Firma invitada: Richard Bennett, Head of Accelerate & Advisory Services EMEA, VMware
Puede que la automatización no sea lo primero que nos venga a la cabeza cuando pensamos en el compliance regulatorio, pero sí hay un vínculo. Para tener éxito, las empresas necesitan ponerse al frente y ser capaces de absorber nuevas reglas y regulaciones de manera fluida para evitar las trampas de la industria o las sanciones geográficas.
Sin embargo, adherirse a cada apartado de la nueva regulación es más fácil decirlo que hacerlo. Entre 2009 y 2012, existieron más de 50.000 regulaciones empresariales publicadas en los países miembros del G20. Esto aumentó hasta más de 50.000 actuaciones regulatorias solo en 2015 y no existen señales de que vaya a ralentizarse, cuando las investigaciones indican que los costes regulatorios por instituciones financieras podrían ser más del doble en 2022. Aunque no se trata solo del número de reglas en las organizaciones lo que causa los problemas, sino que la complejidad y la duración de algunas de ellas pueden requerir grandes inversiones de tiempo. La implementación de MiFID II es un ejemplo; esta nueva pieza de regulación financiera (que pretende proteger a los inversores y asegurarse de que los mercados financieros sean justos y abiertos) publica sobre 30.000 páginas y 1.7 millones de párrafos: una importante inversión de tiempo y recursos.
La complejidad del compliance
Se puede decir que en las últimas décadas hemos visto un aumento de la complejidad de los negocios. En un contexto en el que se está aumentando la competición internacional, empresas se han vuelto cada vez más globales, independientemente de su tamaño. Además, el núcleo de ese éxito radica en la traducción de vastas franjas de datos que se convierten en información.
Al mismo tiempo, la digitalización de las empresas significa que las aplicaciones de TI están creando data que no es solo susceptible, como en el caso de bancos y hospitales, sino que también es un volumen enorme, como en el caso de las fábricas con IoT, que conducen la creación de petabytes de datos cada mes. En esto reside un reto específico: ¿cómo una empresa mantiene el compliance cuando los datos son a la vez humanos y no humanos? ¿Cómo sostiene e integra ambas cosas mientras que protege la información del consumidor y al usuario?
Esto requiere la habilidad de adaptarse a una creciente serie de reglas, estándares y procesos. Cuanto más nos acercamos a la innovación, más expuesta está la información, y esto se multiplica exponencialmente si comprendemos los datos. La próxima generación de CISOs solo puede ser exitosa si se concentra en proteger al cliente y la información del usuario.
Sin embargo, como consecuencia de esta revolución mundial de datos y donde la legislación se está volcando hacia la seguridad de los consumidores y los clientes, las empresas están creando inadvertidamente una gama de frentes regulatorios internacionales en los que luchar. Esto, a su vez, está causando que los líderes de TI luchen, ya que se esfuerzan por desarrollar y mantener estrategias de tecnología empresarial que sean tan innovadoras como compatibles. Se considera que este trabajo, tanto a nivel regional como internacional, reprime la misma cultura de innovación de lo que la tecnología permite.
¿Pueden la innovación y el compliance llevarse bien?
Para deshacerse de la competencia, las organizaciones saben que deben estar a la última en sus respectivas industrias cuando hablamos de las necesidades de los consumidores, la eficiencia operativa, y lo más importante, la innovación. Sin embargo, al mismo tiempo, deben estar preparados para las amenazas cibernéticas, la retención de usuarios, y la creciente competitividad, mientras que siguen tomando precauciones ante un posible cambio regulatorio. Tomemos el sector del retail como ejemplo; las organizaciones deben asegurar que las compras de los consumidores sean más sencillas, pero el Chief Information Security Officer (CISO) lucha por asegurar cualquier nueva característica o tecnología y complementarlo con una creciente regulación digital, sin restringir la funcionalidad de la aplicación. Mientras que cada proveedor de tecnología reclama hablar sobre RGPD, esto es un ejemplo real de que es más relevante la estrategia de protección de datos que un simple elemento de cumplimiento.
