Una ciberseguridad robusta nunca ha sido tan importante como ahora que los ciberataques siguen aumentando. De hecho, las filtraciones de datos aumentaron un 72 % en 2023, estableciendo un nuevo máximo histórico, ya que los malos actores se aprovecharon de las vulnerabilidades expuestas por el trabajo remoto. Impulsados por la posibilidad de obtener beneficios económicos o de causar trastornos generalizados, los ciberdelincuentes pueden ser adversarios muy motivados.
Afortunadamente, las empresas no están abandonadas a su suerte sin ningún tipo de orientación. Los gobiernos están interesados en reducir los riesgos para las empresas y los datos de los clientes mediante la aplicación de normativas que ayuden a estandarizar las defensas contra los ataques. El incumplimiento de la normativa puede acarrear importantes multas para la empresa en caso de violación de los datos.
Esto pone a los fabricantes de productos en un aprieto, ya que deben comprender la normativa a la que estarán sujetos los clientes y asegurarse de que sus productos cumplen la normativa. Esto requiere una supervisión y vigilancia continuas, ya que la normativa puede cambiar, surgir o ser adoptada por diferentes regiones. Los fabricantes mundiales deben adelantarse a la curva normativa para evitar futuros problemas con las actualizaciones necesarias para mantener la conformidad.
Gobernanza vs cumplimiento
Desde la perspectiva del cliente, el cumplimiento de la normativa sólo representa el punto de partida para proteger los datos críticos; las organizaciones deben centrarse tanto en la gobernanza como en la conformidad. Estos términos pueden confundirse a veces, porque están estrechamente relacionados. La gobernanza se refiere a las políticas internas que las propias organizaciones establecen. Suelen ir más allá de la normativa gubernamental y adaptarse a su perfil de riesgo individual y al panorama de amenazas del sector.
Por otro lado, el cumplimiento representa las medidas establecidas para garantizar la adhesión a estas políticas y normativas internas. Es fundamental que estas medidas equilibren la seguridad con la experiencia del usuario, sin introducir fricciones innecesarias en los procesos. Estas medidas pueden ser auditadas por terceros y deben resistir el escrutinio.
Tanto la gobernanza como el cumplimiento se evalúan continuamente a medida que surgen nuevas amenazas y se descubren vulnerabilidades. Por ello, los fabricantes tienen la tarea no sólo de disponer de productos y servicios que cumplan la normativa, sino también de satisfacer los requisitos de gobernanza de todos los clientes.
Una reflexión global sobre la normativa
Por desgracia, las normativas no están estandarizadas en todas las zonas geográficas. Los fabricantes mundiales de tecnología de videovigilancia se enfrentan al reto de las diferencias normativas entre regiones.
Por ejemplo, la Comisión Europea ha introducido la Directiva sobre seguridad de las redes y de la información (NIS2), una ampliación de la anterior Directiva NIS. Esta directiva pretende reforzar los requisitos de los proveedores de infraestructuras críticas y servicios esenciales para que apliquen suficientes medidas de seguridad e incidentes. Su incumplimiento puede tener importantes repercusiones financieras y jurídicas.
Contrasta esto con Estados Unidos, con la Orden Ejecutiva 14028 sobre la Mejora de la Ciberseguridad de las Naciones emitida en 2021. Esto obliga a las agencias federales, pero también a las empresas privadas que proporcionan productos y servicios, a cumplir con la normativa mejorada.
Otros países y regiones del mundo tienen sus propios planteamientos específicos, lo que crea un panorama normativo complejo. Esto es especialmente cierto si una empresa tiene su sede en un país, como Estados Unidos, y opera a escala mundial. Deben adherirse a las normas locales de los países con los que hacen negocios, o corren el riesgo de incumplirlas.
Navegar con éxito por las diferentes normativas de protección de datos y ciberseguridad entre geografías comienza con un profundo conocimiento y comprensión de estas normativas, junto con las mejores prácticas para proteger los datos sensibles contra los ciberataques. Esto determinará qué tipo de protección de ciberseguridad debe incorporarse a los productos para respaldar las propias medidas de cumplimiento de los clientes.
Mantener una sólida gestión del ciclo de vida de los productos
Incluso con un amplio conocimiento de la normativa, los fabricantes no pueden perder de vista el panorama de las amenazas, en constante evolución. El firmware de los productos debe actualizarse periódicamente y en función de las nuevas vulnerabilidades. Pueden surgir problemas cuando aún se utilizan productos heredados, que a veces ya no pueden actualizarse.
Por esta razón, la ciberseguridad debe considerarse parte de la gestión del ciclo de vida del producto. Si los productos han superado una determinada edad, es posible que ya no sean ciberseguros. Esto se complica por la evolución de la normativa, que también puede significar que el dispositivo ya no cumpla los requisitos. Rectificar esto puede requerir que el fabricante revise el software y el firmware que tenga más de cinco años, lo que puede ser muy difícil.
Más allá de las cuatro paredes del fabricante, otra área que necesita atención es la cadena de suministro. Dado que la ciberseguridad es una prioridad, las organizaciones de la cadena de suministro del fabricante deben ser capaces de demostrar cómo enfocan la ciberseguridad y la protección de datos. Esto incluye cómo cumplen la normativa y por qué es seguro hacer negocios con ellas. Armados con este conocimiento, los fabricantes pueden estar seguros de que no están introduciendo inadvertidamente riesgos en sus productos.
Ahora que los clientes toman más medidas para asegurarse de que los productos que compran cumplen la normativa en ámbitos como el abastecimiento de componentes, la fabricación de productos, la sostenibilidad de la organización y la ciberseguridad, es más importante que nunca que las organizaciones sean transparentes.
Ser abierto sobre las vulnerabilidades, proporcionar una lista de los componentes necesarios en el software del producto en forma de lista de materiales de software (SBOM), y las actualizaciones de software, por nombrar algunos, genera confianza, que en el panorama global actual es un bien importante.
Tener en cuenta los intereses del cliente
Cuando se trata de ciberseguridad, es fundamental que las organizaciones comprendan las amenazas a las que se enfrentan y sus propios riesgos y vulnerabilidades, además de las normativas que deben cumplir sus clientes.
Como fabricantes de dispositivos utilizados por los clientes en sus operaciones de seguridad, tener un enfoque global en las medidas de ciberseguridad dará sus frutos. Mantiene las necesidades del cliente en primer plano al garantizar que los productos cumplan con las regulaciones más estrictas de los diferentes mercados. Además, Si se adoptan las regulaciones existentes en nuevos mercados, los productos ya las cumplen. De esta manera, los fabricantes actúan teniendo en cuenta el mejor interés del cliente y lo apoyan en sus objetivos de mantener sus datos seguros.
