Comprometidos con la satisfacción de nuestros clientes

Los modelos de Compliance en el sector de las empresas TIC

Los modelos de Compliance en el sector de las empresas TIC

28/11/2018

Las empresas dedicadas a las nuevas Tecnologías de la Información y la Comunicación (TIC) son ampliamente conscientes de los riesgos en los que se encuentra el desarrollo de su actividad de negocio, y aunque estos posibles males pueden ocurrir en cualquier negocio (casi todos cuentan ya con presencia en Internet), este sector se trata de uno de los más vulnerables en materia de cumplimiento normativo o compliance.

Ya hace 2 años que se publicó un estudio : “Gestión del compliance en el entorno TIC”, elaborado por la Asociación Española de Usuarios de Telecomunicaciones y de la Sociedad de la Información (Autelsi), y donde se reflejó los retos y oportunidades que tenían las empresas TIC en relación con los modelos de compliance o cumplimiento normativo.

 

¿A qué retos se enfrentan las empresas TIC en materia de compliance?

El compliance depende muchísimo de los sistemas de información, y con ello podemos tener un punto de partida muy claro: la creciente dependencia de las nuevas tecnologías en el mundo de la empresa es tal que muchos negocios hoy en día operan exclusivamente en el entorno de la Sociedad de la Información. Se habla por ello de transformación digital y de globalización y de la innovación basada en la tecnología como motor de cambio. Miles de soluciones tecnológicas aparecen cada día, respondiendo a las necesidades de pymes y grandes corporaciones de todo tipo de industrias.

De ahí que aparezcan conceptos como Big Data, Cloud Computing, Internet de las cosas, Social Business, Open Source, Movilidad… Por eso es tan importante la gestión de riesgos en el marco de los departamentos TIC de cualquier empresa, identificando medidas, controles y evidencias que den apoyo al programa de compliance general.

Junto con ello debemos saber que existen un conjunto potencial de ilícitos penales que pueden concurrir en una empresa tecnológica como son: Ciberseguridad y la protección de datos, delitos de propiedad intelectual e industrial o el delito d daños informáticos. Estos tres elementos destacan entre los más relevantes en materia de seguridad informática, pero no son los únicos. Hoy en día la tendencia es al incremento de medios informáticos para la comisión de delitos. Quienes los ejecutan corren un menor riesgo y obtienen un mayor beneficio.

 

¿Qué deben tener en cuenta las empresas TIC a la hora de elaborar su plan de cumplimiento normativo?

Los principales elementos de control se agrupan básicamente en:

• El control del entorno

• El análisis y gestión de riesgos

• Los sistemas de acceso y difusión de información y comunicación

• Las actividades de control y monitorización

Así, estas medidas y controles internos están soportados por políticas y procedimientos, establecidos por la organización con el objetivo de asegurar el cumplimiento normativo y legal, destacando los siguientes controles típicamente TIC:

 

• Definición de las políticas de seguridad de la información y de uso de los medios tecnológicos en que se soportan los procesos de negocio, incluyendo supervisión y revisión periódica del cumplimiento.

• Control de acceso basado en la necesidad de conocer mediante los que se regule el acceso a la información que también permite en control de las fugas de información.

• Auditoría a nivel de sistemas, aplicaciones, redes y sistema operativo mediante los que se identifique el acceso, la modificación y el borrado de la información.

• Destrucción y borrado seguro de la información crítica para el negocio de los medios de almacenamiento, así como aquella que se encuentre en formato papel.

• Respaldo y recuperación de la información crítica para el negocio.

• Controles de integridad de la información para evitar su alteración (sirvan de ejemplo servicios y soluciones informáticas como cortafuegos, IDS/IPS, software de gestión de derechos, aplicaciones para filtrar la información, etc.)

• Clasificación de la información según su nivel de criticidad para los procesos de negocio de la organización, lo que constituirá la base de las medidas de seguridad a aplicar.

• Securización (o cifrado) de la información transmitida por medios electrónicos (principalmente el correo electrónico o la mensajería instantánea).

• Monitorización de la actividad en los sistemas, aplicaciones, redes, etc., para asegurar la emisión de alarmas al detectarse comportamientos anómalos.

