La conformidad está evolucionando: ¿está preparada tu capacidad de recuperación?
Detectando un cambio en el ámbito de la privacidad y el cumplimiento normativo.
La evolución del papel de los profesionales de la privacidad ha sido notable en la última década. Anteriormente, su enfoque principal era garantizar la transparencia en la recolección de datos personales, ofreciendo opciones a los individuos sobre el manejo de su información, y salvaguardando sus derechos en caso de que los datos fueran comprometidos. Sin embargo, en el contexto actual de ciberseguridad y regulaciones, su función se ha expandido significativamente.
Ahora, los profesionales de la privacidad no solo protegen los datos personales, sino que también tienen que gestionar las amenazas a la integridad y disponibilidad de los servicios que procesan esos datos. Esto implica una colaboración constante con equipos de producto y ingeniería para asegurar la disponibilidad y resiliencia de las soluciones implementadas.
De acuerdo con el Informe de Gobernanza de Privacidad 2024, más del 80% de los profesionales en este ámbito se enfrentan a nuevas responsabilidades que van más allá de sus funciones tradicionales. La conformidad con las regulaciones de ciberseguridad se ha convertido en la segunda nueva responsabilidad más común en sus roles, destacando la necesidad de mitigar riesgos cibernéticos y reforzar la resiliencia organizacional.
La transformación en las responsabilidades de los profesionales de la privacidad refleja un cambio significativo en el entorno regulatorio de datos. En los últimos dos años, se han promulgado diversas regulaciones que priorizan tanto la resiliencia como la gestión de riesgos, haciéndolas tan esenciales como la privacidad de los datos.
Tres regulaciones recientes que son emblemáticas del cambio en el cumplimiento de regulaciones son: la Directiva sobre la Seguridad de Redes y Sistemas de Información 2 (NIS2), la Ley de Resiliencia Operacional Digital (DORA) y la nueva Regla de Ciberseguridad de la Comisión de Bolsa y Valores (SEC) de EE. UU. NIS2 tiene como objetivo mejorar las prácticas de seguridad digital en 18 sectores, mientras que DORA se centra en los riesgos en la gestión de TI en el sector financiero. Por su parte, la regla de la SEC eleva los estándares de seguridad y reporte para las empresas que cotizan en bolsa.
NIS2 se distingue por su amplio alcance, incitando a las organizaciones a realizar evaluaciones más exhaustivas de riesgos y a manejar incidentes de manera más eficiente para garantizar la continuidad del negocio. Esta directiva exige a las empresas visibilidad sobre todos sus activos de TI y seguridad a lo largo de sus cadenas de suministro de software. Además, establece requerimientos de seguridad, privacidad y resiliencia para un mayor número de industrias que su predecesora, NIS.
Las organizaciones que caen bajo el ámbito de NIS2, incluyendo algunas que abordan regulaciones de ciberseguridad por primera vez, deben implementar medidas rigurosas de gestión de riesgos, equilibrando la complejidad de operar en un entorno digital avanzado con la necesidad de cumplir regulaciones estrictas.
A pesar de los desafíos tecnológicos que plantea NIS2, muchas de las inversiones previas en programas de privacidad pueden ser aprovechadas para cumplir con las nuevas exigencias de ciberseguridad. Las evaluaciones de riesgo y la gestión de incidentes son áreas donde los equipos de privacidad pueden hacer una contribución significativa.
Para garantizar una continuidad empresarial efectiva en este nuevo entorno regulatorio, las organizaciones deben considerar la complejidad de sus sistemas de TI y buscar soluciones de seguridad que faciliten la visibilidad, la gestión de activos y la minimización de interrupciones. Esta búsqueda de soluciones debe alinearse con objetivos estratégicos que abarcan tecnología, políticas y procedimientos eficaces para hacer frente a los nuevos retos del cumplimiento regulatorio.
