Fundado en 1910
Jorge Torres

Jorge Torres, director general del Grupo Adaptalia

Jorge Torres (Adaptalia): «Muchas organizaciones no conocen bien las regulaciones que les afectan»

El director general de Adaptalia analiza el cibercompliance de las empresas y los riesgos a los que se enfrentan por sus desconocimiento

En colaboración con Adaptalia

En nuestra sesión de ciberseguridad en Caixaforum planteaste un nuevo concepto de gestión del cumplimiento normativo, el cibercompliance. Todos conocemos lo que es y que supone el Compliance en las empresas, pero cuando hablamos de cibercompliance, ¿a qué os referís y por qué es importante para las organizaciones hoy en día?

— Actualmente y quizá más a raíz de la popularización de los sistemas IA, el cibercompliance se ha convertido una necesidad crucial en las organizaciones. Vivimos rodeados de tecnología y por ello las empresas deben adoptar normativas, políticas y controles que les permitan dar soporte y cumplir con las leyes de ciberseguridad, protección de datos o de IA que los tanto a nivel español o de la Unión se van publicando. Con este entorno donde las ciberamenazas están en constante evolución, en el Grupo Adaptalia ofrecemos unas soluciones que permiten evitar sanciones legales, proteger el negocio (información y datos) y la reputación de la empresa

— Con este escenario normativo, ¿cuáles son los principales retos a los que enfrentan las empresas cuando intentan implementar un programa de cibercompliance?

— Los retos en este escenario son diversos. El principal que nos hemos encontrado es que muchas organizaciones no tienen un conocimiento claro de las regulaciones que les afectan, todos conocemeos el reglamento de protección de datos, pero existen muchas más, la NIS 2, a aplicación del ENS en proveedores de la Administración Pública, o el recientemente publicado de IA, por mencionarte los más significativos. El otro reto es la gestión de los riesgos tecnológicos o cibernéticos, piensa en que con el avance frenético de la tecnología las amenazas cambian constantemente y se hacen más complejas. Pero el que quizá más significativo es el que proviene de los organismos de dirección de las empresas que muchas veces subestiman la importancia del cibercumplimiento y no invierten adecuadamente en formación o asesoramiento especializado como el que ofrecemos nosotros.

Con el avance frenético de la tecnología las amenazas cambian constantemente y se hacen más complejas

— Tenéis unos retos muy claros y definidos, entonces ¿cómo se pueden superar estos desafíos y garantizar que se da cumplimiento a las normativas de ciberseguridad?

— La forma más adecuada de iniciar este proceso de cumplimiento es analizar que entornos normativos nos son de aplicación, para entender que regulaciones debemos aplicar. A partir de ahí, implementación de políticas, formación y concienciación de trabajadores, análisis de riesgos y controles internos o auditorías son algunas de las principales acciones que tendremos que desarrollar. He dejado para el final a la tecnología, esta desempeña un papel esencial en todo los procesos y hoy en día es indispensable que una organización disponga de herramientas de monitorización, protección o de continuidad de negocio, establecidas a través de un procedimiento de consultoría especializado. Y por supuesto, el total compromiso de la dirección.

Jorge Torres, director general de Adaptalia

Jorge Torres, director general de Adaptalia

— Has mencionado las auditorías y controles internos, para muchos suenan a algo que temer pero, ¿qué papel desempeñan en el cibercompliance?

— Es cierto que cuando nos hablan de auditoría tendemos a pensar en revisiones de carácter sancionador, pero en el caso de cibercompliance son una herramienta fundamental. A través de las auditorías y de la aplicación de controles internos nos aseguramos que las políticas, procedimientos, y sistemas cumplen con las regulaciones, nos permiten verificar que no existen vulnerabilidades críticas o evaluar autorizaciones de acceso a datos. Los resultados que obtenemos en una auditoría dependerá del alcance de la misma, lo que si es común a todas es la oportunidad que nos ofrece para controlar, ajustar y mejorar los procesos, este proceso de mejora es lo que nos permite estar alienados con el cumplimiento y la aplicación de las mejores prácticas.

La cultura organizacional es fundamental para el éxito del cibercompliance

— En toda organización lo más complejo de implantar es la aplicación de una nueva normativa, en vuestro caso, ¿cómo puede una empresa asegurarse que la cultura en cibersegurdidad es adoptada?