Sin embargo, los proveedores de tecnología observan una tensión natural. Compliance e innovación probablemente nunca serán amigos. Mantener la seguridad a pesar de la regulación puede causar serios problemas al motor de una empresa, una situación muy similar a poner nuestro pie en el acelerador y en el freno al mismo tiempo.
Por supuesto, las organizaciones tienen que jugar limpio. Como ejemplo reciente podemos citar a TalkTalk, teleco que experimentó la mayor brecha de datos en 2015 y que recibió una multa por culpa de sus fallos de seguridad. La reputación de su marca fue dañada y evidenciada por el abandono de cerca de 100.000 usuarios, algo que supuso un significante golpe para la empresa.
Cambios de mentalidad
Lo que está claro es que debe haber una forma de habilitar este compliance normativo, al mismo tiempo que se permiten aplicaciones comerciales flexibles y rutas innovadoras de mercado. Esto es posible con el advenimiento de la cyber hygiene (cinco principios que se centran en la información corporativa y su valor) sobre la seguridad cibernética. Todos sabemos que iniciar un sistema de actualizaciones de sistemas seguridad, una vez que se ha producido una brecha importante, es demasiado tarde con la automatización, el machine learning y la inteligencia artificial disponibles para posibles piratas informáticos. Una estrategia de seguridad cibernética reactiva que no se concentra en un enfoque de higiene, algo que poco a poco pierde sentido.
Por este motivo, muchos CISOs sienten que la era de la ciberseguridad reactiva ha muerto y estamos adentrándonos en un mundo de cyber hygiene, un mundo donde las empresas construyen la seguridad de sus productos y sus sistemas desde el principio. De manera similar, la gran cantidad de nuevas regulaciones que se están introduciendo significa que un enfoque de lucha contra incendios para el cumplimiento es inestable a largo plazo, y las empresas deben pasar de un enfoque táctico a uno estratégico. Esto significa que las empresas deben asociarse con organizaciones que entiendan el cambio innato de seguridad del hardware, a las redes definidas y seguras del software.
Compliance desde el principio
El concepto de cyber hygiene es un plan continuo, no de una medida provisional o de una “solución final”. Las organizaciones deben poder automatizar el compliance y “hornear” sus sistemas de TI desde el principio para eliminar el trabajo de predicción y asegurarse de que todos los datos estén presentes y correctos antes de una posible auditoría.
Este coherente enfoque funcionó especialmente bien para gigantescos medios como Sky, varios años antes de la reciente legislación RGPD. La empresa no tuvo que trabajar en una estrategia reactiva específica para RGPD porque ya había estado trabajando en una estrategia de protección de datos más consistente, lo que demuestra que es mejor tener un enfoque de protección de datos integral a tener una cultura de cyber hygiene.
Esto demuestra que al principio la inversión en la inclusión de requisitos de cumplimiento en el ciclo de vida de un producto o servicio se amortiza de más de una manera: con menos multas potenciales, sin mencionar las horas de tiempo ahorradas que de otra forma habrían gastado en tomar medidas correctivas. Las empresas ya no pueden permitirse el lujo de no adoptar este enfoque.
Esto solo aumentará en función de que las leyes comiencen a tratar de mantenerse al día con la revolución digital, a medida que la inteligencia artificial y el machine learning sean mejores para mimetizar al hacker humano. Cuantos más datos produzcamos, más ricos serán. Cuanto más transparentes sean las organizaciones, y los patrones de trabajo más amplios en cualquier dispositivo, en cualquier lugar, en cualquier momento que se adopten, solo será otro factor de riesgo cuando hablemos de cumplimiento y regulación
Las organizaciones ya no pueden dormirse en los laureles y pensar que pueden salir adelante haciendo lo justo para cumplir con las leyes y reglas que se acaban de introducir; ahora deben adelantarse a ellas. Esto significa que se tratará de integridad y propiedad. Un sentido de mutuo respeto cuando se trata de información humana.