En estos días, el cumplimiento con las regulaciones en relación a la protección de los datos parece ser lo que motiva la inversión en seguridad. Así lo confirma un estudio reciente, según el cual por lo menos el 50% de las inversiones en seguridad tienen como fin conformarse a las exigencias de alguna regulación.

Si analizamos el origen de la mayoría de las regulaciones, nos daremos cuenta de que por lo general surgen como respuesta ante brechas o incidentes relacionados con la fuga de datos. Así por ejemplo, la ley Sarbanes-Oxley surge como consecuencia de los escándalos de Enron, WorldCom y otras empresas que presentaban irregularidades en sus estados financieros; PCI por su lado, es producto de las numerosas brechas de seguridad en las que datos de tarjetahabientes se han visto comprometidos.

Aparentemente, las regulaciones son la respuesta de los gobiernos y/o las entidades reguladoras ante la aparente falta de compromiso o negligencia total de algunas organizaciones por implantar seguridad y gestionar los riesgos de tecnología de la información de una forma proactiva. En otras palabras, es lo que sucede cuando no hacemos nuestra tarea.

Aunque lograr conformidad con las regulaciones ayuda a mejorar la postura de seguridad, lo mismo no debe ser el único propósito de un programa de seguridad y/o gestión de riesgo. Esto es así porque las regulaciones no están formuladas sobre el contexto de cada organización que debe cumplir con ellas, en adición a que por lo general prescriben controles que buscan proteger áreas o aspectos específicos del ambiente informático (Por ejemplo, Sarbanes-Oxley se enfoca en la integridad de la información financiera mientras que PCI DSS en los datos del tarjetahabiente) y no apuntan a mitigar todos los riesgos a que está expuesta una organización.

Podemos decir que para los fines de la tecnología y activos de información, existen tres tipos principales de riesgo: operativos, comerciales y legales. Al enfocarse únicamente en cumplir con las regulaciones, se está atacando mayormente un tipo de riesgo (el legal) y olvidando el resto. Esto podría deberse a que el riesgo de incumplimiento se percibe de forma más tangible que el riesgo derivado de una brecha de seguridad. Es decir, el incumplimiento conlleva sanciones legales, posibles multas, litigios y otros impactos con los que la gerencia está más familiarizada.

No hay nada de malo en establecer como prioridad en determinado momento lograr cumplir con los requisitos regulatorios aplicables, especialmente si hay presión por parte de los órganos reguladores y/o si se percibe un riesgo legal y/o comercial elevado como consecuencia del incumplimiento. Estos son aspectos coyunturales que podrían justificar enfocarse en las regulaciones si el riesgo es correctamente analizado y hace sentido comercial. Pero establecer cumplimiento como el único objetivo de un programa de gestión de riesgo es algo así como “poner la carreta delante del caballo”.

De nuevo, un programa de cumplimiento es parte esencial de un sistema de gestión de seguridad. Así lo reflejan los estándares mundialmente reconocidos, tales como ISO 27001 e ISO 27002, donde cumplimiento es uno de los 11 dominios que en conjunto definen mejores prácticas en seguridad de la información.

Nuestra recomendación: Cumpla con las regulaciones, pero no se olvide de atacar el problema desde una perspectiva más amplia. Esto quiere decir, implementar un sistema de gestión de seguridad de información alineado a los estándares y mejores prácticas de la industria, tales como ISO 27001, COBIT, FISMA, entre otros; los cuales se basan en un análisis de los riesgos y las necesidades de seguridad particulares al ambiente de la entidad.

Un gran beneficio de implantar un sistema de gestión de seguridad de la información es que constituyen una sombrilla para lograr cumplimiento con múltiples regulaciones, las cuales deben ser debidamente identificadas y su cumplimiento gestionado al igual que los demás controles del ambiente.

Aunque los beneficios son múltiples y a menudo bien comprendidos por los profesionales de seguridad y/o gobierno de TI, el reto yace en comunicar estos beneficios a la administración e influenciarles para cambiar su enfoque y lograr apoyo para un programa integral de seguridad, gestión de riesgo y cumplimiento.