El cumplimiento normativo es una prioridad cada vez mayor para los equipos de ciberseguridad, ya que enfrentan crecientes riesgos de ciberseguridad, aumentan su uso de la tecnología y luchan por navegar en un panorama legislativo en rápida evolución. El incumplimiento de las regulaciones consagradas en leyes como la Ley de Protección de Datos del Reino Unido de 2018 y la Ley de IA de la UE podría dar lugar a multas importantes. Pero con los equipos de ciberseguridad ya sobrecargados y bajo presión de la alta dirección, no es nada sencillo.
Aquí es donde los estándares de la industria pueden desempeñar un papel enorme para ayudar a optimizar el cumplimiento normativo.
El cumplimiento no es fácil
El cumplimiento es un desafío creciente para muchos profesionales de la ciberseguridad. en un encuesta reciente De 200 tomadores de decisiones en tecnología realizados por Infosecurity Europe, casi la mitad (44%) admite que tienen dificultades para cumplir con la legislación de ciberseguridad porque es demasiado difícil de entender y requiere demasiado tiempo para implementarla.
Revela que, de 12 regulaciones de ciberseguridad existentes y emergentes, la Ley Sarbanes-Oxley (SOX) de EE. UU. se encuentra entre las más complicadas de implementar. De hecho, el 41% de los encuestados lo calificó como “muy complejo”. Mientras tanto, el 75% de los profesionales de la ciberseguridad cree que la Ley de Protección de Datos del Reino Unido, la Ley de Ciberseguridad de la UE y NIS/NIS2 son “algo complejas” de cumplir.
En otras partes de este estudio, el 24% de los encuestados dice que la Ley de Ciberseguridad de la UE y el Conjunto de Herramientas de Protección y Seguridad de Datos (DSPT) son las regulaciones más relevantes para sus organizaciones, seguidas por la Ley de Protección de Datos del Reino Unido (22%). Es alarmante que solo el 50% de las organizaciones cumplan plenamente con SOX y la Ley de Ciberseguridad de la UE, lo que ilustra los desafíos que enfrentan los equipos de ciberseguridad y cumplimiento en medio de un panorama regulatorio en rápida evolución.
Estas cuestiones también se destacan en el informe de ISMS.online. El estado de la seguridad de la información 2024 informe, que sitúa el cumplimiento de regulaciones y estándares como el segundo mayor desafío al que se enfrentan los equipos de ciberseguridad (33%). En otro hallazgo clave del informe, casi la mitad (46%) de los encuestados dice que el cumplimiento de la norma ISO 27001 puede durar entre seis y 12 meses. Un 11% adicional necesitaría entre 12 y 18 meses para lograr este objetivo, lo que se extiende a más de un año y medio para el 5% de los encuestados.
La carga crece
Una de las principales razones por las que a los equipos de ciberseguridad les resulta tan difícil cumplir es la creciente escala y complejidad de las regulaciones de la industria, según Richard Breavington, socio del bufete de abogados RPC.
"La gran cantidad de legislación que podría afectar a las organizaciones, junto con el hecho de que están cambiando y actualizándose rápidamente, significa que puede ser un desafío garantizar el cumplimiento", le dice a ISMS.online. “Además, estas regulaciones requieren diferentes estándares técnicos y organizativos que no necesariamente son uniformes”.
Steven Wood, director de consultoría de soluciones de la firma de seguridad de TI OpenText Cybersecurity, culpa en parte de este dolor de cabeza de cumplimiento al uso no autorizado de tecnología de consumo, fusiones inesperadas, inversión insuficiente y la presión constante para mantenerse por delante de la competencia.
"A medida que el panorama de amenazas continúa evolucionando, los equipos de seguridad enfrentan el desafío de proteger los entornos de TI dinámicos y al mismo tiempo cumplir con estrictos requisitos de cumplimiento", le dice a ISMS.online. "Además, las amenazas en evolución como el phishing, los ataques a la cadena de suministro, las amenazas internas y las vulnerabilidades de día cero requieren un enfoque multifacético de la ciberseguridad".
