Ciberseguridad y cumplimiento normativo: qué normativas de ciberseguridad debe cumplir tu empresa
Autor: ESED - It & CyberSecurityCuando hablamos de cumplimiento normativo en ciberseguridad, nos referimos al conjunto de reglas, regulaciones y estándares establecidos por autoridades gubernamentales y entidades reguladoras para proteger los datos y sistemas digitales en las empresas.
Unas normativas, dirigidas sobre todo a proteger la privacidad de los datos, previniendo ciberataques, implementando soluciones de ciberseguridad.
Incumplir con las normativas de ciberseguridad impuestas por ley puede conllevar a las empresas a: multas y sanciones, mala imagen y reputación de marca, pérdidas económicas, desconfianza por parte de los usuarios, así como daños financieros.
Normativas que toda empresa debería cumplir en términos de ciberseguridad
GDPR (Reglamento General de Protección de Datos)
Esta ley de la Unión Europea, entró en vigor el 25 de mayo de 2018. La RGPD establece una serie de normas y requisitos que toda empresa debe cumplir para preservar la privacidad y protección de datos personales de las personas residentes en la Unión Europea.
Estos son los requerimientos más importantes a tener en cuenta:
-
Consentimiento del titular de los datos: Las empresas necesitan el consentimiento explícito de los usuarios para procesar sus datos.
Por ejemplo, si se piden datos a través de un formulario web, el usuario deberá aceptar las políticas de privacidad y de cookies de la empresa.
-
Derecho a acceder, rectificar, eliminar y reportar los datos: los usuarios tienen derecho por ley, a poder acceder, rectificar, eliminar y reportar los datos que en algún momento ha facilitado a la empresa en cuestión.
-
Obligaciones de las empresas: las empresas que recopilan datos e información de sus usuarios, están obligadas a implementar medidas técnicas y organizativas adecuadas para protegerlos. Además, en caso de ciberataque o filtración de información, deberán notificarlo.
-
Limitaciones en la transferencia de datos fuera de la Unión Europea.
Las empresas que no cumplan con estos requisitos, pueden enfrentarse a sanciones financieras significativas.
HIPAA (Ley de Portabilidad y Responsabilidad del Seguro de Salud)
Esta ley estadounidense entró en vigor en 1996 y tiene como objetivo proteger la privacidad y la seguridad de la información dentro del sector de la salud, como por ejemplo, farmacéuticas, biotecnológicas, hospitales, centros de salud o cualquier proveedor de servicios dentro de la industria sanitaria.
La HIPAA incluye normas de privacidad que otorgan a los pacientes el derecho a acceder a sus registros médicos, controlar quién puede acceder a su información médica, etc. Además, también establece normas de seguridad que requieren que las empresas del sector de la salud implementen medidas de seguridad para proteger la información de salud electrónica (ePHI).
Por otro lado, exige que las organizaciones obligadas a cumplir con esta normativa, en caso de ciberataque, deben notificarlo.
PCI DSS (Estándar de Seguridad de Datos para la Industria de Tarjetas de pago)
Se trata de un conjunto de normas y requisitos de seguridad diseñados para proteger la información de las tarjetas de pago y garantizar la seguridad de las transacciones con tarjeta de crédito y débito. Todas las empresas que procesan, transmiten o almacenen datos de tarjetas de pago, deberán proteger la información de las tarjetas de pago implementando soluciones de ciberseguridad como: firewalls, cifrado de datos, controles de accesos, monitorización de redes y sistemas o realizar auditorías de ciberseguridad periódicas.
ISO 27001
Se trata de una regla internacional que se centra en la seguridad de la información que proporciona un marco para establecer, implementar, mantener y mejorar un sistema de gestión de seguridad de la información (SGSI).
ISO 27001 es aplicable a organizaciones de cualquier tamaño, sector o industria y puede adaptarse a las necesidades específicas de cada organización. La certificación ISO 27001 proporciona evidencia de que una organización cumple con unos requisitos estándar de seguridad informática y demuestra su compromiso a mantener la privacidad y seguridad de los datos de sus usuarios.
NIST Cybersecurity Framework
Se trata de un conjunto de estándares,directrices y mejores prácticas diseñadas para ayudar a las organizaciones a gestionar y mejorar su postura de ciberseguridad.
Éste se basa en tres principios fundamentales: gestión de riesgos, flexibilidad y escalabilidad, estructurado en cinco funciones:
-
Identificar vulnerabilidades y brechas de seguridad de un sistema informático.
-
Proteger los sistemas informáticos.
-
Capacidad de detectar actividades maliciosas en un sistema informático.
-
Saber cómo responder ante un incidente informático.
-
Capacidad y recursos para recuperar la información ante un incidente informático.
Cumplir con estas normativas focalizadas en la ciberseguridad, también implica, a parte, establecer políticas, procedimientos y controles de seguridad adecuados, así como realizar auditorías y evaluaciones regulares de seguridad informáticas para encontrar posibles nuevas vulnerabilidades o brechas de seguridad en un sistema.
En ESED, para ayudarte a cumplir con estas normativas, realizamos una auditoría de ciberseguridad basada en ESED Attack, nuestra solución de hacking ético. Lo que hacemos es lanzar ciberataques, controlados e inocuos contra un sistema, para saber exactamente a lo que nos enfrentamos, y poder solucionarlo de raíz.