Los líderes de seguridad y cumplimiento terminaron el año 2023 como lo comenzaron, abrumados por el volumen y la complejidad de las nuevas reglas y regulaciones. Algunas se aplicarán sólo a tipos específicos de organizaciones. Otros pueden ser difíciles de evitar. Pero todo esto se suma a un panorama macro de más trabajo, especialmente para las empresas del Reino Unido con operaciones y/o socios en Europa y Estados Unidos.
Entonces, ¿qué cinco conclusiones podrían ser útiles a tener en cuenta para lo que probablemente será otro año muy ocupado por delante? Estas son nuestras principales lecciones aprendidas en 2023:
1. Es posible que las empresas del Reino Unido no vean el "dividendo del Brexit"
En varios casos este año, surgieron nuevas leyes en el Reino Unido que prometen deshacer parte de la "burocracia" que, según los defensores del Brexit, fue una razón clave para abandonar el bloque. uno es el Proyecto de Ley de Protección de Datos e Información Digital (DPDI), que según el gobierno ayudará a ahorrar miles de millones a las empresas del Reino Unido. Esta versión británica del GDPR incluye varias aclaraciones y excepciones que podrían hacer que la ley sea más favorable a las empresas, como garantizar que sólo las organizaciones involucradas en el procesamiento de datos de “alto riesgo” necesiten mantener registros. Sin embargo, las empresas del Reino Unido con operaciones en la UE tendrán que ceñirse a su actual marco de cumplimiento del RGPD –lo que el gobierno permitirá– y, por lo tanto, no podrán aprovechar estos beneficios o asumir la carga de aplicar dos regímenes de cumplimiento uno al lado del otro.
El segundo Regulaciones de redes y sistemas de información (NIS 2) pondrá a algunas empresas en un dilema similar, dada la Reino Unido está divergiendo del régimen el año que viene. El hecho de que los estados miembros deban implementar lo primero antes del 17 de octubre de 2024, mientras que los planes legislativos del Reino Unido siguen sin estar claros, podría generar mayores costos para los equipos de cumplimiento.
Estos casos nos recuerdan la necesidad de asociarnos con especialistas en cumplimiento capaces de centralizar y optimizar actividades dispares para equipos bajo presión.
2. El cumplimiento de la norma ISO 27001 es una excelente base para las empresas
Hemos visto nuevas propuestas de regulación y legislación a un ritmo vertiginoso a lo largo del año. Pero la buena noticia es que con un marco de seguridad sólido y de mejores prácticas, las organizaciones ya habrán hecho gran parte del trabajo pesado para muchas de estas nuevas reglas. Sin duda es cierto en el caso de la UE Ley de resiliencia operativa digital (DORA), Directiva NIS 2 y Ley de Resiliencia Cibernética (CRA), que se aplican a empresas de servicios financieros, operadores de servicios esenciales y fabricantes de productos con componentes digitales, respectivamente. También ayudará con el DPDI del Reino Unido, que está previsto que reemplace al RGPD. Y como informó ISMS.online a lo largo del año, los marcos de mejores prácticas pueden ayudar a mitigar el riesgo de deepfakes, amenazas a la cadena de suministro y muchas más.
Un informe reciente de Gartner afirmó que ISO 27001, y NIST (Instituto Nacional de Estándares y Tecnología) Ofrecer el rigor de gobernanza, los procesos y la estructura necesarios para impulsar el éxito de la seguridad de la información y la gestión de riesgos, independientemente del tamaño, la industria vertical o la competencia en gestión de seguridad/riesgos. Sin embargo, también encontró que el 41% de los clientes aún no había seleccionado un marco o había desarrollado su propio enfoque ad hoc, lo que podría generar brechas de control, desperdicio de recursos y equipos de seguridad sobrecargados.
3. Lo que sucede en el extranjero importa en casa
Los equipos de seguridad y cumplimiento no pueden vivir en el vacío, especialmente si su organización tiene operaciones en el extranjero o asociaciones con entidades extranjeras. Desde EE.UU., las nuevas normas de la SEC sobre divulgación de infracciones/incidentes afectarán a los proveedores de servicios dondequiera que estén. Exigirá a las empresas del Reino Unido en esta situación que potencialmente mejoren su juego en respuesta a incidentes y otros elementos de la postura de seguridad. Luego están DORA, NIS 2, la CRA y la Ley de IA de la UE, todo lo cual afectará a las organizaciones que venden en el bloque.
Algunas reglas aún no se han finalizado, pero las empresas que esperan obtener una ventaja en estos mercados querrán estar bien informadas, adecuadamente preparadas y asociarse con especialistas que puedan ayudar a que el cumplimiento sea un facilitador en lugar de un obstáculo.
4. Todavía hay mucho en el aire
Los equipos de cumplimiento anhelan certeza. Pero la creación y aprobación de nuevas leyes y regulaciones puede ser un proceso largo y complicado. Entonces, a finales de 2023, todavía no tenemos una fecha confirmada en la que las actualizaciones de DPDI o UKI NIS puedan convertirse en ley. Y partes de algunas leyes propuestas por la UE han resultado muy controvertidas, lo que podría retrasar su aprobación. La Ley de IA de la UE recientemente tuvo problemas cuando activistas destacados una nueva y peligrosa laguna jurídica que se introdujo después de la aprobación de la legislación en el parlamento. Efectivamente, permitiría a los desarrolladores decidir por sí mismos si su modelo de IA es de “alto riesgo” o no. Mientras tanto, la CRA también ha experimentado un importante rechazo por su trato a los desarrolladores de código abierto y su impacto potencialmente negativo en la divulgación de vulnerabilidades.
En el Reino Unido, actualizaciones propuestas a la Ley de poderes de investigación (IPA) También han sido duramente criticados por socavar la economía digital y potencialmente obligar a los proveedores de tecnología a abandonar el país. Todo lo cual significa que aún queda mucho por decidir. Pero los equipos de cumplimiento inteligentes observarán lo que probablemente no cambiará en la próxima legislación y determinarán qué pueden lograr con anticipación.
5. Hay mucho más por venir el próximo año
Puede que haya sido un 2023 muy ocupado, pero no se vislumbra una desaceleración para los profesionales de seguridad y cumplimiento el próximo año. Esto se debe a que continúa la cuenta regresiva para la implementación de varias regulaciones nuevas importantes, mientras que las autoridades pertinentes deben ultimar los detalles de otras. Por lo tanto, veremos que las organizaciones continúan poniendo su casa en orden para PCI DSS 4.0 cuando llegue oficialmente en marzo de 2025, así como para NIS 2 (17 de octubre de 2024). La CRA, DORA, DPDI y la Ley de IA de la UE deberían finalizar el próximo año, así como las actualizaciones del NIS del Reino Unido. Además, en el Reino Unido, abril de 2024 será la fecha límite de cumplimiento de la Ley de Infraestructura de Telecomunicaciones y Seguridad de Productos (PSTI), que fabricantes de impacto de productos inteligentes (IoT).
A medida que el nuevo año comienza en serio, las organizaciones deben buscar, siempre que sea posible, eliminar ineficiencias y silos, integrar el cumplimiento más plenamente en las operaciones y armarse con el conjunto adecuado de herramientas automatizadas para reducir la carga de los equipos.
Descubra su ventaja de cumplimiento en 2024
Si está buscando comenzar su viaje hacia un mejor cumplimiento, podemos ayudarlo.
Nuestra solución ISMS permite un enfoque simple, seguro y sostenible para el cumplimiento y la gestión de la información con ISO 27001, SOC 2, NIST y más de 100 marcos más. Descubra su ventaja competitiva hoy.
