Como se complementan Compliance y Ciberseguridad

Aunque parezcan dos disciplinas completamente diferentes en las organizaciones, tienen muchas cosas en común y pueden ser grandes aliados en las compañías y beneficiarse mutuamente. Compliance ya he comentado en otros artículos tiene una parte de conciencia colectiva para que todos los empleados actúen correctamente y no pongan en peligro a la organización. Algo parecido ocurre en los departamentos de seguridad informática y gran parte de su trabajo consiste en la prevención. Podemos poner un monton de controles, (firewalls, antivirus..etc) que si nuestro empleados no están concienciados no servirá para nada. En muchos foros de seguridad informática he escuchado “la seguridad somos todos” , ¿os suena compliance officer?

Para los responsable de compliance la implicación de la alta dirección es clave para el éxito de su trabajo. La cultura de las organizaciones viene marcada por la cultura de sus líderes, si el máximo ejecutivo de la compañía apuesta por el cumplimiento y la transparencia, estas conductas calaran en el resto de la organización. Sin embargo si los altos ejecutivos no se toman en serio el cumplimiento y buscan atajos para conseguir sus objetivos, más pronto que tarde esa empresa se verá envuelta en incomodas situaciones que pondrán en riesgo su supervivencia.

Si analizamos el eslabón más débil en ciberseguridad, este nos lleva a los empleados. Una correcta gestión de los accesos de los empleados ayudara en gran medida a evitar muchos de los continuos ataques informáticos que sufren a diario las organizaciones. Cuando hablamos en compliance de la primera línea de defensa también hablamos de los empleados. Son ellos los encargados de detectar los riesgos y evaluarlos.

Tanto en seguridad informática como en compliance, la prevención y la implicación de los empleados considero que son dos de las claves más importantes para que una empresa disminuya sus riesgos. Formación continua a los empleados sobre los riesgos a los que se enfrentan, cómo detectarlos y cómo combatirlos seria mi primera inversión dentro de una organización para mitigar mis riesgos de cumplimiento. Aprovecharía además los conocimientos del CISO (Chief Information Security Officer) en cuanto a la gestión de los accesos y la identidad de mis empleados, para ayudarme en la segregación de funciones así como la gestión de los roles de los empleados. Las campañas de certificación de accesos que aplican en seguridad informática, es algo extrapolable a compliance para la implicación de los responsables de departamento en la gestión del riesgo.

Dentro de nuestras organizaciones podemos encontrar grandes aliados en otros departamentos que nos pueden ayudar, en la apasionante tarea de hacer que las empresas sean más éticas y cumplidoras, que a la larga ayudara a la supervivencia de las mismas.

Iñigo Gomez Berruezo