Paula GEOSITS

Human Risk Manager de Safe-U Creadora de @familiascibercuidadas en IG

En el contexto global actual, las oportunidades de expansión internacional son una tentación para cualquier empresa. Sin embargo, si se pone la mira en mercados altamente regulados en materia de ciberseguridad y protección de datos -como la Unión Europea, Estados Unidos o Canadá, o incluso varios países de LATAM como Brasil con su ley adaptada de la europea GDPR o Chile donde recientemente se promulgó la ley marco de Ciberseguridad- las empresas enfrentan una serie de desafíos técnicos, legales y de organización que deben ser abordados a conciencia.

La ciberseguridad, que ya sabemos dejó de ser un gasto para ser un activo valioso en las empresas, se ha convertido en un requisito esencial para operar globalmente, dicho de otro modo, es un habilitador de negocios.

Sumado a esto, contar con este tipo de normativas se ha transformado en una necesidad nacional e internacional para los países. Ha dejado de ser un problema meramente técnico para convertirse en pilar de la soberanía, la economía y los derechos fundamentales.

CUMPLIMIENTO NORMATIVO

Uno de los principales retos es cumplir con los marcos normativos que suelen ser complejos. Estas legislaciones imponen obligaciones estrictas sobre ciberseguridad:

• Políticas formales de ciberseguridad.

• Evaluaciones periódicas de riesgos.

• Controles de acceso físico y lógico.

• Detección y respuesta a incidentes.

• Notificación de brechas a autoridades o clientes.

No cumplir con estas normativas no solo representa un riesgo de sanciones millonarias sino también una pérdida de confianza en mercados altamente sensibles a estos temas. Y cada vez son más los países que están adoptando leyes específicas de ciberseguridad por una combinación de factores: estratégicos, económicos, sociales y geopolíticos.

Infraestructura Tecnolgica

Las empresas que operan con mercados regulados deben demostrar que su infraestructura tecnológica es segura por diseño y por defecto. Esto incluye, entre otros:

• Segmentación de redes.

• Encriptación de datos en tránsito y reposo.

• Autenticación multifactor.

• Gestión centralizada de parches.

• Gestión de vulnerabilidades.

Y esto aplica, para entornos en la nube, dispositivos móviles y software de terceros.

El uso de tecnologías obsoletas o arquitecturas poco robustas representan un riesgo no sólo de incum- plimiento, sino de exposición a ciberataques.

GESTIÓN DE SEGURIDAD EN LA CADENA DE SUMINISTRO

Un aspecto clave de las normativas es la responsabilidad extendida: las empresas no sólo son responsables de su propia seguridad sino por las de sus proveedores, contratistas. Por tal motivo, las empresas exportadoras son alcanzadas por estas normativas, son proveedoras a su vez, de otras empresas reguladas.

Estos son algunos de los aspectos a considerar:

• Evaluación de la seguridad de los terceros.

• Auditorias regulares.

• Cláusulas contractuales.

• Revisión de conexiones, integraciones, intercambio de información.

Esto obliga a las empresas a ser más conscientes de a qué terceros contrata o con qué terceros se integra o integra a sus sistemas, ya que no solamente se trata de estar en cumplimiento sino de velar por la seguridad de principio a fin en cada uno de sus procesos.

CULTURA ORGANIZACIONAL

Una buena estrategia de exportación hacia países regulados exige que la ciberseguridad se incorpore en la cultura de la empresa, esto se consigue mediante:

• Formación continua en buenas prácticas digitales.

• Concientización.

• Simulacros de diversos ataques.

• Gobierno claro: roles, responsables, políticas y procedimientos que guíen los diferentes procesos internos y gestión de riesgos.

Y esto, aplicable a todos los niveles de la empresa, comenzando por los dueños, accionistas y socios ya que sin un compromiso verdadero y sostenido de los niveles más altos de la empresa, cualquier buena intención de mejora no logrará prosperar.

GESTIÓN DE INCIDENTES

Otro de los aspectos centrales en la mayoría de las normativas internacionales hace referencia a la capacidad para gestionar incidentes de ciberseguridad de forma rápida, efectiva y documentada. Ya no alcanza con prevenir incidentes, se exige que las empresas puedan demostrar su capacidad para estar preparadas en caso de que ocurra, lo puedan detectar, analizar, contener, recuperarse y reportarlo. Esto se traduce en un plan formal de respuesta a incidentes y, además, contar con ciertas capacidades:

• Sistemas de monitoreo y detección temprana.

• Automatización de alertas.

• Equipos de respuesta interna o acuerdos con terceros especializados.

• Integración del plan de respuesta a incidentes con planes de continuidad del negocio y recuperación tecnológica.

• COSTOS

El cumplimiento de estas normativas definitivamente implica un costo inicial importante para las empresas: compra de herramientas, contratación de especialistas, certificaciones (ISO/IEC 27001:2022), auditorias, etc. Sin embargo, existen estrategias para escalar el cumplimiento de forma eficiente:

• Tercerización de servicios (vCISO).

• Soluciones de seguridad modulares

• Roadmaps de madurez en fases.

Toda buena inversión en ciberseguridad comienza con un diagnóstico de la postura de seguridad de la empresa, del que surjan las fortalezas y debilidades que requieren ser priorizadas en función del contexto, presupuesto y criticidad.

Una buena estrategia de ciberseguridad debe ser aquella que se adapte a las necesidades de la empresa y establezca un roadmap claro de madurez con vistas a estar cada vez más seguros y, por ende, alineados a las exigencias internacionales.

Como conclusión es importante destacar que las inversiones en seguridad no solo reducen riesgos, sino que abren puertas en sectores estratégicos como Fintech, salud, logística, entre otros donde la confianza digital es un factor decisivo.

Exportar a países con regulaciones de ciberseguridad estrictas implica mucho más que cumplir con determinados requisitos, existe repensar la postura de seguridad de la empresa, profesionalizar la gestión de riesgos y adoptar una visión integral de la seguridad como un verdadero habilitador de negocios como mencionamos al inicio. Por lo tanto, aquellas que consideren a la seguridad de este modo, estarán mejor posicionadas para crecer en este tipo de mercados.