Cuando hablamos de cumplimiento corporativo, hablamos de un certificado de buena conducta, que todos los miembros de una empresa deben exhibir o mejor, que todos los participantes de una comunidad deben entender e interiorizar. Un concepto empresarial que busca desarrollar al menos cuatro capacidades básicas:anticipar riesgos, desarrollar y cultivar una cultura, verificar la operación y sus actividades y consultar la buena práctica internacional (Cano, 2013).
En este sentido, ¿por qué es útil tener un programa de cumplimiento corporativo? De acuerdo con Troklus y Vacca (2013, p.3) cinco son las razones que motivan el desarrollo de este programa en las empresas:
- Proteger la reputación o la organización
- Motivar una cultura de “hacer las cosas correctas”
- Incrementar la concientización tanto de empleados como de los grupos de interés
- Proporcionar una alternativa para que los empleados y grupos de interés planteen situaciones potencialmente contrarias.
- Reducir la imposición de penas y multas
El fenómeno del cumplimiento corporativo se presenta particularmente por lanecesidad empresarial de salvaguardar la responsabilidad legal de sus operaciones con arreglo a las leyes y las regulaciones aplicables y vigentes. La tendencia internacional muestra un incremento creciente de regulaciones que las organizaciones deben asegurar para mantenerse “en cumplimiento” y por lo tanto, mantener un estatus de observancia normativa que genere mayor confianza entre sus grupos de interés, incluidos los entes reguladores locales y globales.
Una certificación de cumplimiento organizacional, demanda mantener una membresía de confianza con el entorno, que le dice a los terceros involucrados, así como a los empleados, que la empresa tiene un compromiso con la excelencia de sus operaciones y que, las personas en el eventual caso que se desvíen de tales estándares, serán tratadas con el rigor que corresponde por faltar a los cánones de seguridad y control que la organización establece y que la distingue en sus relaciones con sus clientes y proveedores.
Estas condiciones actuales de operación de las empresas, generalmente impuestas por la dinámica de los mercados y la necesidad de disminuir la incertidumbre en el desarrollo de las relaciones de negocio, contrasta con la movilización permanente de las vulnerabilidades y fallas de seguridad que se presentan tanto a nivel tecnológico, procedimiental y personal, las cuales dejan en entredicho la efectividad de los modelos de cumplimiento, que muchas veces al final se traducen en cumplimiento y aseguramiento de comportamientos y normas (por temor a la sanción), pero no desarrollo de una cultura en tal sentido.
En razón con lo anterior, la pregunta que surge es ¿son suficientes los programas de cumplimiento frente a la inevitabilidad de la falla presente y natural en las prácticas de seguridad de la información?
Cualquiera sea la respuesta a la pregunta anterior, es claro que los temas de cumplimiento están asociados con prácticas, las cuales se ejecutan y concretan en las actuaciones de las personas en una organización. Esto supone intervenir la forma como los individuos asumen su compromiso con los estándares de operación de la empresa, cómo comprenden y entienden los riesgos que se derivan de su inadecuada aplicación y no menos importante, cómo éstas hacen sentido en su diario hacer, para que se motive la apropiación de las mismas.
En seguridad de la información exhibir un certificado de cumplimiento ISO 27001, no significa que las personas en la organización han trascendido en sus comportamientos de protección de la información y que éstos hacen parte de su actividades diarias, sino que han sabido cumplir con los requisitos que demanda la norma y que le comunica a sus clientes y grupos de interés, que ha adquirido un compromiso para ajustarse a una norma según su declaración de aplicabilidad.
En tal sentido, no es que el certificado como tal no ayude a la gestión de la seguridad de la información y a consolidar las prácticas virtuosas necesarias en este ejercicio de aseguramiento de la información, sino que es necesario trabajar en otros niveles de conciencia y apropiación de conductas, que transformen realmente la capacidad de las personas para actuar de forma clara y concreta frente a los retos que demanda la protección de la información en entornos inciertos y volátiles, aún en ausencia de medios tecnológicos de seguridad y control disponibles o acciones sancionatorias que impliquen castigos o penas para la persona.
Lo anterior supone desarrollar una competencia de gestión segura de la información, que se constituya en el corazón mismo de la práctica de seguridad y control. Esto es, prolongar su capacidad de actuar tanto en la organización como fuera de ella, como una práctica que no solo se encuentre encerrada en la empresa, ni asociada con penas o sanciones estériles por incumplimientos, sino capaz de engendrar apropiación, concientización y cumplimiento en cada participante de la empresa.
Así las cosas, un programa de cumplimiento en seguridad de la información más que un escenario magistral donde todos los involucrados asisten a una capacitación donde: Troklus y Vacca (2013, p.17-18)
- Se presenta el cuerpo legal y regulatorio que guía el comportamiento de las personas
- Se ilustra la filosofía del cumplimiento empresarial en seguridad y control
- Se presenta qué actividades se configuran como una violación al cumplimiento y cómo éste debe ser reportado
- Se detallan las políticas y prácticas de confidencialidad
- Se comunican las políticas sobre privacidad y seguridad
- Se muestran los pasos los pasos del proceso disciplinario de aquellos que ven involucrados en una violación de cumplimiento
- Se establecen las guías de relacionamiento con las terceras partes involucradas en el tratamiento de la información
es un espacio de aprendizaje corporativo donde, las personas se exponen a escenarios de reto, donde su comprensión de la protección de la información se ve cuestionada, y desde allí basado en la pedagogía del error, construir un entendimiento profundo del aseguramiento de la información, que no sólo estará disponible para el cumplimiento de las normas de seguridad y control que el mercado le exige, sino para el fortalecimiento permanente y sostenible de la cultura organizacional de seguridad de la información (Cano, 2014).
Referencias
Troklus, D. y Vacca, S. (2013) International compliance 101. How to build and mantain an effective compliance and ethics program. Minneapolis, USA: Society of Corporate Compliance & Ethics.
Cano, J. (2013) La inseguridad de la información: Motivador de la práctica de cumplimiento corporativo. ISACA Journal. 6. Recuperado de:http://www.isaca.org/Journal/archives/2013/Volume-6/Pages/Information-Insecurity-Motivator-of-Corporate-Compliance-Practice-Spanish.aspx