Sean Wright, líder de seguridad de aplicaciones en Featurespace, sugiere que la creciente brecha de habilidades en ciberseguridad (un desafío importante identificado por el 31% de los encuestados en el estudio ISMS.online) significa que muchas organizaciones simplemente no tienen los recursos para cumplir con las regulaciones nuevas y emergentes. .
Le dice a ISMS.online que el cumplimiento rara vez es un ejercicio “único” para las empresas, sino que requiere la atención continua de los equipos de ciberseguridad. Agrega que los cambios constantes en las leyes existentes, junto con la introducción de nuevas regulaciones, aumentan la carga y la carga de trabajo de los equipos de ciberseguridad, lo que les facilita pasar por alto o pasar por alto detalles clave.
Simplificación del cumplimiento
Breavington de RPC cree que las organizaciones podrían agilizar el proceso delegando la creación e implementación de un “plan de cumplimiento significativo” a un equipo dedicado de profesionales especialmente capacitados.
Estos expertos tomarían la iniciativa en la identificación de regulaciones relevantes, la comprensión de los requisitos legales clave y la garantía de que su organización cumpla plenamente, afirma.
“En la medida de lo posible, vale la pena tratar de encontrar estándares técnicos consistentes que permitan el cumplimiento en todos los ámbitos, incluso si eso significa potencialmente ir más allá de lo necesario para algunas de las regulaciones”, argumenta.
Educar a los empleados sobre las últimas tendencias en seguridad de la información, ingeniería social y cumplimiento también puede ayudar a las organizaciones a cumplir mejor con las regulaciones de ciberseguridad y proteger su reputación, sostiene Wood de OpenText Cybersecurity.
“Los programas integrales de educación de los empleados son vitales para evitar que se exploten las vulnerabilidades humanas”, afirma.
Wright, de Featurespace, insta a los equipos de ciberseguridad a implementar procesos “robustos” y “repetibles” para cumplir con las obligaciones regulatorias vigentes. También los alienta a automatizar "elementos repetibles" para que estos compromisos no agoten recursos cruciales de ciberseguridad.
Las empresas pueden aumentar la eficacia de sus programas de cumplimiento de ciberseguridad asegurándose de que cada miembro del equipo comprenda la importancia de estas regulaciones, continúa. Esto garantizará que el cumplimiento “no se convierta simplemente en un esfuerzo del equipo de seguridad sino en un esfuerzo de toda la empresa”.
La importancia de la norma ISO 27001
Al implementar un estándar industrial reconocido mundialmente como ISO 27007, las organizaciones pueden desarrollar las mejores prácticas necesarias para mejorar su postura de ciberseguridad y, en última instancia, satisfacer los requisitos de los reguladores.
Breavington de RPC explica que estas acreditaciones son fáciles de actualizar y demostrarán el compromiso continuo de una organización con el cumplimiento normativo. Sugiere que este es un enfoque más eficaz que “hacer un seguimiento de los múltiples y potencialmente menos específicos requisitos legales y reglamentarios”.
Wright también ve el valor de seguir la norma ISO 27007, creyendo que permitirá a las organizaciones mejorar la confianza de los clientes en su enfoque de ciberseguridad y cumplimiento. Agrega que las soluciones técnicas como un sistema de gestión de seguridad de la información (SGSI) les permitirían optimizar y cumplir con algunos requisitos de cumplimiento y, al hacerlo, “liberar recursos” en equipos de ciberseguridad agotados y sobrecargados de trabajo.
Dadas las posibles repercusiones financieras y de reputación, el incumplimiento de las regulaciones de la industria no es una opción. Pero con la ayuda de programas de concientización de los usuarios, las mejores prácticas de la industria y las últimas herramientas automatizadas de ciberseguridad, al menos hay una manera para que las organizaciones reduzcan la carga.
