Una rápida introducción a normativas y regulaciones de seguridad de la información y ciberseguridad
[~6 minutos de lectura]
El vocabulario emprendedor maneja términos muy sexys como crecimiento, expansión o internacionalización. Sin embargo, las regulaciones y normativas de ciberseguridad son esas pequeñas cláusulas en el contrato de las que nadie te habla cuando se trata de ir a nuevos mercados.
Existen regulaciones y normativas en muchas áreas de una empresa. En el ámbito de ciberseguridad particularmente, son las que marcan la cancha a la hora de proteger a una empresas y sus clientes de potenciales riesgos.
Lo que tienes que saber es que existen países, como Chile y México, que tienen leyes o normas para evaluar los programas de seguridad. Sus entes reguladores son responsables de evaluar el cumplimiento de las empresas en función de lo que mandan estas normativas o regulaciones.
Por lo tanto, si estás planeando expandirte a cierta región, es importante entender la diferencia entre regulaciones y normativas para estar preparado. Suena abrumador, pero no te preocupes. Para eso existe Hackmetrix.
¿Qué es una normativa de seguridad?
Una normativa es un conjunto de requisitos de seguridad de la información.
Las normativas establecen mejores prácticas de seguridad con el fin de crear un estándar mínimo de protección para la información de las empresas y personas. Algunos de sus focos son:
- Seguridad de la Información: Busca proteger toda la información de la organización sin importar que su formato sea físico, digital o conversacional
- Ciberseguridad: Protege la información que circula entre dispositivos, servidores y redes internos o externos
- Ambas
Habitualmente el foco de las normativas suele ser en ambas y, por este motivo, suelen usarse estándares internacionales, generalmente creados por organismos independientes.
Algunos ejemplos de normativas son la ISO 27001 (creada por ISO) y PCI DSS (creado por el comité denominado PCI SSC).
Algunas de las categorías con requisitos operativos de la ISO 27001 Anexo A. | Ejemplos de algunos requisitos de PCI DSS. |
La industria Fintech es las más proclive a tener que cumplir con regulaciones o normativas, ya que si su función es guardar y proteger el dinero de las personas o empresas, deben garantizar la seguridad. Hay otras industrias algo más flexibles donde hay menos presión y quizás logres omitir este proceso.
Si no sabes cuál le conviene a tu industria, te recomendamos que te orientes leyendo Elige el framework de ciberseguridad adecuado para tu startup y sal a conquistar el mercado.
¿Qué es una regulación de seguridad?
Una regulación es un conjunto de disposiciones obligatorias y de carácter legal que, en este caso, aplican sobre la seguridad de la información.
Quizás te suene igual que la normativa, pero hay una diferencia importante: una regulación está enmarcada en una ley o decreto, por lo tanto su nivel de obligatoriedad es mayor. Además, los entes reguladores son más exigentes al auditar el cumplimiento. En otras palabras, puedes enfrentar cargos penales o multas civiles por incumplimiento.
Las regulaciones son emitidas por organismos públicos o entes reguladores para asignar las responsabilidades dadas en un marco legal.
En Latinoamérica te podemos mencionar tres ejemplos de regulaciones Fintech con foco en la seguridad de la información y en la ciberseguridad.
- En México, un organismo regulador es la CNBV (Comisión Nacional Bancaria y de Valores) que dispuso la Ley Fintech en 2018.
- En Chile, un organismo regulador es la CMF (Comisión para el Mercado Financiero) que dispuso un requerimiento de Gestión de la Seguridad de la Información y Ciberseguridad: El Capítulo 20-10.
- En Colombia, un organismo regulador es la SFC (Superintendencia Financiera de Colombia) que dispuso la Circular Externa 007 de 2018.
¿Para qué sirven las normativas y regulaciones?
Probablemente mires con ojos de resentimiento a las normas y leyes de seguridad, pero lo cierto es que sin ellas nadie podría confiar en los productos que crean las startups (sobre todo en las fintech).
Después de todo, las normativas y regulaciones garantizan niveles mínimos de seguridad para evitar que ocurran incidentes y ayudan a fortalecer la protección de datos.
Conclusión
Tanto las normativas como las regulaciones ayudan a crear sistemas de seguridad de la información y ciberseguridad para proteger a las empresas y a sus clientes de posibles riesgos.
Las normativas son mejores prácticas para alcanzar cierto estándar, mientras que las regulaciones son disposiciones obligatorias de carácter legal que debes cumplir para operar en determinado país. Además los auditores son más exigentes a la hora de controlar el cumplimiento de una regulación ya que se trata de cumplir con la ley.
Dependiendo de la industria a la que pertenezca tu empresa, vas a ser más proclive a tener que cumplir con una o con otra. Por ello, si ya estás escuchando a tu CEO o director comercial decir “crecimiento”, te recomendamos que tu siguiente cafecito sea leyendo: los documentos básicos que piden en las normativas y regulaciones.
Si necesitas ayuda para cumplir con una norma o ley de seguridad de la información contáctanos para que podamos ayudarte.