La función de cumplimiento de seguridad de la información funciona en una organización bajo la supervisión del Director de Seguridad de la Información o CISO para implementar el programa de cumplimiento de seguridad de la información en todos los niveles para evitar riesgos de ataques cibernéticos y violaciones de datos.
Antes de profundizar en los conocimientos y habilidades requeridas para que el equipo de cumplimiento de seguridad de la información realice su trabajo correctamente, así como las responsabilidades que tienen dentro de una organización, es necesario tener una breve descripción de la evolución de la función de cumplimiento. El concepto de cumplimiento se refiere a la observancia de reglas, leyes y estándares válidos o al proceso dentro del cual esto se logra.
Las funciones de cumplimiento comenzaron a surgir durante los años 90 como respuesta a los grandes escándalos que sacudieron a los Estados Unidos. Un ejemplo es el escándalo de la adquisición de un martillo de 400 dólares estadounidenses y un asiento de inodoro de 600 dólares estadounidenses por parte del Departamento de Defensa en los años 80. La Comisión de Sentencias de los Estados Unidos estableció las primeras Pautas Federales de Sentencia para Organizaciones en 1991.
Introduce la posibilidad de un castigo indulgente para las organizaciones que tenían Programas de Cumplimiento y Ética «eficientes» en el momento en que se cometió el delito en respuesta a un número creciente de escándalos corporativos y el hecho de que el castigo para las organizaciones era inconsistente debido a diferentes castigos por los mismos delitos. Esta guía creó espacio o puestos para oficiales de cumplimiento cuyo trabajo era desarrollar e implementar programas de cumplimiento en las organizaciones. Con los crecientes escándalos corporativos en todo el mundo a principios de la década de 2000, como Enron, Siemens, Avon, Volkswagen, etc., la profesión de cumplimiento creció en importancia.
Función de cumplimiento de seguridad de la información
La función de cumplimiento comprende varios departamentos con diferentes roles y responsabilidades. Uno de los departamentos es la función de cumplimiento de seguridad de la información, que garantiza que las leyes, reglas, reglamentos, estándares y otros requisitos relacionados aplicables se identifiquen, comprendan y difundan oportunamente a la administración para su cumplimiento.
La función de cumplimiento de seguridad de la información funciona como asesor del departamento de negocios, tecnología de la información y operaciones para garantizar que comprendan y apliquen correctamente los principios de protección de datos y los requisitos reglamentarios relacionados con la seguridad de la información. La función de Cumplimiento de Seguridad de la Información evita grandes pérdidas financieras y de reputación derivadas de incumplimientos normativos y posibles ciberataques a las aplicaciones y redes centrales de la organización.
En pocas palabras, la función de cumplimiento de seguridad de la información crea protección de la información, protección de datos, ciberseguridad y otras políticas, procesos y programas relacionados para garantizar lo siguiente:
- Prevención
- Detección
- Gestión de riesgos y eventos no deseados
Reflexiones finales
La función de cumplimiento de seguridad de la información garantiza que los servidores, redes, sistemas, software y otras fuentes de información estén protegidos. Además, también se implementan controles efectivos para ataques cibernéticos o pérdida de datos para hacer frente a posibles amenazas e incidentes de pérdida de datos. La función de cumplimiento de seguridad de la información supervisa regularmente los canales de entrega, la infraestructura tecnológica, las redes, los servidores y los sistemas de información, para garantizar que el acceso sospechoso o los intentos de acceso no autorizado a los datos se identifiquen y aborden oportunamente para evitar pérdidas de datos.
La función de cumplimiento de seguridad de la información permite a los empleados realizar sus actividades diarias de conformidad con las leyes, regulaciones y políticas y procedimientos internos de cumplimiento de seguridad de la información aplicables.