Navegar por los requisitos de cumplimiento puede ser complejo porque hay muchos y hay muchas posibilidades de que al menos un conjunto de estándares se aplique a su caso. Los estándares pueden ser para sectores específicos, como la Ley de Responsabilidad y Portabilidad de Seguros Médicos (HIPAA) para la atención médica, o pueden aplicarse de manera más general a organizaciones de todas las industrias, como el Reglamento General de Protección de Datos (GDPR).

Si bien puede resultar confuso intentar determinar qué estándares se aplican a su organización durante una auditoría de cumplimiento, una cosa está clara. El cumplimiento no se aplica sólo a las grandes corporaciones; se aplica incluso a las pequeñas y medianas empresas.

Entonces, intentemos comprender qué es el cumplimiento normativo, qué tan importante es para su negocio y el importante papel que desempeña TI en la gestión y el mantenimiento de los distintos estándares de cumplimiento.

¿Qué es el cumplimiento normativo?

El cumplimiento normativo es el proceso de adherirse a los estándares y requisitos regulatorios para seguir las mejores prácticas y cumplir con las leyes y regulaciones requeridas para operar en sectores y/o geografías específicos. Le ayuda a seguir las regulaciones comerciales y las mejores prácticas definidas y a realizar las acciones esperadas en caso de incumplimiento.

Las regulaciones de cumplimiento generalmente cubren cómo se manejan y almacenan los datos, cómo se usan, qué tan fácil es eliminar datos personales a pedido, qué protecciones existen, etc.

Gran parte del cumplimiento normativo tiene que ver con el mantenimiento de registros. Es trabajo de su equipo de TI poder entregar pruebas de cumplimiento y comportamiento adecuado en caso de auditorías o infracciones. Esto puede ser un desafío para los equipos de TI de las pequeñas y medianas empresas, especialmente cuando intentan hacerlo manualmente porque el proceso puede llevar mucho tiempo y ser costoso.

Sin embargo, la mayoría de los procesos de cumplimiento, como la documentación y los informes, ahora se pueden automatizar con soluciones como Compliance Manager GRC. Le permiten determinar qué necesita documentar durante la preparación del cumplimiento. Puede, sin esfuerzo y sin aumentar su plantilla, entregar pruebas de cumplimiento en caso de incumplimiento o cuando sea necesario.

Compliance Manager GRC también ayuda a garantizar que cumpla con todos los requisitos de estándares específicos. Las normas reglamentarias suelen tener requisitos similares y pueden resultar confusos. Compliance Manager GRC ayuda a aportar claridad a sus esfuerzos de cumplimiento y evitar la duplicación de trabajo. ¿La mejor parte? No es necesario gastar mucho dinero para implementar esta solución.

¿Por qué es importante el cumplimiento normativo?

El cumplimiento normativo es importante porque le ayuda a:

• Seguir las mejores prácticas para el manejo y gestión de datos, ciberseguridad, etc.
• Cumplir obligaciones legales.
• Generar confianza y lealtad del cliente.
• Proteja la reputación de su organización.
• Minimizar el daño reputacional en caso de incumplimiento.
• Evite fuertes multas por incumplimiento.

Durante un incidente de pérdida de datos, es deber de TI mostrar pruebas de que usted cumplió plenamente con las normas antes del ataque y proporcionar los datos necesarios para responder de acuerdo con el estándar. En caso de una auditoría, debe poder demostrar fácilmente el cumplimiento y proporcionar evidencia de que puede responder rápida y adecuadamente a cualquier posible incumplimiento. La única manera de hacerlo es cumpliendo y documentando evidencia de cumplimiento en forma de políticas y procedimientos de TI, planes de acción, informes de evaluación de riesgos, informes de actividad, etc.

Si se descubre que su organización no cumple, corre el riesgo de sufrir graves daños financieros y de reputación.

La sanción por no cumplir el RGPD es del 4% de la facturación de tu empresa o 20 millones de euros, lo que sea mayor.

Estándares de cumplimiento que debe conocer

Veamos algunas de las regulaciones más reconocidas en el mundo:

