Cómo cumplir con las normativas de ciberseguridad y proteger tu negocio

Las empresas se enfrentan a un panorama normativo cada vez más complejo, con regulaciones como el RGPD y las NIS-2 en la Unión Europea, el CCPA y CPRA en los Estados Unidos, y el marco de ciberseguridad de NIST. Estas normativas subrayan la importancia de proteger los datos de los usuarios frente a accesos no autorizados, robos y mal uso, y destacan la necesidad de medidas de protección de datos más estrictas y un control continuo.

A medida que la innovación impulsada por la IA y la proliferación de datos continúan avanzando, se espera que las normativas sigan creciendo en alcance y rigurosidad.

“El cumplimiento normativo en ciberseguridad puede parecer una tarea abrumadora para las organizaciones, pero seguir un conjunto de pasos claros puede simplificar el proceso y garantizar que las empresas cumplan con las normativas vigentes, protegiendo tanto su reputación como su sostenibilidad financiera a largo plazo”, señala Josep Albors, director de investigación y concienciación de ESET España.

Un Desafío de Creciente Importancia

Según el informe Cost of a Data Breach Report 2024 de IBM, el coste promedio de una brecha de datos a nivel global asciende a 4,88 millones de dólares, lo que resalta el impacto financiero de no estar preparado ante los riesgos de ciberseguridad o incumplir con las normativas vigentes. Un claro ejemplo de graves consecuencias en 2024 ha sido el Intercontinental Exchange (ICE), conocida por subsidiarias como la Bolsa de Nueva York (NYSE), que fue multada con 10 millones de dólares por no informar oportunamente a la Comisión de Bolsa y Valores de los EE. UU. (SEC) sobre una intrusión no autorizada. La negligencia en sus procedimientos internos de notificación exacerbó las consecuencias de la brecha.

En otro caso notable, el incidente «SUNBURST» en 2020 afectó a miles de organizaciones a través del software Orion de SolarWinds. Las fallas en la gestión de riesgos y en la comunicación de incidentes le costaron a la empresa consecuencias financieras y de reputación devastadoras. De manera similar, Yahoo sufrió graves sanciones por ocultar una brecha de datos que afectó a 3 mil millones de cuentas de usuario, resultando en multas y acuerdos legales que superaron los 150 millones de dólares.

Estos casos demuestran que una gestión deficiente de la ciberseguridad y la ausencia de transparencia pueden generar graves pérdidas financieras y reputacionales.

Cinco Pasos para Lograr el Pleno Cumplimiento Normativo

Cumplir con las normativas no tiene por qué ser inalcanzable. ESET, compañía líder en ciberseguridad, presenta cinco pasos esenciales que las empresas pueden implementar para construir un sistema de ciberseguridad robusto y conforme:

1. Comprender tu Negocio: Identifica las normativas aplicables según el sector, la ubicación geográfica y los datos que se manejan. Por ejemplo, una empresa en la Unión Europea que maneja datos sensibles podría priorizar el cumplimiento del RGPD para garantizar la protección de la privacidad de los usuarios. Cada organización enfrenta desafíos únicos que requieren una atención personalizada.
2. Investigar y Priorizar: Evalúa los estándares relevantes, identifica posibles brechas y desarrolla un plan para cerrarlas. Prioriza las acciones en función de los riesgos más críticos.
3. Establecer un Sistema de Notificación: Diseña un sistema claro de notificación que incluya responsabilidades definidas para todos los niveles, desde ejecutivos hasta personal operativo. Esto asegura que los incidentes se comuniquen de manera adecuada a las partes interesadas y reguladores.
4. Monitorizar Continuamente: El cumplimiento normativo es un esfuerzo constante. Realiza evaluaciones regulares de vulnerabilidades, revisa protocolos de seguridad y adapta sus sistemas para cumplir con normativas cambiantes.
5. Mantener la Transparencia: Ante una brecha, informa de inmediato a las autoridades, aseguradoras y usuarios afectados. La divulgación oportuna no solo reduce daños, sino que también refuerza la confianza de los clientes y socios.