La era del cumplimiento normativo: cómo la regulación, la tecnología y el riesgo están reescribiendo las normas empresariales

El cumplimiento normativo no es lo más atractivo para la mayoría de los líderes empresariales. Quizás lo consideren una necesidad para evitar la presión regulatoria, pero también algo que puede delegarse en un empleado con menos experiencia o, al menos, gestionarse de forma puntual.

Pero como la tecnología se ha convertido en el elemento vital de la mayoría de las empresas modernas, los delincuentes se aprovechan de ella y los reguladores y otras partes interesadas presionan en consecuencia a las empresas para que se tomen el cumplimiento más en serio, ese enfoque ya no es sostenible.

El cumplimiento normativo y la gobernanza deben ser ahora un ejercicio continuo, respaldado por marcos unificados y la aceptación de los líderes, para contrarrestar la creciente cantidad de riesgos de información, ciberseguridad y de la cadena de suministro que enfrentan las empresas y sus grupos de interés. ¿Cómo se puede lograr esto?

El riesgo cibernético es un riesgo empresarial

Un factor clave en la transición del cumplimiento normativo, de un simple trámite a una prioridad estratégica en las operaciones diarias de las empresas, es la enorme cantidad de leyes, regulaciones, estándares y buenas prácticas que ahora se espera que cumplan, según Stephanie Locke, jefa de producto de Nightingale HQ, expertos en IA. Locke afirma que el incumplimiento puede tener importantes consecuencias para la reputación y las finanzas.

Entre los ejemplos notables de leyes y regulaciones que han impulsado este cambio se incluyen la Directiva de Seguridad de las Redes y la Información 2 (NIS2) de la Unión Europea y su emblemática Ley de Inteligencia Artificial, sin mencionar las diferencias en los estándares de privacidad de datos en diferentes partes del mundo. Dado que la tecnología está profundamente arraigada en todas las áreas de las operaciones de una organización, Locke afirma que los consejos de administración están prestando mucha atención a estas normas y ahora consideran el riesgo de TI como un riesgo empresarial.

Con el ecosistema tecnológico —y el marco regulatorio diseñado para controlarlo— en rápida evolución, Locke afirma que las empresas ahora se ven obligadas a gestionar el ciberriesgo de forma continua, en lugar de periódica. Añade: «La IA, en particular, genera nuevos riesgos operativos, legales y de reputación, y es probable que los patrones de aplicación temprana reflejen el impacto disruptivo que tuvo el RGPD tras su lanzamiento».

En una línea similar, Jake Moore, asesor global de ciberseguridad de ESET, fabricante de software antivirus, afirma que el auge de marcos legales como NIS2 y la Ley de IA de la UE ha convertido el ciberriesgo en un riesgo empresarial. Con esto en mente, afirma que ambas leyes exigen responsabilidades a nivel directivo y subraya que el cumplimiento normativo dicta ahora los modelos operativos, y no al revés.

Le comenta a IO: «El coste de equivocarse es alto, y las casillas de verificación no siempre son suficientes. El cumplimiento normativo puede ser un proceso más largo, pero demuestra que las organizaciones pueden operar de forma segura y a gran escala».

Los reguladores se están volviendo más inteligentes

Sin embargo, los reguladores no solo avanzan con rapidez para introducir y modificar las leyes del sector. También trabajan mucho más rápido entre bastidores para detectar empresas que puedan estar incumpliendo sus normas, gracias a los avances en inteligencia artificial.

Utilizando IA, Lee Bryan, fundador y director ejecutivo de Arcus Compliance, proveedor de soluciones de cumplimiento, afirma que los reguladores pueden analizar productos, embalajes, datos y documentación a gran escala y en categorías completas. La tecnología también les permite detectar lagunas, inconsistencias y afirmaciones falsas al instante.

Agrega que un cambio tan importante en el modo en que trabajan los reguladores significa que las marcas ya no pueden "esconderse detrás del volumen, la geografía o los controles manuales lentos", lo que significa que no tienen más opción que tratar el cumplimiento como una actividad comercial crucial o ser golpeadas con una acción regulatoria.

Ya no es una ocurrencia tardía

Los reguladores no son el único grupo que espera que las empresas tomen en serio el cumplimiento.

Otras partes interesadas, como inversores, clientes y socios, examinan cada vez más la postura de seguridad y privacidad de las empresas antes de firmar contratos, e incluso después.

