Normativa en Ciberseguridad

Normativa en ciberseguridad: Conjunto de reglas, leyes, políticas y estándares establecidos para proteger la integridad, confidencialidad y disponibilidad de los sistemas, redes y datos digitales.

Compliance

Compliance: Conjunto de políticas, procedimientos y controles que una organización implementa (o debe implementar) para asegurar que cumple con las leyes, regulaciones y normas en materia de seguridad de la información.

Corrupción

Corrupción: Daño o alteración indebida de datos, sistemas o procesos informáticos, ya sea intencionadamente (como en ataques maliciosos) o accidentalmente.

• Datos
• Sistemas
• Personas

Tolerancia al Riesgo

Tolerancia al riesgo: Nivel de exposición a riesgos de seguridad (como brechas de datos, ataques o fallas) que una organización está dispuesta a aceptar antes de tomar medidas para mitigarlos.

Seguridad

Seguridad: Implementación de estrategias, tecnologías y prácticas diseñadas para proteger sistemas, redes, datos y dispositivos contra amenazas y accesos no autorizados.

Evaluación de Riesgos

Análisis de riesgos: Proceso de identificar, evaluar y priorizar los riesgos que podrían afectar la ciberseguridad de una organización.

• Identificación
• Evaluación
• Priorización

Ética Empresarial

Ética empresarial: Conjunto de principios, valores y normas que guían el comportamiento y las decisiones de una organización en su interacción con empleados, clientes, proveedores… Busca el equilibrio entre el beneficio económico y el impacto social y medioambiental.

Cumplimiento Normativo

Cumplimiento normativo: Responsabilidad penal de la persona jurídica y la implantación de Modelos de Prevención de Riesgos Penales.

Compliance Officer

Compliance officer: Persona profesional especializada en ciberseguridad y cumplimiento normativo.

Función: Garantizar que una organización cumpla con todas las leyes, regulaciones y normativas aplicables en el ámbito de la seguridad de la información y la protección de datos.

• Objetivo: Asegurar que la organización opere dentro de los límites legales y éticos, minimizando el riesgo de incumplimientos que puedan resultar en sanciones legales, multas, etc.
• Funciones:
  • Interpretación y seguimiento de normativas: Profundo conocimiento de leyes, regulaciones y estándares relacionados con la ciberseguridad y la protección de datos.
  • Desarrollo de políticas y procedimientos: Responsable de desarrollar y mantener políticas y procedimientos internos que reflejen los requisitos legales y normativos aplicables. Esto puede incluir políticas de:
    • Seguridad de la información
    • Gestión de riesgos
    • Privacidad de datos
  • Formación y concienciación: Debe asegurarse de que todas las personas empleadas estén debidamente informadas y capacitadas en relación con las políticas y los procedimientos de cumplimiento.
  • Monitorización y auditoría: Es crucial que supervise continuamente el cumplimiento de las políticas y procedimientos establecidos.
    • Realización de auditorías internas
    • Monitorización de la actividad del personal empleado
    • Revisión periódica de los controles de seguridad de la información
  • Gestión de incidencias y emergencias: Coordinación de respuestas a incidentes y comunicación con autoridades. Implementación de medidas correctivas.
  • Reporte, documentación y comunicación: Informes periódicos a la alta dirección sobre el estado del cumplimiento normativo.
  • Coordinación con autoridades reguladoras: Punto de contacto para auditorías externas y documentación requerida.

Normativas Relevantes

• RGPD – Reglamento General de Protección de datos: Aplicado a la Unión Europea
  • Data Protection Officer (DPO): Persona encargada de la protección de datos.
• Reglamento de Ciberseguridad (EU) 2019/881
  • Marco europeo para productos, servicios y procesos de TIC
  • Agencia Europea de Seguridad de las Redes y la Información (ENISA)
• LSN – Ley de Seguridad Nacional: Ley 36/2015, de 28 de septiembre
  • Marco legal para proteger la seguridad nacional
  • Objetivo: Proteger los intereses nacionales frente a amenazas y riesgos
• Directiva NIS (Seguridad de las Redes y Sistemas de la Información)
• ENS – Esquema Nacional de Seguridad (ENS): Medidas de seguridad para adm. públicas
  • Centro Criptológico Nacional (CCN): Responsable de la seguridad TIC
• LOPDGDD – Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales: El Compliance Officer debe asegurarse de que la organización cumpla los requisitos establecidos en esta ley.
• LS-SI-CE – Ley de Servicios de la Sociedad de la Información y Comercio Electrónico: El Compliance Officer puede participar en el cumplimiento de los requisitos de esta ley, como la información a los usuarios y la protección de datos en línea.
• Normas ISO: Proporcionan directrices y mejores prácticas para establecer, implementar, mantener y mejorar un sistema de gestión de la seguridad de la información (SGSI).

Informes

Informes: Concisos, claros y objetivos

• Informe anual de cumplimiento normativo
• Informe de evaluación de riesgos
• Informe de investigación interna
• Otros: Eficacia de políticas, tendencias y mejores prácticas

Terceras Partes

Terceras partes: Entidades o individuos que interactúan con una empresa y pueden afectar a su capacidad para cumplir con las normas y regulaciones.

• Proveedores
• Clientes
• Otros

• Pueden tener acceso a información confidencial o sensible de la empresa.
• Pueden realizar actividades en nombre de la empresa que podrían afectar a su reputación.
• Pueden estar sujetas a diferentes normas y regulaciones que la empresa.

Due Diligence

Due diligence: Evaluar a las terceras partes antes de contratarlas y debe realizar un seguimiento continuo de su desempeño para asegurar que siguen cumpliendo con las normas y regulaciones.

Áreas:

• Anticorrupción y soborno: Prevención de prácticas indebidas
• Lavado de dinero: Control sobre actividades ilícitas
• Protección de datos: Cumplimiento con leyes de privacidad
• Comercio internacional: Alineación con normativas comerciales
• Medioambiente: Asegurar prácticas sostenibles