Elige correctamente uno y estarás listo para cerrar nuevos negocios, expandirte o simplemente mantener tu negocio a salvo.
Un framework o marco de cumplimiento de seguridad es necesario para cualquier negocio por dos razones: te brinda las mejores prácticas para implementar controles de seguridad y aumenta la confianza de actuales y futuros clientes.
Alinearse a un marco es una opción conveniente, sobre todo si tu startup planea cumplir con ese crecimiento exponencial que ya le prometieron a sus inversionistas. Por lo tanto, si vas a invertir en seguridad para tu startup debes asegurarte de invertir correctamente para no comprometer su crecimiento acelerado y evitarte dolores de cabeza.
Sin embargo, investigar y descifrar de qué se trata cada marco normativo se vuelve confuso y tedioso, porque parece que están explicados solamente para expertos en el tema.
Como especialistas, en Hackmetrix nos tomamos el tiempo de traducirlo a lenguaje humano, para que puedas elegir el más conveniente para tu modelo de negocio y que al mismo tiempo haga la mejor sinergia con tus clientes.
¿Qué es un marco de cumplimiento normativo?
En resumidas cuentas, un marco o framework es una herramienta que te conduce y ayuda a crear un programa de seguridad.
Formalmente son un conjunto de pautas, lineamientos y recomendaciones de mejores prácticas que debes cumplir para implementar y mantener tu programa de seguridad.
En la práctica, te permiten ordenar ese Frankenstein de documentos y controles de seguridad para transformarlo en un programa coherente y robusto.
Las opciones
Los frameworks suelen centrarse en un problema en específico o en consideraciones de una industria particular. Hemos notado que las startups normalmente necesitan cumplir con alguna de las siguientes cuatro dependiendo de su industria o modelo:
ISO 27001
Este es uno de los estándares más reconocidos y tiene la ventaja de que sus controles son genéricos, por lo tanto se pueden aplicar a cualquier industria o tipo de empresa en el mundo.
La ISO 27001 hace foco en que adoptes un Sistema de Gestión de Seguridad de la Información, o SGSI para los amigos. Es un marco general de gestión y tratamiento de riesgos, y su objetivo básico es proteger los tres aspectos de la seguridad de la información: confidencialidad, disponibilidad e integridad.
En su Anexo A detallan las buenas prácticas. Lo vas a encontrar en 14 cláusulas con 114 controles de seguridad. En teoría, todos estos controles aseguran la creación, implementación y mantenimiento del SGSI. Una vez que cumples con estos requisitos puedes certificarte y esa certificación tiene una validez de 3 años.
¿Para quién es?
Si planeas cerrar contratos con clientes corporativos o está por expandirse a otro país en Latam o Europa es conveniente que cumplas con ella para superar auditorías de normas o leyes específicas (Ejemplos claros en Latinoamérica son la Ley Fintech de México o la norma de la CMF en Chile, específicamente la RAN 20-10).
Hackmetrix Insight: Te adelantamos que este estándar es reconocido y válido en EE.UU., sin embargo allá suelen pedir SOC 2 en su lugar.
PCI DSS
Formalmente llamado Payment Card Industry Data Security Standard, es un estándar de seguridad global dedicado a la protección de datos en industrias que manejan tarjetas de pago de crédito o débito. Fue desarrollado principalmente para abordar problemas de fraude y filtraciones de datos dentro del ecosistema de pagos.
PCI DSS se actualiza cada cierto tiempo: para que te hagas una idea, la versión más reciente es la 3.2.1, que cuenta con 12 requisitos con más de 300 controles de seguridad.
TLDR; Al momento de publicar se conoció que a fin de año 2021 estará vigente la versión 4.0
Este marco tiene cuatro niveles que dependen de la cantidad de transacciones anuales que procese la empresa:
- Nivel 1: más de seis millones de transacciones anuales
- Nivel 2: entre uno y seis millones de transacciones anuales
- Nivel 3: entre 20.000 y un millón de transacciones anuales
- Nivel 4: menos de 20.000 transacciones anuales
Usualmente para los niveles 2, 3 y 4 solicitan que llenes un cuestionario de autoevaluación llamado SAQ (Self-Assessment Questionnaire). Para el nivel 1, además de completar este SAQ te piden evidencia un poco más exhaustiva de cada requisito, por lo tanto la cantidad de controles y tiempos de auditoría suelen ser mayores. No te abrumes. Eventualmente profundizaremos más a detalle en este tema.
