un equipo multidisciplinario –idealmente con conocimientos normativos y tecnológicos– está en una postura ideal para apoyar a todas la áreas de una empresa a coordinar dicho esfuerzo.
¿Cuáles son los principales retos en materia de cumplimiento que enfrentan las empresas en América Latina?
David Ramírez: El principal reto es la falta de regulación a través de Latinoamérica. Si bien existen esfuerzos aislados en México, Chile, Colombia, Brasil, etc., algunas de estas regulaciones son altamente complejas de implementar, pues en su construcción no se enfocaron en la practicidad de la misma. Así, lo más importante es que las empresas busquen el marco de referencia que tenga mayor sentido para su industria, para implementar la normatividad que vaya de acuerdo al negocio y las necesidades regulatorias de su país.
¿Hay principios de cumplimiento básico para PyMEs, más allá de seguir las leyes de privacidad de datos y almacenamiento de documentos de cada país?
David Ramírez: Un mito del cumplimiento es que este es complejo. Lo más importante para la implementación de un plan de seguridad es la visión organizacional para establecer la información más crítica y los riesgos sobre ésta. Con estos datos se puede armar una implementación del plan lo más práctico posible para las necesidades de la empresa, de tal forma que pueda ser más eficiente, automatizada y, por ende, rentable en su negocio. Cabe mencionar que los esquemas de mejores prácticas, las políticas básicas (uso de internet, cómputo, correo, etc.) son un buen comienzo, siempre teniendo en cuenta que el cumplimiento regulatorio usualmente está basado en normatividades holísticas que llevan al gobierno de TI.
¿Cómo manejar la superposición de las normas de cumplimiento locales vs las internacionales, tomando en cuenta que con la globalización y digitalización los negocios cruzan fronteras?
David Ramírez: Siguiendo la respuesta anterior, las normatividades usualmente son réplicas de lo implementado en los países con más madurez en gobierno de TI, como Inglaterra, la Unión Europea y Estados Unidos. Esto no es casualidad, pues "no es necesario inventar el hilo negro"; lo más importante es tropicalizar estas [normas] para [adaptarlas a] las necesidades latinoamericanas de su industria. Esto es cierto cuando realizan su identificación de activos críticos, su análisis de riesgos y establecen su plan de seguridad con las acciones correspondientes. Una implementación como esta es perfectamente documentable, y tiene validez ante cualquier tipo de auditoría, siempre y cuando se apoyen en entidades externas que puedan certificar y/o auditar su cumplimiento.
¿Qué tan arraigada está la cultura de cumplimiento en América Latina?
David Ramírez: La información que tengo sobre la industria de la regulación en Latinoamérica es limitada. En mi experiencia en el medio, las implementaciones más comunes de normatividad convergen en requerimientos mandatorios federales o de industria. Sin embargo, existe cada vez más una necesidad de formalizar los procesos de TI para establecer un gobierno de TI. Dichos esfuerzos se realizan por etapas, las cuales tomarán tiempo de acuerdo al tamaño de la organización que los esté implementando.
¿Cuáles son las principales herramientas de TI para el cumplimiento?
David Ramírez: Las herramientas de TI son, en términos de cumplimiento, controles de seguridad. Dichos controles son la herramienta tecnológica que permite la aplicación de políticas de seguridad en las organizaciones. Este punto es todavía la base principal del cumplimiento en muchas empresas. Sin embargo, como mencioné anteriormente, cada vez son más las compañías que comienzan a apoyarse en mejores prácticas, hasta llegar a la formalización de un análisis de riegos para la implementación de un plan de seguridad. Así, herramientas tecnológicas como la gestión unificada de amenazas, firewalls para aplicaciones web, protección de contenido de correo electrónico, protección de puntos finales, distribución de contenido en aplicaciones, seguridad en redes inalámbricas y protección contra amenazas persistentes avanzadas (APT), son componentes/controles de seguridad indispensables en la implementación de políticas y procesos de seguridad en las organizaciones.