Usamos cookies en nuestro sitio web para brindarte la experiencia más relevante recordando tus preferencias y visitas repetidas. Haz clic en "Aceptar todas las cookies" para disfrutar de esta web con todas las cookies, configura tus preferencias antes de aceptarlas, o utiliza el botón "Rechazar todas las cookies" para continuar sin aceptar.

Gestión de Cookies
Zona Privada Asociados   |   Boletines Compliance
 
FORMULARIO DE CONTACTO
Deseo suscribirme al Newsletter de la WCA
 

22/07/2020

El compliance tecnológico: la variante específica del cumplimiento que las empresas contratan para su transformación digital

Empresas TICs y bufetes especializados han encontrado en el cumplimiento normativo asociado a la transformación digital un nicho de mercado común e idóneo para la colaboración

Fuente: Diario Jurídico

La introducción de la Inteligencia Artificial (IA), los servicios cloud, la domotización y la exposición en redes sociales (de las empresas y de sus empleados), entre muchos otros retos, obligan a las organizaciones embarcadas en la transformación digital a hacer una correcta mediación y gestión de sus riesgos tecnológicos. Es un esfuerzo de tanta envergadura y especialización que necesita de un programa de cumplimiento específico: se trata del compliance tecnológico, en el que firmas TIC y bufetes especializados hemos encontrado un nicho común de oportunidades, trabajando de forma conjunta en tareas como establecer la propiedad de los sistemas operativos, delimitar el acceso por parte de los usuarios, la asignación de claves y política de contraseñas, la gestión de incidencias, uso de los recursos telemáticos y dispositivos fuera y dentro de la empresa, así como las licencias de software y la confidencialidad y protección de datos. 

De forma más sistemática, éstas las principales funciones clave del denominado compliance tecnológico:

-Seguridad de la información. Un programa de cumplimiento debe establecer las directrices de gestión de la seguridad de la información, de acuerdo con los requisitos del negocio y las leyes y normativa pertinentes. Debe asimismo definir la organización interna y un marco de gestión para controlar la implementación y operación de la seguridad de la información dentro de la organización.

–Dispositivos móviles y teletrabajo. El compliance tecnológico debe garantizar la seguridad en el uso profesional de dispositivos móviles e implantar medidas para proteger la información accedida, tratada o almacenada en emplazamientos de teletrabajo.

-Recursos humanos. Este programa debe crear mecanismos para que empleados y contratistas entiendan sus responsabilidades con respecto a la seguridad de la información y las apliquen de acuerdo a la normativa interna y externa

-Gestión de activos. Corresponde al compliance identificar los activos de la organización y definir las responsabilidades de protección adecuadas. 

-Clasificación de la información. Se trata de asegurar que la información reciba un nivel adecuado de protección de acuerdo con su importancia para la organización y su criticidad ante revelación o modificación no autorizadas.

-Manipulación de soportes y acceso a la información. Implementar las políticas para evitar la revelación, modificación, eliminación o destrucción no autorizadas de la información almacenada en soportes. 

-Acceso a la información, sistema y aplicaciones. Asimismo, establecer y documentar la política de control de acceso a los recursos de tratamiento de la información y a la información. Garantizar el acceso de usuarios autorizados y evitar el acceso no autorizado a los sistemas, servicios y aplicaciones.

-Controles criptográficos. Establecer la política para garantizar un uso adecuado y eficaz de la criptografía para proteger la confidencialidad, autenticidad y/o integridad de la información.

-Seguridad física y del entorno. Establecer las medidas adecuadas para preservar la seguridad física y del entorno, previniendo el acceso no autorizado, los daños e interferencias a la información de la organización y a los recursos de tratamiento de la información.

-Seguridad de los equipos y de las operaciones. Definir las medidas para evitar la pérdida, daño, robo o compromiso de los activos y la interrupción de las operaciones de la organización. Establecer los procedimientos y responsabilidades operacionales.

-Protección contra el malware y copias de seguridad. Definir las medidas para asegurar que los recursos de tratamiento de la información y la información están protegidos contra el malware, y establecimiento de política de copias de seguridad.

-Seguridad de las comunicaciones.  Definir los procedimientos para asegurar la protección de las redes y mantener la seguridad de la información que se transmite dentro de la organización

No están todas las que son, pero son todas las que están. Todas son funciones clave, en las que la perspectiva tecnológica no es suficiente, sino que debe estar asociada a la jurídica, al cumplimiento de los requisitos legales y contractuales. Se trata de salvaguardar procesos y además documentarlos. 

 

 


 
Patrocinadores
Colaboradores
Entidades Asociadas