El conjunto normativo crece constantemente y las organizaciones se plantean con estupor como hacerle frente, y por donde empezar. Nos encontramos con normas nacionales como la Ley Orgánica de Protección de Datos (LOPD) y sus reglamentos de desarrollo; LSSI, la reciente Ley de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones; Ley de Firma electrónica; legislación sectorial que hace referencia a la seguridad de la información... e internacionales: Sarbanes-Oxley Act (SOX); Basel II; MFID… etcétera, añadiéndose al ámbito regulatorio los diferentes estándares aplicables como el caso de ISO, Cobit o ITIL. Así, asegurar el cumplimiento se convierte en un reto importante para muchas organizaciones.

En este conjunto no queremos olvidar la próxima aprobación del nuevo Reglamento de Medidas de Seguridad de desarrollo de la LOPD, que además de aclarar algunos aspectos de la aplicación de la LOPD, incorporará nuevas medidas de seguridad, destacando su influencia decisiva en el ámbito de cumplimiento regulatorio de seguridad sobre el papel.

Esta inclusión es vista en el ámbito empresarial como una dificultad para alcanzar su cumplimiento, dado que son pocas las organizaciones que disponen o aplican sus normativas de seguridad a la protección de los datos de carácter personal en soporte papel. Se ha olvidado el papel, pero la falta de protección del papel ha causado ya graves incidentes de seguridad, con su correspondiente publicidad negativa para las organizaciones afectadas (expedientes médicos en contenedores y vertederos, curriculums en la basura,…). Es evidente que cada vez se depende más de los sistemas informáticos, lo que ha tendido a imponer las medidas de seguridad en el tratamiento automatizado de la información.

La información es el activo más valioso que tienen las organizaciones, tanto a nivel interno como en muchos casos en su relación con terceros (clientes, inversores, usuarios, pacientes…). Todos sabemos que una buena gestión de la información contribuye al éxito empresarial de una manera extraordinaria, convirtiéndose así la gestión de la información en un activo muy importante. En nuestra relación con clientes, en revistas y foros se escuchan comentarios y noticias sobre las trabas e inconvenientes para la empresa del cumplimiento normativo, “el cumplimiento no me aporta valor añadido”, las empresas prefieren no cotizar a cumplir SOX, “el cumplimiento, ¿es un gasto o una inversión?”, frente a las ventajas y protección de los afectados, organizaciones y terceros.

En muchas ocasiones se observa que el cumplimiento se convierte en una cuestión de prioridades, siendo postergado constantemente, o en un cálculo de probabilidades de que descubran nuestra situación. Aquí es necesario tener en cuenta, que las sanciones impuestas por muchas de las normas indicadas no sólo traen consigo un importante perjuicio económico, del que muchas organizaciones pueden verse muy seriamente afectadas, sino también el coste social. Así, aunque el cumplimiento puede ser caro, el no cumplimiento pone al negocio en riesgo.

Este amplio conjunto normativo, aún siendo heterogéneo en cuanto al ámbito de su aplicación, tiene puntos en común, dado que se orienta a la implantación de medidas de seguridad en ámbitos concretos de la información. Esto lleva a la necesidad de que en las organizaciones se potencie la implantación de planes y políticas de seguridad en las que se podrán ir encajando los requerimientos normativos. Así, las organizaciones observan en el desarrollo de este proceso de implantación, que en el cumplimiento de un marco normativo concreto hay exigencias que la empresa ya está cumplimiento derivado del cumplimiento de otros estándares o normativas. No olvidemos que el cumplimiento normativo e intentar diseñar una organización de seguridad a un coste eficaz, puede ser difícil.

Las políticas y planes de seguridad han de estar basados en requerimientos internos de seguridad, estándares, buenas prácticas del sector y en el cumplimiento normativo, para hacer frente al cumplimiento normativo desde una perspectiva de seguridad integral. Esta condición también viene dada, por que como podemos observar en la mayor parte de las normas y estándares indicados, la eficacia de las medidas incluidas en las políticas y planes de seguridad, no depende sólo de la tecnología, también depende de la estructura organizativa.

Adicionalmente a que nos encontremos ante leyes de obligado cumplimiento, es necesario crear una conciencia para considerar y aprovechar este proceso como una inversión más que un gasto, aprovechando para mejorar los procesos internos, como mejora de su calidad. Se debe invertir para el buen uso de la información interna y frente a nuestros clientes, inversores, usuarios… que forman parte del objetivo de nuestro negocio. Podemos aprovechar esa necesaria obligación legal para optimizar nuestra situación de seguridad.

Es necesario el compromiso de la organización por la seguridad, lo que ayudará al cumplimiento normativo, a crear una cultura interna de seguridad, y todo ello contribuirá a la creación de un ciclo de mejora continua de la seguridad de la información. El trabajo de las organizaciones debe enfocarse a una adaptación completa y exhaustiva contando, cuando sea necesario, con especialistas que puedan aportar no sólo su conocimiento, sino también experiencia. El cumplimiento se convierte en un activo y punto diferenciador, dando como resultando un aumento de la satisfacción y permanencia de los clientes, inversores, usuarios… El equipo profesional de Accenture desarrolla su trabajo, en colaboración con sus clientes, para conseguir que además de un cumplimiento legal, sus iniciativas sean una inversión y palanca de mejora que añadan valor e innovación a la organización.