Líneas de autoridad: La necesidad crítica de claridad de funciones en el cumplimiento de la seguridad de la información

Allison Spagnolo CIPP 19 de julio de 2023

Unas funciones y responsabilidades claramente definidas son un componente esencial de un programa de cumplimiento eficaz. Si no se asignan adecuadamente las responsabilidades, pueden producirse lagunas en la cobertura del cumplimiento y una falta de rendición de cuentas.

En una encuesta reciente de NAVEX, el 76% de los encuestados indicaron que la función de cumplimiento en su grupo de cumplimiento infoseguro no es un departamento de Cumplimiento independiente que informa al director general o al consejo de administración (por ejemplo, informa a través de TI/seguridad de datos/privacidad de datos, Legal o Recursos Humanos).

Cuando el cumplimiento de una función concreta (como InfoSec) se sitúa fuera del departamento de Cumplimiento y de la jerarquía, la función se convierte en un silo del resto de la organización y el Cumplimiento está protegido de cualquier experiencia en la materia relacionada con esa función. Esta situación provoca, en el mejor de los casos, ineficacias operativas y un tratamiento incoherente entre funciones dentro de la misma organización.

En su peor versión, cuando el cumplimiento no está integrado en la función de Cumplimiento más amplia, la función aislada (por ejemplo, InfoSec) se siente autorizada a tomar sus propias decisiones relacionadas con el cumplimiento al margen del apetito de riesgo y los procesos ya establecidos por Cumplimiento. Esta situación puede dar lugar a incoherencias en el enfoque de la organización en materia de cumplimiento, variaciones en las decisiones que pueden afectar al perfil de riesgo de la organización o a la propensión al riesgo, y daños a la reputación y sanciones económicas en caso de incumplimiento.

En este contexto, casi un tercio de los participantes en la encuesta de NAVEX afirmaron que su empresa había sufrido una violación de la privacidad de los datos o de la ciberseguridad en los últimos tres años. La prevalencia de las violaciones de datos, y las consecuencias legales y reglamentarias que se derivan de ellas, dejan claro que las organizaciones no deben esperar para evaluar sus programas de cumplimiento de la normativa de seguridad de la información y sus líneas de información. En los casos en los que las funciones de cumplimiento o la experiencia en la materia estén aisladas y se alojen exclusivamente en el departamento de InfoSec , las organizaciones deberían considerar seriamente la reestructuración para incorporar esas funciones al departamento de Cumplimiento.

En última instancia, con el fin de aprovechar la eficiencia y obtener beneficios de la coherencia, las cuestiones de seguridad de la información deben tratarse de la misma manera que todas las demás cuestiones de cumplimiento, incluida la asignación de funciones y responsabilidades adecuadas en la primera y segunda líneas de defensa, la inclusión de temas de seguridad de la información en los planes de auditoría interna y la inclusión en las evaluaciones de riesgos.

Además, aclarar las funciones y responsabilidades ayuda a garantizar el cumplimiento de los requisitos normativos pertinentes y asegura que los activos estén adecuadamente protegidos. Esto minimiza la duplicación de tareas en toda la organización y proporciona una base de referencia para la asignación adecuada de recursos.

A medida que la privacidad de los datos y la ciberseguridad se vuelven cada vez más críticas en las operaciones empresariales diarias -y más reguladas-, se debe poner mayor énfasis en el cumplimiento de la seguridad de la información. La clarificación de las funciones relacionadas con el cumplimiento de la seguridad de la información, así como el ajuste de las estructuras organizativas para garantizar que la seguridad de la información se gestiona dentro de una función de cumplimiento más amplia, son fundamentales para garantizar el cumplimiento continuo en un entorno en constante evolución.

Alison Spangolo con el pelo rizado lleva una chaqueta negra y una camisa a cuadros

Allison Spagnolo CIPP

Director General de Protección de Datos

Allison Spagnolo, directora general de la práctica de Consultoría de Delitos Financieros, ha trabajado en numerosos compromisos relacionados con la contratación gubernamental y asuntos de instituciones financieras. Esto incluye la revisión de las cuestiones relativas a la lucha contra el blanqueo de capitales y las sanciones para los bancos globales y las empresas multinacionales, así como el asesoramiento sobre cuestiones de cumplimiento de los delitos financieros específicas de los exchanges de criptomonedas y las empresas de tecnología financiera. Ha viajado extensamente por Europa y Asia con el propósito de dirigir y realizar inspecciones y revisiones in situ relacionadas con monitoreos y otros asuntos de cumplimiento.

InvestigaciónLíneas directas