— La cultura organizacional es fundamental para el éxito del cibercompliance. Una vez que desde la alta dirección de las empresas se promueve una cultura de seguridad y se refuerza la importancia del cumplimiento normativo, se debe permear a toda la organización de forma que consigamos una total capilaridad en todos los departamentos y personal. Como bien sabemos, los humanos somos reacios a los cambios por este motivo la concienciación y formación continua son claves para superar esta reticencia al cambio y desplegar adecuadamente la cultura de ciberseguridad. Debemos transmitir la responsabilidad que tiene el personal de la empresa a la hora de proteger la información, los datos y de cumplir con las normativas. Y sobre todo que se pierda el miedo a informar de cualquier anomalía o sospecha de brecha de seguridad sin temor a represalias, a veces la notificación de una anomalía en un usuario puede evitar un daño mayor.

— De unos años a esta parte se habla del GRC. ¿cómo encaja el cibercompliance en esta estrategia de gestión?

— GRC estable un marco y un enfoque integral que ayuda a las organizaciones a mantener una gestión coherente y controlada de sus políticas, sus riesgos, y del cumplimiento normativo. Dentro de este marco, el cibercompliance asegura que todos los aspectos relacionados con la ciberseguridad cumplan con las regulaciones y estándares que protegen la privacidad, la seguridad digital y todo lo relacionado con la tecnología. Es decir, con el cibercompliance implementamos políticas, normas o procedimientos en el ámbito digital y con el GRC garantizamos que estas prácticas se integran en la estructura de la organización, alineados con la estrategia, la gestión de riegos y la cultura de cumplimiento.

— Ahora que está tan de moda la inteligencia artificial ¿cómo puede ayudar al cibercompliance?

— Los sistemas que utilizan inteligencia artificial permiten que las soluciones en materia de ciberseguridad puedan adaptarse y reaccionar de manera inteligente a amenazas emergentes. Además al analizar grandes cantidades de datos en tiempo real, detecta patrones de riesgo y comportamientos anómalos. Los algoritmos de IA pueden identificar intentos de acceso inusual o monitorizar sistemas para mejorar la detección de ataques, optimizando el cumplimiento y fortaleciendo la seguridad digital de las organizaciones.

Los algoritmos de IA pueden identificar intentos de acceso inusual

— Dicho así parece que con inteligencia artificial arreglamos el cibercompliance, pero su uso no está exento de riesgos, ¿a qué nos enfrentamos?

— Si bien la inteligencia artificial aporta numerosos beneficios en el ámbito del cibercompliance, también presenta muchos riesgos que pueden afectar la seguridad, la privacidad y al cumplimiento normativo. Los algoritmos de IA toman sus decisiones basadas en grandes cantidades de datos y no siempre se puede garantizar el resultado obtenido o ni una transparencia en los procesos que se llevan a cabo, lo que puede desencadenar en una toma de decisiones de seguridad incorrectas o un trato desigual a los usuarios.

También son susceptibles de ataques, de tal manera que se pueden manipular los datos de entrenamiento para alterar resultados o permitir accesos no autorizados. Además pueden identificar actividades sospechas cuando no lo son (falso positivo) o dejar pasar amenazas reales por considerarlas buenas (falsos negativos). Existen más riesgos, pero quizá el más crítico es como respondemos a la siguiente pregunta ¿y si algo falla, quién se responsabiliza?, lo cual genera dilemas legales y éticos sobre la responsabilidad. Por todo ello, es fundamental que las organizaciones implementen medidas de supervisión y control para asegurar que la IA no solo cumpla con las regulaciones, sino que también actúe de manera ética y transparente.

En el futuro, veremos un aumento en las regulaciones en todos los ámbitos tecnológicos y de gobernanza de los datos

— Finalmente, ¿cómo ves el futuro del cibercompliance y como deberían prepararse las organizaciones?

— En el futuro, veremos un aumento en las regulaciones en todos los ámbitos tecnológicos y de gobernanza de los datos. Hemos visto como la IA se ha incorporado en nuestras vidas y su posterior regulación, lo mismo pasará con otras tecnologías emergentes o por la evolución de las actuales y es precisamente esta evolución constante la que exigirá un desarrollo más detallado y amplio de la normativa.

En un mundo cada vez más digitalizado, el cumplimiento y la seguridad son esenciales para asegurar la integridad y confianza en los sistemas y servicios digitales. Al cumplir con estos estándares, contribuimos a un entorno digital seguro, ético y confiable. Por esto ebemos enfocar y preparar a las organizaciones para apliquen las mejores prácticas en el ámbito de la ciberseguridad, la gestión de riesgos y la gobernanza. La complejidad de la normativa hace que muchas organizaciones busquen el apoyo de empresas especializadas como la nuestra, el Grupo Adaptalia.

tracking