Una ciberseguridad sólida nunca ha sido tan importante a medida que aumentan los ciberataques. De hecho, los robos de datos aumentaron un 72 % en 2023, estableciendo un nuevo máximo histórico, ya que los delincuentes aprovecharon las vulnerabilidades expuestas por el teletrabajo. Impulsados por las posibles ganancias financieras o la disrupción generalizada, los ciberdelincuentes pueden ser adversarios altamente motivados.
Afortunadamente, las empresas no se ven obligadas a defenderse por sí mismas sin orientación. Los Gobiernos están dispuestos a reducir los riesgos para las empresas y los datos de los clientes mediante la implementación de normativas que ayuden a estandarizar las defensas contra los ataques. El incumplimiento puede dar lugar a multas significativas para la empresa en caso de un evento de robo de datos.
Esto pone a los fabricantes de productos en un aprieto, ya que deben comprender las normativas a las que estarán sujetos los clientes y asegurarse de que sus productos las cumplen. Esto requiere una supervisión y vigilancia continuas, ya que pueden surgir nuevas normativas o las existentes pueden cambiar o ser diferentes en función de las diferentes regiones. Los fabricantes globales deben mantenerse a la vanguardia de la curva normativa para evitar problemas futuros con las actualizaciones necesarias para mantener la conformidad.
Gobernanza frente a cumplimiento
Desde el punto de vista del cliente, el cumplimiento de las normativas solo representa el punto de partida para proteger los datos críticos; las organizaciones deben centrarse tanto en la gobernanza como en el cumplimiento. Estos términos a veces pueden confundirse, ya que están estrechamente relacionados. La gobernanza hace referencia a las políticas internas que las organizaciones establecen por sí mismas. Tienden a ir más allá de las normativas gubernamentales y a adaptarse a su perfil de riesgo individual y al panorama de amenazas del sector.
Por otro lado, el cumplimiento representa las medidas implementadas para garantizar el cumplimiento de estas políticas y regulaciones internas. Es fundamental que estas medidas equilibren la seguridad con la experiencia del usuario, sin introducir fricción innecesaria en los procesos. Estas medidas pueden ser auditadas por un tercero y deben soportar el escrutinio.
Tanto la gobernanza como el cumplimiento se evalúan continuamente a medida que surgen nuevas amenazas y se descubren vulnerabilidades. Como tal, los fabricantes tienen la tarea no solo de disponer de productos y servicios que cumplan con las normativas, sino también de cumplir con los requisitos de gobernanza de todos los clientes.
Regulación a nivel global
Lamentablemente, las normativas no están estandarizadas en todos los países. Los fabricantes globales de tecnología de videovigilancia se enfrentan al reto de las diferencias de normativa entre regiones.
Por ejemplo, la Comisión Europea ha introducido la Directiva sobre Ciberseguridad (NIS2), una ampliación de la anterior Directiva NIS. Esta directiva tiene como objetivo reforzar los requisitos de las infraestructuras críticas y los proveedores de servicios esenciales para implementar medidas de seguridad e incidentes suficientes. El incumplimiento puede conllevar implicaciones financieras y legales significativas.
En contraste con EE. UU., con la Orden Ejecutiva 14028 sobre la mejora de la ciberseguridad de las naciones emitida en 2021, que obliga a los organismos federales, pero también a las empresas privadas que proporcionan productos y servicios, a cumplir con las normativas mejoradas.
Otros países y regiones de todo el mundo tienen sus propios enfoques específicos, lo que crea un panorama normativo complejo. Esto es especialmente cierto si una empresa tiene su sede en un país, como EE. UU., y opera a nivel global. Debe adherirse a las normas locales de los países con los que hace negocios, o corre el riesgo de incumplirlas.
Hacerse camino por las diferentes normativas de protección de datos y ciberseguridad entre países comienza con un profundo conocimiento y comprensión de estas normativas, junto con las mejores prácticas para proteger los datos sensibles contra los ciberataques. Esto determinará qué tipo de protección de ciberseguridad debe incorporarse en los productos para respaldar las propias medidas de cumplimiento de los clientes.
Mantenimiento de una sólida gestión de la vida útil de los productos
Incluso con un amplio conocimiento de las normativas, los fabricantes no pueden perder de vista el panorama de amenazas en constante cambio. El firmware de los productos debe actualizarse periódicamente y en línea con las nuevas vulnerabilidades. Pueden surgir problemas cuando se siguen usando productos antiguos que, a veces, ya no se pueden actualizar.
Por este motivo, la ciberseguridad debe considerarse como parte de la gestión de la vida útil del producto. Si los productos superan una cierta antiguedad, es posible que ya no sean ciberseguros. Esto se complica al cambiar las normativas, lo que también puede significar que el dispositivo ya no cumple con las normativas. La corrección de este problema puede requerir que el fabricante revise el software y el firmware que tienen más de cinco años, lo que puede resultar muy complicado.
Más allá del fabricante, otra área que necesita atención es la cadena de suministro. Dado que la ciberseguridad es una prioridad alta, las organizaciones de la cadena de suministro del fabricante deben ser capaces de demostrar cómo abordan la ciberseguridad y la protección de datos. Esto incluye cómo cumplen con la normativa y por qué resulta seguro colaborar con ellos. Gracias a estos conocimientos, los fabricantes pueden estar seguros de que no están introduciendo accidentalmente riesgos en sus productos.
Dado que los clientes toman mayores medidas para garantizar que los productos que compran sean más conformes en áreas como el abastecimiento de componentes, la fabricación de productos, la sostenibilidad de las organizaciones y la ciberseguridad, es más importante que nunca que las organizaciones sean transparentes.
Ser honestos sobre las vulnerabilidades, proporcionar una lista de componentes necesarios en el software de los productos en forma de una lista de materiales de software (SBOM) y actualizar el software, entre otras medidas, genera confianza, lo que en el panorama global actual es vital.
Tener en cuenta los intereses de los clientes
Cuando se trata de ciberseguridad, resulta fundamental que las organizaciones comprendan las amenazas a las que se enfrentan y sus propios riesgos y vulnerabilidades, además de las normativas que sus clientes deben cumplir.
Como fabricantes de dispositivos utilizados por los clientes en sus operaciones de seguridad, un enfoque global de las medidas de ciberseguridad dará sus frutos. Mantiene las necesidades del cliente en la vanguardia garantizando que los productos cumplan con las normativas más estrictas de los diferentes mercados. Además, si se adoptan las normativas existentes en nuevos mercados, los productos ya cumplirán con las normativas, lo que elimina la necesidad de actualizar el firmware. De este modo, los fabricantes actúan teniendo en cuenta el mejor interés del cliente y le apoyan en sus objetivos de mantener sus datos seguros y protegidos.
