Adopción de un enfoque sin fronteras para la gobernanza de la ciberseguridad

Wayne Dorris

La ciberseguridad sólida nunca ha sido más importante a medida que los ataques cibernéticos continúan aumentando. De hecho, solo contra las empresas del Reino Unido, los ataques maliciosos aumentaron en casi un 20% en 2020, ya que los malos actores se aprovecharon de las vulnerabilidades introducidas por el trabajo remoto. Impulsados ​​por el potencial de obtener ganancias financieras o una disrupción generalizada, los ciberdelincuentes pueden ser adversarios muy motivados.

Afortunadamente, no se deja que las empresas se las arreglen por sí mismas sin orientación. Los gobiernos están interesados ​​en reducir los riesgos para las empresas y los datos de los clientes mediante la implementación de regulaciones que ayuden a estandarizar las defensas contra los ataques. El incumplimiento puede resultar en multas significativas para la empresa en caso de violación de datos.

Esto pone a los fabricantes de productos en una situación un poco difícil, ya que deben comprender las regulaciones a las que estarán sujetos los clientes y asegurarse de que sus productos cumplan con las mismas. Esto requiere un seguimiento y una vigilancia continuos, ya que las regulaciones pueden cambiar, surgir o adoptarse de una región a otra. Los fabricantes globales deben estar a la vanguardia de la curva regulatoria para evitar problemas futuros con las actualizaciones necesarias para mantener el cumplimiento.

Gobernanza vs Cumplimiento

Desde la perspectiva del cliente, el cumplimiento de la regulación solo representa el punto de partida para proteger los datos críticos; las organizaciones deben centrarse tanto en la gobernanza como en el cumplimiento. Estos términos a veces pueden confundirse porque están estrechamente relacionados. La gobernanza se refiere a las políticas internas que las organizaciones implementan por sí mismas. Estos tienden a ir más allá de las regulaciones gubernamentales y se adaptan a su perfil de riesgo individual y al panorama de amenazas de la industria.

Por otro lado, el cumplimiento representa las medidas implementadas para asegurar el cumplimiento de estas políticas y regulaciones internas. Es fundamental que estas medidas equilibren la seguridad con la experiencia del usuario, sin introducir fricciones innecesarias en los procesos. Estas medidas pueden ser auditadas por un tercero y deben resistir el escrutinio.

Tanto la gobernanza como el cumplimiento se evalúan continuamente a medida que surgen nuevas amenazas y se descubren vulnerabilidades. Como tal, los fabricantes tienen la tarea no solo de tener productos y servicios que cumplan con el cumplimiento normativo, sino también de cumplir con los requisitos de gobernanza de todos los clientes.

Pensando globalmente en la regulación

Desafortunadamente, las regulaciones no están estandarizadas en todas las geografías. Los fabricantes mundiales de tecnología de videovigilancia enfrentan el desafío de las diferencias en las regulaciones entre regiones. Por ejemplo, el RGPD en Europa dicta cómo se gestionan y almacenan los datos personales. Los datos recopilados sobre ciudadanos de países de la Unión Europea están sujetos a este reglamento dondequiera que se recopilen. El incumplimiento puede tener un impacto financiero significativo. De hecho, desde la llegada del RGPD en 2018, ya se han impuesto 332,4 millones de dólares en multas a organizaciones que infringieron las regulaciones.

Compare esto con EE. UU., Donde no existe un estándar universal y cada estado tiene su propia regulación a la que deben adherirse las empresas. Otros países y regiones de todo el mundo tienen sus propios enfoques específicos, lo que crea un panorama regulatorio complejo. Esto es especialmente cierto si una empresa tiene su sede en un país, como EE. UU., Y opera a nivel mundial. Deben adherirse a los estándares locales de los países con los que hacen negocios o corren el riesgo de no cumplirlos.

Navegar con éxito las diferentes regulaciones de protección de datos y ciberseguridad entre geografías comienza con un profundo conocimiento y comprensión de estas regulaciones, junto con las mejores prácticas para proteger los datos confidenciales contra los ciberataques. Esto determinará qué tipo de protección de ciberseguridad debe incorporarse en los productos para respaldar las medidas de cumplimiento propias de los clientes.

Los fabricantes deben mantenerse un paso por delante

Incluso con un vasto conocimiento de las regulaciones, los fabricantes no pueden perder de vista el panorama de amenazas en constante cambio. El firmware de los productos debe actualizarse periódicamente y en consonancia con las nuevas vulnerabilidades. Se pueden encontrar problemas en los casos en que los productos heredados siguen en uso, y que a veces ya no se pueden actualizar.

Por esta razón, la ciberseguridad debe considerarse como parte de la gestión del ciclo de vida del producto. Si los productos superan una cierta edad, es posible que ya no sean ciberseguros. Esto se complica al cambiar las regulaciones, lo que también puede significar que el dispositivo ya no cumple.  Para rectificar esto puede ser necesario que el fabricante revise el software y el firmware que tiene más de cinco años, lo que puede ser muy difícil.

Más allá de las cuatro paredes del fabricante, otra área que necesita atención es la cadena de suministro. Dado que la ciberseguridad es una prioridad importante, las organizaciones de la cadena de suministro del fabricante deben poder demostrar cómo abordan la ciberseguridad y la protección de datos. Esto incluye cómo cumplen con la regulación y por qué son ‘seguros’ para hacer negocios. Gracias a este conocimiento, los fabricantes pueden estar seguros de que no están introduciendo riesgos en sus productos sin darse cuenta.

Tener en cuenta los intereses del cliente

En lo que se refiere a la ciberseguridad, es fundamental que las organizaciones comprendan las amenazas a las que se enfrentan y sus propios riesgos y vulnerabilidades, además de las regulaciones que sus clientes necesitan cumplir.

Como fabricantes de dispositivos utilizados por los clientes en sus operaciones de seguridad, un enfoque global de las medidas de seguridad cibernética pagará dividendos. Mantiene las necesidades del cliente a la vanguardia al asegurar que los productos se adhieran a las regulaciones más estrictas de los diferentes mercados. Además, si las regulaciones existentes se adoptan en nuevos mercados, los productos ya son compatibles, lo que niega la necesidad de actualizar el firmware. De este modo, los fabricantes actúan teniendo en cuenta el interés superior del cliente y les apoyan en sus objetivos de mantener sus datos seguros y protegidos.

Haga clic aquí para obtener más información sobre cómo Axis crea ciberseguridad en sus productos.

Características de ciberseguridad integradas