Cómo afrontar el cumplimiento normativo y crear tu programa de seguridad de la información de forma sencilla
Tiempo de lectura: 5 minutos.
El gran desafío con el que se encuentran las startups en crecimiento cumplir con normativas y regulaciones de seguridad. Y suele serlo por tres sencillas razones: falta de tiempo, poco conocimiento y escasez de recursos para hacerlo.
La buena noticia es que la mayoría de las normas y/o regulaciones son bastante parecidas. Como ejemplo, algunas de Latam que combinan o se basan en estándares internacionales son:
- Capítulo 20-10 de la CMF en Chile (norma)
- Ley Fintech de la CNBV en México (regulación)
- Circular Externa 007 de la SFC en Colombia (regulación)
- Ley HIPAA en EE.UU (regulación)
Si eres el dichoso héroe o heroína que se encargará de este “asunto del cumplimiento”, ahora ya sabes que hay varios requisitos que se repiten, por lo tanto tu startup puede crear un solo documento para cumplir con varias normas o leyes.
Documentos básicos para cumplir una normativa o regulación de ciberseguridad
Como te comentamos, planear un proceso de cumplimiento parece que llevará muchísimo trabajo y tiempo, pero la verdad es que si creas una poca documentación clave, el trabajo se vuelve más liviano para el resto de las normas.
Los documentos específicos que necesitarás para ello son políticas y procedimientos de seguridad que detallen pautas y controles para disminuir tus riesgos y proteger la información física, digital y conversacional. Los cinco principales son:
1) Política de seguridad de la información: Es un documento donde se detallan los lineamientos para proteger la información en todas sus formas y medios contra su modificación accidental o deliberada, uso no autorizado, divulgación o interrupción.
Aplica a todas las fases del ciclo de vida de la información y de los sistemas que la procesan. Algunos de los lineamientos que incluye son:
- Gestión de riesgos
- Gestión de activos
- Gestión de accesos
- Seguridad del entorno, plataforma y aplicaciones
- Ethical hacking para la gestión de vulnerabilidades
- Gestión del capital humano (por ejemplo seguridad en la desvinculación, permanencia, incorporación, teletrabajo, etc)
2) Política de gestión de incidentes (de seguridad): Es un documento que establece lineamientos para un adecuado registro, análisis y tratamiento de los incidentes de seguridad y vulnerabilidades detectadas. Esto te facilitará:
- Información del impacto ocasionado y frecuencia
- Estadísticas de comportamiento de respuesta ante incidentes
- Establecer mejoras en las acciones de control y las políticas cuando sea necesario
3) Política de control de accesos: Es un documento donde se detallan lineamientos para el adecuado control de usuarios y perfiles que acceden a la información de la empresa, ya sea desde aplicaciones, base de datos, sistemas operativos y demás.
Los objetivos son:
- Establecer quién, cómo y cuándo puede acceder a la información y registrar esos accesos
- Proporcionar los roles adecuados para que la gente acceda solo a la información necesaria (por ejemplo, un desarrollador no debería tener acceso a áreas financieras y viceversa)
- Asegurarse de que esos roles no se estén usando inadecuadamente (por ejemplo, llevar un inventario de quiénes tienen rol de administrador, propietario, etc.)
4) Plan de continuidad del negocio: También conocido como Business Continuity Plan (BCP). Es un documento donde se detalla el proceso para continuar las operaciones comerciales críticas durante y después de una interrupción del negocio. Es decir, cómo continuas luego de riesgos como caída de servidores cloud, fallos en la infraestructura, catástrofes naturales, atentados, accidentes, etc.
5) Plan de recuperación de desastres: También conocido como Disaster Recovery Plan (DRP). Va de la mano con la política anterior, porque además de conocer cómo continuas luego de una interrupción, debes detallar el proceso de recuperación de todas las herramientas informáticas y tecnológicas afectadas por un desastre.
El objetivo de este es garantizar que se pueda responder a un desastre u otra emergencia que afecte a los sistemas y minimizar el efecto en el funcionamiento del negocio. Ni hablar de que este documento debe estar resguardado en un lugar seguro y accesible.
Si no tienes ninguna de estas políticas, es normal. En general, el cumplimiento de estas normas o leyes suele ser el primer encuentro de las startups con la seguridad de la información. Te recomendamos que comiences a crear estos documentos clave ya que los vas a necesitar para superar auditorías de ahora en adelante; también, te servirán de sustento para complementar tus respuestas en los cuestionarios de seguridad que te enviarán tus nuevos o actuales clientes.
Una vez que ya tengas esta base inicial, el resto ya será ajustar y crear controles específicos del país o industria.
Conclusión
Cada país impone sus métodos para regular la seguridad de la información y ciberseguridad, sin embargo todas siguen un patrón similar. Por ello, hay documentos que siempre se repiten y que debes tener para superar auditorías en cualquier país.
Si tu startup está por abrir mercado en un país regulado, ya sabes por dónde empezar: hay cinco políticas que puedes priorizar y comenzar a definir junto a tu equipo.
También existen marcos de cumplimiento normativo a los que puedes acercarte (y hasta certificarte) para agilizar el proceso, brindar confianza a tus clientes y abrir mercado más rápido.
Si tienes dudas de cómo comenzar con estas políticas de seguridad o no estás seguro de cómo crear tu programa de ciberseguridad, ponte en contacto con nuestro equipo.
En Hackmetrix contamos con más de 100 plantillas de ejemplo para crear tu políticas, así cumplirás con regulaciones, normativas, estándares y certificaciones de seguridad como ISO 27001, PCI DSS, HIPAA, SOC2 y más.