En este podcast, analizamos lo que se avecina en 2022 de conformidad con Mathieu Gorge, director ejecutivo de VigiTrust.
Hablamos de cómo los países de todo el mundo están en proceso de implementar sus propias versiones del Reglamento General de Protección de Datos (GDPR). Eso incluye la difusión de una regulación similar a la Ley de Privacidad del Consumidor de California (CCPA) de California a otros estados de EE. UU., pero también normas similares que se establecerán en regiones tan diversas como África y China.
Además, Gorge habla sobre la necesidad de una “responsabilidad cibernética” a nivel de C-suite y cómo las organizaciones pueden lograrlo.
Antony Adshead: ¿Dónde terminamos en 2021 con respecto al cumplimiento, las regulaciones y los estándares, y qué podemos esperar en 2022?
Garganta de Mathieu: 2021 fue un año increíblemente ocupado con respecto a la nueva regulación y actualizaciones de estándares y marcos.
Algunos de los cambios más importantes incluyen aquellos que fueron implementados esencialmente por la nueva administración de Biden. Hemos visto órdenes ejecutivas, no solo sobre la protección de infraestructura crítica, sino que también hemos visto un impulso de la administración para una mayor regulación de la privacidad y sabemos que están buscando un equivalente de GDPR en los EE. UU., desde la perspectiva de CCPA. La idea sería tener el equivalente de CCPA en todo EE. UU. a nivel federal.
Vale la pena señalar que no es la primera administración que intenta hacer eso, pero realmente están tratando de impulsarlo. Mientras tanto, algunos estados como Virginia lanzaron su propio equivalente de CCPA, y sabemos que hay otros cinco o seis estados que lo están haciendo.
Mientras tanto, a fines del año pasado en China, salió la nueva regulación de privacidad, y lo que es realmente interesante, desde la perspectiva de la privacidad de datos, es que tiene cierto nivel de extraterritorialidad como GDPR. Entonces, en otras palabras, podría aplicarse a usted aunque no esté en China. Todavía no estamos muy seguros de cómo se implementará, por lo que no ha habido multas al respecto, pero eso es algo que definitivamente debemos analizar.
Vimos mucha actividad en África, específicamente al sur del Sahara, con Kenia, Ghana y Sudáfrica implementando específicamente otra regulación de privacidad.
Estamos viendo una especie de convergencia. Todo el mundo parece haber aprendido de GDPR y los conceptos básicos de protección de datos en primer lugar, entendiendo qué son los datos, dónde los almacena, dónde puede y dónde no puede transferirlos.
Espero que veamos mucho más de eso en 2022. Desde una perspectiva de estándares, tendremos PCI DSS 4.0 implementado en los próximos dos años, por lo que es un cambio importante nuevamente con respecto a la seguridad de pago y el almacenamiento de datos para pagos
Vamos a tener que vigilar ese espacio. Espero que sea un año muy ocupado y se les pedirá a las empresas que demuestren que son responsables de mantener la seguridad de los datos.
Ese es el concepto de responsabilidad cibernética del que creo que deberíamos hablar.
Antony Adshead: ¿Qué es la responsabilidad cibernética y qué pasos pueden tomar las organizaciones para lograrlo?
Garganta de Mathieu: La responsabilidad cibernética… es esencialmente la idea de que una empresa y sus directores (los principales responsables de la toma de decisiones, los accionistas, el C-suite, la junta directiva) deben poder demostrar que saben de dónde se originó una transacción, quién permitió y lo que realmente significó para los datos. ¿Se cambiaron los datos, se manipularon, se robaron, se filtraron fuera de la empresa o lo que sea?
Y ese concepto de responsabilidad cibernética significa que una organización debe poder demostrar en cualquier momento que se toma en serio el cumplimiento cibernético, implementa las medidas técnicas correctas, las políticas y los procedimientos correctos, la capacitación adecuada y puede demostrar dónde están en cumplimiento y dónde no, y que tienen una hoja de ruta clara hacia el cumplimiento que es oportuna y eficiente.
El desafío que tenemos en este momento es que cuando ingresamos a la sala de juntas, cuando habla con la alta gerencia sobre la responsabilidad cibernética, se enfrenta a lo que yo llamo las cinco etapas del dolor de la responsabilidad cibernética.
La primera etapa es la negación. “No se aplica a nosotros, estamos aquí para construir la empresa, aumentar el empleo, generar ganancias para los accionistas, ¡no nos molesten con cibernéticos!”
La siguiente etapa es la ira. “Le hemos dado dinero para contratar a un CISO, un oficial de cumplimiento, para instalar cortafuegos, para capacitar a la gente. Vaya y hable con la gente de cumplimiento; ellos cuidarán de ti.
Luego viene la etapa de negociación. “Podemos ver que nuestros competidores están siendo auditados por los reguladores, podemos ver que otras personas han sido pirateadas. Entonces, tal vez deberíamos contratar a una gran empresa para que venga y haga una evaluación y eso nos librará”.
Ese es un buen comienzo, obtener ayuda externa, pero no te da una tarjeta para salir de la cárcel.
Luego viene la etapa de depresión. “Realmente necesitamos hacer algo. ¿Como vamos a hacerlo?”
Y finalmente, la etapa de aceptación, donde te das cuenta de que en realidad estás haciendo muchas cosas bien, tienes una política de privacidad de datos, tienes una política de clasificación de datos, sabes dónde se almacenan los datos, sabes cómo se están a disposición de. Todo lo que necesita hacer es poner su casa en orden y cerrar la brecha.
La responsabilidad cibernética se trata realmente de que el concepto de seguridad sea un viaje y no un destino.
Cubro todos esos temas en mi libro: El ciber-elefante en la sala de juntas – con más detalle, pero en pocas palabras, lo que esto significa no es ciencia espacial.
El riesgo cibernético es solo un riesgo comercial adicional con el que la junta puede lidiar, porque la junta se ocupa del riesgo día tras día: financiero, recursos humanos, reputación, fusiones y adquisiciones, crecimiento. Se ocupan del riesgo todo el tiempo.
Lo que debemos hacer como industria es simplificar el mensaje y explicarles por qué necesitan tener responsabilidad cibernética y cómo pueden implementarla. Y eso definitivamente tiene que ver con asegurarse de cumplir con las normas, asegurarse de que solo almacene la información correcta en el momento correcto en las circunstancias correctas, y que tenga un sistema para demostrar que lo hace.
Esperaría que, con todas esas nuevas regulaciones, vamos a ver a muchas más personas de nivel C y directores a nivel de directorio responsables ante el dominio público por cuestiones cibernéticas y de cumplimiento. Creo que 2022 será un punto de inflexión en ese frente.