• Reglamento general de protección de datos (GDPR): es uno de los estándares de cumplimiento más estrictos del mundo y se aplica a cualquier empresa dentro o fuera de la Unión Europea (UE) que recopile y procese datos personales: cualquier información relacionada con una persona identificable. — de ciudadanos de la UE. La sanción por no cumplir con el RGPD es del 4% de tu facturación o 20 millones de euros, lo que sea mayor. También es un conjunto integral de regulaciones y ha inspirado legislación similar en otras jurisdicciones (por ejemplo, la Ley de Privacidad del Consumidor de California y la Ley General de Protección de Datos de Brasil). Cumplir con el RGPD puede ser una tarea desalentadora para las pequeñas y medianas empresas. Sin embargo, la UE lo reconoce y ha creado recursos dedicados para ayudar a su organización a cumplir con el RGPD.
• Ley de Responsabilidad y Portabilidad del Seguro Médico (HIPAA): HIPAA es una ley federal que exige la necesidad de estándares nacionales en los EE. UU. para proteger la información confidencial de los pacientes. Impone la regla de privacidad, que exige que la información confidencial de salud del paciente no pueda divulgarse sin el consentimiento o conocimiento del paciente, a organizaciones como hospitales, compañías de seguros médicos, etc.
• Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS): El PCI DSS es un conjunto de estándares de seguridad que se aplica a todas las empresas que manejan información de tarjetas de crédito. Es administrado por el Consejo de Estándares de Seguridad de la Industria de Tarjetas de Pago (PCI SSC), que se estableció en 2006 para desarrollar los estándares de seguridad y mejorar la participación de la industria en la creación de canales de pago seguros para las empresas.
• Ley Sarbanes-Oxley (SOX): SOX es una ley estadounidense que regula la información y la divulgación financiera de todas las empresas que cotizan en bolsa, incluidas las empresas extranjeras que cotizan en bolsa y hacen negocios en los EE. UU. Describe estándares para el gobierno corporativo, la evaluación y gestión de riesgos. auditoría e informes financieros de empresas públicas, e incluye disposiciones destinadas a disuadir y castigar el fraude contable corporativo y la corrupción.
• Ley de Intercambio de Información sobre Seguridad Cibernética (CISA): CISA es una ley estadounidense que alienta a las empresas a monitorear e implementar medidas defensivas en sus propios sistemas de información y luego compartir “indicadores de ciberamenazas” y “medidas defensivas” críticos con los gobiernos federal, estatal y local y con el sector privado. empresas para combatir las ciberamenazas y crear una infraestructura de ciberseguridad más resistente para el futuro.
• Programa federal de gestión de autorizaciones y riesgos (FedRAMP): FedRAMP es un programa del gobierno de EE. UU. que establece estándares de seguridad para los proveedores de servicios en la nube que trabajan con agencias federales. Se estableció en 2011 para brindar a las empresas un enfoque basado en riesgos para la adopción y el uso de servicios en la nube.
• ISO 27001: ISO 27001 es un estándar global de seguridad de la información que proporciona un marco para establecer, implementar, mantener y mejorar continuamente un sistema de gestión de seguridad de la información (SGSI). Ayuda a las empresas a ser conscientes de las últimas amenazas y tomar medidas para abordar sus vulnerabilidades en un intento por mejorar la evaluación y gestión de riesgos, la resiliencia cibernética y la excelencia operativa.

Esta no es una lista exhaustiva. Dependiendo de la industria en la que se encuentre, dónde se encuentre y el tipo de datos que maneje (información de identificación personal o PII, información financiera, información de salud protegida, etc.), es posible que existan otras regulaciones que se apliquen a usted también.  

Lograr el cumplimiento normativo

Para las pequeñas y medianas empresas que aspiran a lograr el cumplimiento normativo, es importante prepararse bien y asumir esto como un desafío. Podría abordarlo como cualquier otro proyecto y adoptar los siguientes pasos de preparación para el cumplimiento:

1. Identifique los estándares que se aplican a su organización según su industria, ubicación y el tipo de datos que maneja. Recuerde, no tiene otra opción en cuanto al cumplimiento; se espera que usted cumpla con ciertos estándares. Al identificar los estándares que se aplican a su organización, puede concentrar eficientemente su tiempo, energía y recursos en su intento de cumplirlos.
2. Evalúe los riesgos en sus sistemas y procesos de TI y desarrolle e implemente un plan para abordar las vulnerabilidades para que pueda cumplir con los estándares de cumplimiento. Implemente controles de seguridad como firewalls, cifrado, etc., para mantener sus datos y sistemas a salvo de accesos no autorizados e infracciones.
3. Implemente políticas y procedimientos que describan su enfoque de cumplimiento en un lenguaje que sea fácil de entender para todos los empleados. Revisar y actualizar estas políticas periódicamente para incorporar cambios en regulaciones y estándares.
4. Involucre a sus empleados en iniciativas de capacitación diseñadas para aumentar su conocimiento de las políticas y procedimientos de cumplimiento y explique el papel que desempeñan en el mantenimiento del cumplimiento. Este debería ser un proceso continuo que mantenga a los empleados comprometidos e informados de todos los cambios. Para algunas normas, especialmente las más centradas en la seguridad, la formación del personal es un requisito.
5. Supervise y pruebe sus sistemas continuamente para identificar y mitigar peligros potenciales.
6. Obtenga asesoramiento experto de profesionales legales y de TI a lo largo del camino para comprender mejor los requisitos de cumplimiento y asegurarse de cumplir plenamente con todos los estándares que se aplican a usted.

Navegando por los estándares de cumplimiento

El cumplimiento normativo ayuda a seguir las mejores prácticas que mantienen seguros a su empresa y a sus clientes. Es importante que las pequeñas y medianas empresas eviten pagar multas elevadas por incumplimiento y protejan su reputación.

Aunque el cumplimiento normativo puede parecer difícil y complejo, existen soluciones como Compliance Manager GRC que ayudan a identificar y cumplir los requisitos de cumplimiento sin realizar grandes inversiones.