 

En un entorno empresarial donde cada vez se depende más de los ordenadores y del intercambio de información a través de las redes, uno de los aspectos que debe integrar un sistema efectivo de Compliance Penal es un buen esquema de seguridad informática.

Entendemos que la globalización, agudizada por el uso de Internet, abre un espacio nuevo en el que los límites geográficos tradicionales para delimitar la normativa aplicable por cada país pierden contornos, y las acciones con efecto en una punta del mundo pueden ser realizadas desde terminales ubicadas en el polo opuesto.

Como consecuencia de todo ello, desde Illeslex somo conscientes que el sector jurídico aboga por un rol proactivo en las empresas y en la sociedad en general, con reflejo también en algunas normas ISO recientes como las siguientes:

 

- ISO19600 sobre Sistemas de Gestión de Cumplimiento Normativo (Compliance Manager System) se basa en las mejores prácticas internacionales en materia de gestión, en este caso de Cumplimiento Legal, Transparencia, Ética Corporativa y Buen Gobierno. Además, la estructura de esta norma ha sido utilizada por UNE en su recientemente aprobada UNE 19601, sobre Sistemas de Gestión de Compliance Penal. Se trata de una norma certificable que sigue el esquema del artículo 31 bis del Código Penal y busca que las empresas puedan implantar sistemas eficaces para la prevención de los riesgos penales que ese precepto contempla como vía para eximir o atenuar la responsabilidad de las personas jurídicas.

 

- ISO 37001 para la prevención y detección del soborno, conocida como anticorrupción y antisoborno. Destaca porque cuenta con un sistema de controles similar al de ISO 19600, pero orientados para mitigar el riesgo de que esos delitos específicos se produzcan.

 

- ISO 19086, sobre computación en la nube, busca establecer bloques de acuerdos de nivel de servicio (SLA) en los proyectos que se aborden en la nube. Microsoft ha sido uno de los auspiciadores de esta ISO, y con el ánimo de proporcionar una nube segura ha desarrollado además un checklist en el que los responsables jurídicos de los proyectos cloud computing encontrarán todas las cuestiones jurídicas que han de abordar para evitar sorpresas posteriores.

 

- Se prevé una futura ISO sobre Blockchain, la tecnología que subyace debajo de las criptomonedas o Bitcoins. ISO considera que se trata de una tecnología de tal relevancia para la seguridad y confianza de las transacciones internacionales, que su estandarización significará un paso adelante en la manera de trabajar a escala internacional, un estímulo para una mayor interoperabilidad y mayores aceptación e innovación en su uso y aplicaciones. En la actualidad varios grupos de expertos trabajan en cuestiones relativas a Blockchain como su arquitectura, taxonomía, ontología, casos de uso, seguridad y privacidad y contratos inteligentes.

 

Como resultado de todo ello, los profesionales y técnicos de Illeslex promovemos una adopción progresiva de estos estándares internacionales porque permiten a las empresas a las que asesoran trabajar en un contexto legal internacional y complejo de manera segura, más eficaz, previendo problemas de contornos jurídicos con procesos de trabajo que se han demostrado eficaces y por eso se han homologado. Significa también acercar a las plantillas de las empresas, o al menos a sus mandos y responsables, a una cultura de cumplimiento, en muchas ocasiones a través de la formación que la mayoría de estos estándares internacionales imponen para obtener su certificación o aconsejan para su correcta implantación.

Y es que, en definitiva, una de las consecuencias económicas directas de ajustarse a estos patrones es, en el caso de que sean certificables como lo son UNE 19601 o ISO 37001, que se consigue demostrar un compromiso de buen hacer que puede ser el decisivo para ganar la confianza del mercado y acceder así a determinados contratos o licitaciones, teniendo en cuenta la reciente Ley 9/2017 de Contratos del Sector Público.

 

José Antonio Caldés
Responsable Compliance y Buen Gobierno Corporativo

 

< Volver

Esta web utiliza cookies para obtener datos estadísticos de la navegación de sus usuarios. Si continúas navegando consideramos que aceptas su uso. Más informaciónX Cerrar

E-mail