La ciberseguridad de la mano del compliance

No es nada nuevo que la ciberseguridad se haya convertido en una de las principales preocupaciones de los directivos. Atrás quedaron los días en los que sólo unas pocas empresas eran víctimas de ataques cibernéticos. Ahora, cualquier organización, por pequeña que sea, puede convertirse en objetivo de un ciberataque. Las organizaciones son cada día más conscientes de la necesidad de luchar contra el cibercrimen; Lo que está en juego no sólo es el resultado de esta guerra sino también la supervivencia misma de la sociedad. En 2023, la mayoría de los ataques fueron iniciados por Cl0p a través de campañas como MOVEit (Shell, BBC y el Departamento de Energía de EE.UU. se vieron afectados, entre otros), otros ataques como Black Cat (MGM Resorts) también tuvieron un gran impacto.

Desafortunadamente, Akira, Royal, Lockbit y Black Basta también tienen una colección "genuina" de ciberdelincuentes. Los mejores datos que tenemos muestran que solo el 29 % de las organizaciones pagan a los piratas informáticos de ransomware, lo que convierte esta cifra en la más baja. Esta realidad ha hecho que los directivos se sientan optimistas en los últimos años. La ciberseguridad cobra cada vez más importancia en la gestión y juega un papel clave en los planes estratégicos organizacionales, especialmente en empresas con componente tecnológico. De manera similar, la Unión Europea ha hecho de la ciberseguridad un pilar clave mientras busca fortalecer la seguridad de las organizaciones públicas y privadas, sabiendo que sus ciudadanos estarán a salvo de algo más que robos y fugas de datos, incluso frente a amenazas. Los actos de guerra cibernética son cada vez más frecuentes y dañinos.

Hasta hace poco, los desafíos relacionados con la ciberseguridad se limitaban a los departamentos de seguridad de la información, pero las organizaciones están colocando cada vez más sus controles y seguimiento de la ciberseguridad dentro de los departamentos de cumplimiento manual, ya que muchos empresarios se dan cuenta de que esta persona debe gestionar los controles. y procedimientos establecidos por organizaciones cuyo objetivo principal es proteger los sistemas informáticos del acceso de piratas informáticos.

En los últimos meses, la ciberseguridad ha dado paso a la inteligencia artificial, lo que ha impactado a las organizaciones y a la economía global como una forma de crear riqueza y mejorar los procesos de trabajo. Pero también es cierto que la inteligencia artificial, al menos en las pequeñas y medianas empresas, aún no ha penetrado en los departamentos de cumplimiento, aumentando su trabajo más allá de establecer los procesos típicos de uso de la inteligencia artificial para empleados y directivos. Sin embargo, el papel del responsable de cumplimiento desde una perspectiva de ciberseguridad está aumentando gradualmente y, en muchas organizaciones, el departamento de seguridad de la información informará de su trabajo e incidentes al responsable de cumplimiento.

Este hecho demuestra que los departamentos de cumplimiento son los verdaderos depositarios de las funciones y tareas de control, sin olvidar por supuesto la importante labor técnica de los departamentos de seguridad de la información, que forman la primera línea de defensa de la organización. No hay duda de que los departamentos de seguridad de la información enfrentan un desafío importante al comprender y comprender los riesgos asociados con toda su organización y solo a través de este conocimiento y colaboración con los departamentos de cumplimiento se pueden alcanzar los objetivos.

Estas decisiones empresariales vienen motivadas, en parte, por dos razones. La primera es porque el compliance officer va tomando posición cerca del cuerpo directivo de las organizaciones, y segundo, y factor clave, es que desde Bruselas, se está preparando un “paquete” legislativo absolutamente abrumador que va a sobrecargar más, si cabe, a las organizaciones. Véase por ejemplo, en materia de seguridad de las redes y sistemas de información, la segunda directiva (NIS2), la de resiliencia de las entidades críticas, normas que van a convivir con el Reglamento Dora, y con la futura ley de ciberresiliencia y cibersolidaridad, sin olvidarnos del Reglamento de inteligencia artificial o de los criptoactivos, entre otras muchas, sin duda alguna, esta campa obligacional que viene desde la Unión Europea, no hace más que reforzar el papel del compliance officer en las organizaciones, quien, de forma natural, absorberá parte de la función de control y supervisión del cumplimiento de esta normativa.

Sin duda alguna, las empresas deberán gestionar y medir cada día más los riesgos de ciberseguridad, porque la norma se lo va a exigir, de forma directa o indirecta, y, esto impactará en el análisis de riesgos de la sociedad, la regulación, exigirá en las grandes empresas una monitorización a tiempo real de las ciberamenazas, y se deberá acometer un abordaje de la gestión del riesgo con mecanismos tecnológicos, muchas empresas, ya están trabajando sobre la implementación de estas herramientas, estableciendo previamente medidas preventivas y reactivas frente a las amenazas.

Sin duda, la IA, tendrá también campo para poder ayudar a las organizaciones ante ataques de ciberseguridad, aprendiendo de ataques parecidos previos, aunque la IA, como todos sabemos, mal utilizada, podrá también comprometer los sistemas, veremos si es más beneficiosa o perjudicial para la seguridad de la información. Sin duda, la toma de decisiones correctas de los cuerpos directivos, en cuanto a estrategia, inversión y concienciación en materia de ciberseguridad, minimizan los ataques y efectos, pero queda un largo camino, porque los “malos” no descansan, todo lo contrario, se perfeccionan con nuevas tecnologías y formas de acceso, y en número, son cada día más. Habrá, pues, que extremar las precauciones en las organizaciones, y secundar las normas comunitarias y nacionales, todo ello, auspiciado por un trabajo en equipo entre los departamentos de compliance y de seguridad de la información, o viceversa. No se trata de una guerra de poder interdepartamental por el control de un área crítica, sino de una guerra contra los hackers.