¿Para quién es?
Si tu startup transmite, procesa o almacena datos de titulares de tarjetas de pago es muy probable que tengas que cumplir con este marco.
SOC 2
Como lo mencionamos anteriormente, este marco aplica mayoritariamente a las empresas que operan en Estados Unidos, ya sean locales o foráneos. Al igual que en EE.UU. miden en yardas y en el resto del mundo en metros, ellos usan SOC 2 en vez de ISO 27001.
Este marco fue desarrollado por el Instituto Americano de Contadores Públicos Certificados (AICPA) y es un conjunto de informes que se producen durante la auditoría.
Su objetivo es validar los procedimientos y controles internos de una empresa tecnológica en función de cinco categorías: seguridad, disponibilidad, confidencialidad, privacidad e integridad de procesamiento.
SOC 2 tiene un enfoque mucho más flexible en comparación con los demás estándares, ya que, de las 5 categorías con las que cuenta, no todas son obligatorias, sino que debes elegir cuáles categorías aplican al caso de tu empresa dependiendo de los compromisos con tus clientes.
Esta certificación se realiza anualmente, en donde un contador público elabora un informe donde evidencia el nivel de conformidad con esas categorías y criterios definidos.
¿Para quién es?
Por el momento, SOC 2 domina el mercado estadounidense. Si tu startup va a operar en EE.UU. es muy probable que las empresas locales te lo pidan antes de cerrar el contrato.
HIPAA
También llamada Ley de Portabilidad y Responsabilidad de Seguros de Salud. Está dirigida a las empresas de atención médica y de seguros de salud en EE.UU. y, a diferencia de las anteriores, HIPAA no es un estándar sino una ley y por lo tanto no es certificable.
Lo que sucede es que (aunque no sea un estándar) es utilizada como marco de cumplimiento por las empresas de salud por ser una referencia en lo que es privacidad de los datos de salud.
Para cumplirla, un auditor revisará cada año que tengas políticas y procedimientos que aborden las reglas de HIPAA para seguridad administrativa, física y técnica.
¿Para quién es?
En Estados Unidos es un hecho que si manejas información médica protegida (PHI) te lo van a pedir por ser un requisito legal del país.
En Latinoamérica te lo van a pedir pero por ser un referente en privacidad de datos de salud.
¿Cuál debería elegir para mi startup?
En resúmen
- Si quieres cumplir leyes o normas específicas de Latam o un cliente corporativo te solicita llenar un cuestionario de ciberseguridad, deberías alinearte con ISO 27001.
- Si almacenas, procesas o transmites datos de titulares de tarjeta de pago seguramente debas cumplir con PCI DSS.
- Si quieres operar en EE.UU. (o con clientes de allí) y eres de la industria TI, debes cumplir con SOC 2.
- Si perteneces a la industria de salud, quieres trabajar en EE.UU. y/o manejas información médica protegida (como diagnósticos, información de pago,registros de pacientes) debes cumplir con HIPAA.
Conclusión
Dependiendo de la industria y de la ubicación geográfica donde quieras operar, se define el marco normativo con el que deberías cumplir. Por lo tanto, es probable que debas de cumplir con más de uno si tu startup lo amerita.
Adherirte a un marco de cumplimiento normativo te va a permitir crear la base de los procesos de seguridad de TI en tu empresa. De esta manera, podrás superar auditorías de regulaciones en determinados países o incluso completar los “no tan amigables” cuestionarios de seguridad que piden tus clientes, de forma orgánica y sin contratiempos.
Por otro lado, si ya tienes algunos documentos con controles de seguridad, un marco te dará la estructura y el orden que necesitas.
Ahora ya conoces de qué trata cada uno de estos marcos y en cuáles debes invertir para evitar comprometer el crecimiento de tu startup.
Si todavía estás indeciso y quieres que te ayudemos con el caso particular de tu startup escríbenos para asesorarte.
