Según la World Compliance Association: “Es un conjunto de procedimientos y buenas prácticas adoptados por las organizaciones para identificar y clasificar los riesgos operativos y legales a los que se enfrentan y establecer mecanismos internos de prevención, gestión, control y reacción frente a los mismos.”

En el desarrollo del modelo de negocio, debe tenerse como objetivo: proteger a los de dentro y cumplir la normativa externa o del entorno en el que ejercemos nuestra actividad empresarial.

 

Cuando protegemos a los “de dentro”, supone que somos conocedores de las amenazas contra nuestro negocio y éstas podrían ser: crisis de reputación, uso inapropiado de marca, robo de fórmulas, secuestro de información, robo de ordenadores, móviles, memorias USB, suplantación de identidad, bloqueo de los sistemas…. Para evitar o minimizar los impactos que pudieran producir las amenazas que llegan a ser efectivas, es por lo que generamos un sistema de políticas (pautas de conducta o buenas prácticas) de Comunicación, de Ciberseguridad o de Prevención de Delitos.

En el caso de cualquier modelo de negocio que desarrolla su actividad en territorio nacional o internacional, deberemos considerar la normativa tanto europea como nacional. La normativa europea es de inmediato cumplimiento para los Reglamentos, en cambio, las Directivas necesitan de unas leyes de transposición para adaptarlas a cada uno de los Estados que son parte de la Unión Europea.

Podemos considerar que el Compliance comprende:

La consideración de las Leyes y regulaciones específicas para la actividad mercantil que abordemos, las Políticas internas de cumplimiento (en sus diferentes especificidades), los Procesos que hemos creado para que se cumplan los objetivos que nos hemos marcado con la implantación de las Políticas, los Roles del personal para llevarlas a cabo y las guías para una constante formación y actualización de los cambios. Estas guías deberán estar al alcance de todos los miembros de la Organización.

Leyes y Regulaciones: para cualquier sector, tendremos en cuenta la normativa vinculada a nuestro modelo de negocio, la regulación específica en el tratamiento de datos, la necesidad de adecuar su actividad online a los requerimientos de la LSSI (Ley de Sociedad de la Información y Comercio Electrónico) y el cumplimiento propio de las ventas online relacionada con la protección de los consumidores y usuarios.

Las políticas son internas y se establecen para prevenir los impactos que pudieran derivarse de las amenazas. Podrían representar unas amenazas:
– Crisis de reputación
– Daños por incumplimiento normativo
– Robo de información
– Robo de fórmulas
– Suplantación de identidad
– Secuestro de la información
– Bloqueo de Sistemas

Las políticas que deberían establecerse para cada una de las amenazas son: Políticas de Comunicación, Políticas de cumplimiento normativo, Políticas de Ciberseguridad y Prevención de Delitos.

Las Políticas deben ser decididas por el Órgano de Administración. Lo implementará todo el escalado jerárquico de la empresa en virtud de la asignación de roles y, deberán incidir en aspectos operacionales (desarrollo de Actos y procesos) y aspectos técnicos (para mejorar o facilitar los procesos de implantación).

La implantación de políticas implica:
– Diseño de las políticas y sus objetivos
– Diseño de los procesos
– Asignación de roles
– Evaluación Constante
– Auditoría periódica

Hasta aquí hemos comprendido que el Compliance es un conjunto de procedimientos y buenas prácticas para: 1) Cumplir la normativa externa. 2) proteger los activos de la empresa.

Las Políticas relativas al Compliance penal tienen su fundamento en el artículo 31 bis del código penal y la responsabilidad penal de la empresa. El Objetivo de cumplir los requerimientos (que no son obligatorios) es el de exonerar a la empresa por los delitos que pudieran cometer los Administradores o Empleados por la falta de control.

Las políticas de compliance RGPD vienen justificadas por la obligatoriedad de cumplir la normativa en cuanto a los tratamientos de datos personales. En el caso de producirse alguna denuncia podría castigarse a la empresa con sanciones administrativas y civiles de responsabilidad por daños.

Las políticas de ciberseguridad no se fundamentan en obligatoriedad legal alguna, sin embargo, de no existir su desarrollo dentro de la Organización los efectos de daños y perjuicios causados a terceros y a la propia Organización, podrían haber sido evitados.

¿Cuál es el timing previsto?
Vamos a pensar en un año para la implantación y correcto funcionamiento de todos los departamentos. Tras la decisión por el Órgano de administración, se procederá a un análisis por departamentos, de cuál es la situación real de la empresa. A partir de ese momento se asignarán los roles de responsabilidades. Se procederá a un análisis de amenazas y una Evaluación del impacto que se produciría sobre los activos de la empresa, en el supuesto de que las amenazas se hicieran efectivas.
Una vez documentado lo anterior, se establecerán los nuevos procesos o la corrección de los ya existentes. Para que la implantación de las políticas funcione, deberá efectuarse una evaluación constante (Formación y Simulaciones) y una Auditoría externa anual. Todo este proceso es lo que lleva el nombre de Compliance.

La importancia de la ciberseguridad
Si bien las políticas de ciberseguridad no responden a la obligatoriedad impuesta por ninguna ley, bien es cierto que, dado que los modelos de negocio se desarrollan online, habrá que crear unas políticas de seguridad de la información. La gran cuestión no es si “voy a ser atacado como Organización”, sino “Cuánto vas a tardar en serlo”. Desde el momento en el que se sufre un incidente de ciberseguridad, podríamos considerar a la empresa en dos de sus roles: víctima y responsable. Es víctima por los daños que le hayan causado por medio de un ataque informático, pero es responsable en cuanto a que, ese incidente puede producir daños en terceros (ejemplo: bases de datos de terceros). Las responsabilidades que deberá asumir la organización tras un incidente de seguridad podrían ser: civiles, penales y administrativas.

Según un informe de INCIBE de 2016, los 5 incidentes más comunes en ciberseguridad son: Fuga de información, Ransomware, ataques de ingeniería social, phishing, botnet.

Cuando somos objetivo de un ataque, los atacantes aprovecharán al eslabón más débil y las vulnerabilidades del sistema y de los programas. Los métodos de ingeniería social pasan por detectar al eslabón más débil de cada organización. ¿Cómo lo hacen? Detectan en redes sociales, cuáles son los empleados. Hacen un seguimiento de cada uno de ellos para estudiar cuáles son sus intereses y cuál es su círculo de confianza.

¿Para qué nos sirven los Prestadores de Servicios de Certificación?

Estos prestadores de servicios nos servirán para acreditar los actos y procesos que se llevan a cabo internamente, en cumplimiento de la normativa y de las políticas. Esa acreditación certificada por prestador cualificado es lo que nos ayudará a acreditar judicialmente nuestras acciones internas. El objetivo es llevar a la organización a la eximente de responsabilidad penal y a la reducción de los importes indemnizatorios.

Ejemplo: consultar los servicios de www.coloriuris.net