Ante el aumento de ciberataques a la cadena de suministro, como el sufrido por SolarWinds, Locke, de Nightingale, afirma que las empresas son conscientes de los riesgos que pueden suponer los proveedores de tecnología externos si no cumplen con las mejores prácticas y normas de ciberriesgo. Añade: «Como resultado, la seguridad y la privacidad se han convertido en componentes fundamentales de la debida diligencia comercial y de inversión».

En concreto, cuando se trata de la debida diligencia digital, George Tziahanas, vicepresidente de cumplimiento de los especialistas en software de archivo Archive360, explica que los clientes potenciales pueden verse disuadidos de trabajar con empresas que no pueden explicar cómo almacenan, controlan y eliminan datos y ven esto como un "riesgo operativo".

Las partes interesadas actuales también esperan un alto nivel de cumplimiento normativo por parte de las empresas con las que trabajan, ya que buscan evitar verse implicadas en incidentes en la cadena de suministro. Tziahanas afirma que el incumplimiento podría resultar en que las empresas sufran sanciones contractuales, medidas regulatorias y un impacto en su reputación.

Evitando los silos

Sin embargo, el incumplimiento no se limita a que las empresas lo vean como un simple trámite. Tziahanas explica que las deficiencias en el cumplimiento, como controles inconsistentes, registros incompletos y datos poco fiables, pueden generar problemas como informes falsos, certificaciones fallidas y retención excesiva de datos.

Para evitar esto, lo ideal es que las empresas combinen todos los aspectos del cumplimiento normativo (riesgo, seguridad, privacidad y continuidad) en un único hilo conductor de gobernanza. Según Moore, de ESET, esto permitirá que su postura en materia de cumplimiento y riesgo pase de una "extinción reactiva" a una "proactiva", lo que, al mismo tiempo, "ahorra dinero y costes ocultos".

John Phillips, director general para EMEA del proveedor de software de contabilidad FloQast, también ve las ventajas de un enfoque unificado y proactivo para el cumplimiento normativo y la gestión de riesgos cibernéticos. Afirma que los equipos que adoptan este enfoque pueden «anticipar cambios internos y externos, alinearse con la dirección desde el principio y concentrar los recursos donde generen el mayor impacto».

Cumplir con las normas y mejores prácticas del sector en las primeras etapas de una nueva empresa o producto también puede ser beneficioso a largo plazo. Para empezar, Tziahanas, de Archive360, afirma que evitará costosas modificaciones, ya que las normas de clasificación, retención y eliminación ya estarán definidas e implementadas.

Una sólida postura de cumplimiento también ayudará a las empresas a construir relaciones sólidas con las partes interesadas, basadas en la confianza, añade Tziahanas. Esta es la clave para «facilitar ciclos de negociación más rápidos y una entrada más fluida al mercado».

Pasos prácticos

Cuando se trata de desarrollar e implementar una estrategia de cumplimiento sólida, los marcos industriales respetados como ISO 27001, ISO 42001, SOC 2 e ISO 27701 pueden ser un buen punto de partida.

Al describirlos como una guía básica para la gobernanza, Locke, de la sede de Nightingale, afirma que proporcionan a las empresas todos los fundamentos necesarios para cumplir con sus obligaciones de cumplimiento y gobernanza. Añade que estos marcos también permiten a las organizaciones y a sus grupos de interés comprometerse con expectativas y compromisos compartidos en materia de cumplimiento y gobernanza.

Una clara visibilidad de los riesgos también es importante. Bryan, de Arcus Compliance, explica que los líderes empresariales pueden no ser conscientes de los riesgos a los que se enfrentan porque «los datos, la documentación y los proveedores están dispersos en varios sistemas». Cree que esto se puede solucionar mediante la adopción de «sistemas ágiles, un enfoque basado en el riesgo y una auténtica cultura de cumplimiento».

Para Moore de ESET, la aceptación de los líderes es esencial para que los planes de cumplimiento y gobernanza funcionen. Pero esto solo se puede lograr educando a los líderes sobre el panorama de ciberamenazas en rápida expansión y cómo puede afectar a la empresa, afirma.

A primera vista, el cumplimiento normativo parece una tarea tediosa solo para complacer a los reguladores. Sin embargo, en realidad puede beneficiar a las empresas al permitirles detectar y resolver los riesgos antes de que causen daños graves. Al mismo tiempo, puede atraer clientes potenciales y fortalecer los vínculos con los existentes, todos ellos preocupados por los recientes ciberataques a la cadena de suministro y que desean asegurarse de que cualquier empresa con la que trabaje se tome en serio estos riesgos.