Como consultora informática te recordamos que es imprescindible conocer y gestionar de modo adecuado todos los riesgos referidos a la seguridad de la información que afecten a una empresa u organización. De eso se han de ocupar profesionales especializados en el diseño de procesos y políticas auditables que garanticen el cumplimiento de las obligaciones de compliance en materia de ciberseguridad. En las siguientes líneas vamos a ver algo más sobre esas obligaciones relativas al security compliance.
Se trata de supervisar la seguridad informática de forma periódica la infraestructura de seguridad, gateways, blades, directivas y ajustes de configuración. Siempre en tiempo real. Nosotros en concreto estamos avalados por las normas ISO 27001 e ISO 27032 para la implantación de Sistemas de Gestión de la Seguridad de la Información.
Podemos encargarnos de un profundo análisis y evaluación de riesgos para diseñar una estrategia de mantenimiento que garantice la máxima seguridad de los sistemas. Nos ocuparemos, además, de definir e implantar un plan y mapa de procesos que tener en cuenta de cara a futuros proyectos.
La Certificación ENS
Son las siglas de Esquema Nacional de Seguridad. Este recoge las exigencias mínimas para garantizar la protección de la información en las empresas.
En Imagar nos ocuparemos de trazar una estrategia basada en objetivos, responsabilidades, uso de recursos y KPIs que mejoren el nivel de seguridad organizativo de las empresas. Desde un prisma técnico, operativo e institucional.
El concepto de Compliance Officer. Es el encargado de asegurar el cumplimiento de la normativa de aplicación o de cualquier tipo de legislación. Es una figura tan importante hasta el punto que existe la norma ISO 19600, sobre los Sistemas de Gestión de Compliance.
Esta establece una serie de recomendaciones sobre cómo realizar el cumplimiento legal en una empresa. Lo cierto es que el cargo de Compliance Officer no está estrictamente regulado en la normativa española. Lo que sí sabemos con certeza es qué requisitos ha de cumplir. Esta persona debe tener capacidad y poder para tomar decisiones que aseguren el cumplimiento normativo.
Deben definirse muy bien los límites entre el cumplimiento y la omisión en el ejercicio de sus funciones. No en vano, el Compliance Officer es el responsable de informar acerca de posibles riesgos e incumplimientos. Para que las organizaciones puedan prevenir delitos de en sus servicios de ciberseguridad. En empresas de pequeña envergadura, estas funciones pueden ser asumidas por la administración.
Los requisitos del Compliance Officer
Aunque, como decimos, la figura del Compliance Officer no está definida en el Código Penal, sí existe la obligatoriedad de la función de supervisión y control.
Se distinguen tres elementos fundamentales, requisitos que ha de reunir este perfil:
- La persona encargada ha de tener acceso directo al órgano de administración o de gobierno.
- Ha de gozar de autonomía y de los recursos necesarios.
- Tiene que informar de eventuales riesgos e incumplimientos.
Sus responsabilidades son:
- Identificar regulaciones o normativas que afecten a la organización.
- Integrar los procesos y procedimientos de la organización con las regulaciones correspondientes.
- Capacitar, divulgar y comunicar todo lo referente al cumplimento de las normas que atañan a la empresa.
Quien ostente el cargo de Compliance Officer debe aunar confiabilidad, liderazgo, integridad, habilidades comunicativas y compromiso. De hecho, no cumplir con sus responsabilidades puede conllevar sanciones penales.
En resumen, es clave tener claras las políticas y los procedimientos que tienen las organizaciones para gestionar y mitigar eventuales riesgos. Además, el Security Compliance tendrá que velar porque las medidas que se adopten se apliquen de manera uniforme y consistente en la organización. Todo ha de estar integrado en los procesos de negocio de la entidad. Para que el cumplimiento sea un proceso más y no se constituyan formalidades o requisitos paralelos o adicionales.