Empresas TICs y bufetes especializados han encontrado en el cumplimiento normativo asociado a la transformación digital un nicho de mercado común e idóneo para la colaboración.
La introducción de la Inteligencia Artificial (IA), los servicios cloud, la domotización y la exposición en redes sociales (de las empresas y de sus empleados), entre muchos otros retos, obligan a las organizaciones embarcadas en la transformación digital a hacer una correcta mediación y gestión de sus riesgos tecnológicos. Es un esfuerzo de tanta envergadura y especialización que necesita de un programa de cumplimiento específico: se trata del compliance tecnológico, en el que firmas TIC y bufetes especializados hemos encontrado un nicho común de oportunidades, trabajando de forma conjunta en tareas como establecer la propiedad de los sistemas operativos, delimitar el acceso por parte de los usuarios, la asignación de claves y política de contraseñas, la gestión de incidencias, uso de los recursos telemáticos y dispositivos fuera y dentro de la empresa, así como las licencias de software y la confidencialidad y protección de datos.
De forma más sistemática, éstas las principales funciones clave del denominado compliance tecnológico:
-Seguridad de la información. Un programa de cumplimiento debe establecer las directrices de gestión de la seguridad de la información, de acuerdo con los requisitos del negocio y las leyes y normativa pertinentes. Debe asimismo definir la organización interna y un marco de gestión para controlar la implementación y operación de la seguridad de la información dentro de la organización.
–Dispositivos móviles y teletrabajo. El compliance tecnológico debe garantizar la seguridad en el uso profesional de dispositivos móviles e implantar medidas para proteger la información accedida, tratada o almacenada en emplazamientos de teletrabajo.
-Recursos humanos. Este programa debe crear mecanismos para que empleados y contratistas entiendan sus responsabilidades con respecto a la seguridad de la información y las apliquen de acuerdo a la normativa interna y externa
-Gestión de activos. Corresponde al compliance identificar los activos de la organización y definir las responsabilidades de protección adecuadas.
-Clasificación de la información. Se trata de asegurar que la información reciba un nivel adecuado de protección de acuerdo con su importancia para la organización y su criticidad ante revelación o modificación no autorizadas.
-Manipulación de soportes y acceso a la información. Implementar las políticas para evitar la revelación, modificación, eliminación o destrucción no autorizadas de la información almacenada en soportes.
-Acceso a la información, sistema y aplicaciones. Asimismo, establecer y documentar la política de control de acceso a los recursos de tratamiento de la información y a la información. Garantizar el acceso de usuarios autorizados y evitar el acceso no autorizado a los sistemas, servicios y aplicaciones.
-Controles criptográficos. Establecer la política para garantizar un uso adecuado y eficaz de la criptografía para proteger la confidencialidad, autenticidad y/o integridad de la información.
-Seguridad física y del entorno. Establecer las medidas adecuadas para preservar la seguridad física y del entorno, previniendo el acceso no autorizado, los daños e interferencias a la información de la organización y a los recursos de tratamiento de la información.
-Seguridad de los equipos y de las operaciones. Definir las medidas para evitar la pérdida, daño, robo o compromiso de los activos y la interrupción de las operaciones de la organización. Establecer los procedimientos y responsabilidades operacionales.
-Protección contra el malware y copias de seguridad. Definir las medidas para asegurar que los recursos de tratamiento de la información y la información están protegidos contra el malware, y establecimiento de política de copias de seguridad.
-Seguridad de las comunicaciones. Definir los procedimientos para asegurar la protección de las redes y mantener la seguridad de la información que se transmite dentro de la organización
No están todas las que son, pero son todas las que están. Todas son funciones clave, en las que la perspectiva tecnológica no es suficiente, sino que debe estar asociada a la jurídica, al cumplimiento de los requisitos legales y contractuales. Se trata de salvaguardar procesos y además documentarlos.
Autor: Francisco José Fernández Romero
Socio-director de Cremades Calvo Sotelo Sevilla