El Compliance Officer y la ciberseguridad

22.05.2018

Desde que empecé a involucrarme en el mundo de Compliance, ya a lo largo de más de 15 años, me he dado cuenta de que la gente aún no conoce porqué debe existir un Oficial de Cumplimiento en las empresas, e inclusive bajo qué línea de reporte debe estar situado, y de compensación ya ni hablamos.

He tenido la fortuna de trabajar para empresas trasnacionales y recientemente nacionales, y aunque sigue siendo todavía un camino por conocer, lo principal sería definir cuál es perfil deseado para un Compliance Officer, abundando ahora en razón de los acontecimientos recientes en materia de ciberseguridad, perfilando rotundamente la importancia de contar con un Oficial de Cumplimiento.

¿Qué hace un Compliance Officer?

En pocas palabras es el responsable de asegurar el debido apego a las leyes y regulaciones a las que está sujeta la empresa. Es aquel que diseña e implementa planes de cumplimiento a lo largo y ancho de las organizaciones, con el objetivo de prever sanciones, faltas, y daño reputacional.

De acuerdo con la NOM 19600-IMNC-2017 es aquel que debe identificar obligaciones de la empresa, coordinar entrenamientos de cumplimento, informar los posibles riesgos de incurrir en incumplimientos, establecer procesos internos para identificar y atender los riesgos derivados de sus relaciones con clientes, proveedores, distribuidores y empresas comerciales externas.

El Compliance Officer fungirá como consejero y motivador de mejores prácticas, vigilando y supervisando el cumplimiento de todos aquellos que integran las organizaciones, monitoreando el funcionamiento de los sistemas de prevención de riesgos, para tomar las medidas preventivas a tiempo y correctivas en caso de ser pertinente.

¿Qué es la ciberseguridad?

"Protección de activos de información, a través del tratamiento de amenazas que ponen en riesgo la información que es procesada, almacenada, y transportada por los sistemas de información que se encuentran interconectados"[i]

El activo de información es definido por la norma ISO/IEC 27001:2013, como el conjunto de datos o conocimientos que tienen un valor dentro de la organización. Y los sistemas de información comprenden a las aplicaciones, servicios, activos de tecnologías de información u otros que permiten su manejo. Por lo anterior, la ciberseguridad tiene como objetivo el proteger la información digital que "vive" en los sistemas interconectados y forma parte de la confiabilidad de la información.

De acuerdo con Julia Urbina-Pineda[ii] en los tiempos que vivimos, las organizaciones deben contar con un programa de ciberseguridad, el cual se establece como un proceso continuo de prevención, y que debe caminar de la mano del Compliance Officer con la finalidad de elaborar un adecuado plan de concientización, una cultura de seguridad y privilegiar siempre los procesos efectivos para vigilar el objetivo fundamental y su apego. El Compliance es el factor de éxito de la ciberseguridad actual, pues supone el conocimiento y cumplimiento de la legislación vigente.

La ciberseguridad se construye con controles de seguridad; Estos controles pueden ser: organizacionales, procedimentales y normativos (Compliance), así como técnicos. Ante un nuevo servicio, ya sea este una web o un servicio esencial que soporta una infraestructura crítica, se debe evaluar y gestionar el riesgo tecnológico, seleccionando qué controles deben ser aplicados.

Urbina-Pineda nos dice que la ciberseguridad representa un paso más en la evolución de la seguridad de la información. Actualmente no solo hay que proteger la información y el valor que está tiene, sino también la integridad de las personas, que se puede ver amenazada por ejemplo, mediante un ataque cibernético a una infraestructura crítica.

Susana Rivero[iii] asegura que la responsabilidad más importante de dicho rol, será justamente vigilar el cumplimiento de los controles, conducir el entrenamiento necesario para que el esquema de funciones identifique a tiempo los riesgos derivados de no adoptar las medidas físicas, técnicas y administrativas necesarias. Lo anterior, con la finalidad de evitar cualquier vulnerabilidad a dichos controles. Si bien en materia de ciberseguridad, se requieren refuerzos o medidas tecnológicas, el eslabón de responsabilidades siempre deberá estar custodiado por quien establece los controles, en este caso el Oficial de Cumplimiento, de ahí deriva su indispensable labor.

Por tanto, el rol del Compliance Officer será en gran medida exitoso, en tanto se adelante, prevea los riesgos que aun no siendo materializados hoy en día, puedan convertirse en futuras amenazas y para las cuales no nos hemos preparado. El Compliance Officer deberá ver hacia el futuro, deberá conocer el negocio del cual forma parte hoy, para estar siempre vigoroso y atento, antes de que llegue el siguiente paso.

Adriana Peralta Ramos

[i] ISACA Information Systems Audit and Control Association https://www.isaca.org/pages/default.aspx

[ii] Julia Urbina-Pineda, CEO de Ciberseguridad Móvil e Inalámbrica. Es Investigadora Adjunta del Laboratorio de Internet de las Cosas (IOT) @ TEC, con la línea de trabajo: seguridad en los sistemas IOT y Ciber-Físicos para Redes 5G. Es considerada Aliada Estrategia por parte de la División Científica de la Comisión Nacional de Seguridad. Con su socio Comercial, LUMIT, trabajan en el desarrollo de la seguridad inteligente para 5G con el uso de la Tecnología BlockChain.

[iii] Susana Rivero Vázquez, Oficial de Cumplimiento con más de 10 años de experiencia como abogada corporativa. Ha sido responsable de proveer asesoría a empresas de giro público y privado, principalmente en derecho societario, adquisiciones, protección de datos personales, entre otros.