De a cuerdo a ISO 27001, el objetivo del compliance es evitar brechas entre las actividades y
procesos de las empresas y; cualquier ley criminal o civil; obligaciones estatuarias,
reguladoras o contractuales y los difeentes requerimientos de seguridad
tienen como eje: fomantar dentro de las organizaciones, la
conformidad de IT con politicas y estándares de seguridad de la
información
Es decir, compliance es estar en línea con
regulaciones, estándares de la industria etc. y el
resultado de ponerlo en práctica es sencillamente si
se cumple con esto o no.
A pesar de que existen muy diversos tipos, los marcos
regulatorios se pueden clasificar en tres grandes grupos:
Gubernamentales
Se ocupan de la transparencia y precisión de estados
financieros, retención de registros, requerimientos de
recuperación de desastres y continuidad del negocio
De privacidad
Son regulaciones especificas para mercado vertical.
Dictan cómo manejar la información personal dentro de
una organización.
De seguridad
Tienen como objetivo proteger la infraestructura crítica de
la organización. Estos especifican cómo identificar,
autenticar y autorizar al usuario a acceder y utilizar los
activos sensitivos.
Para tener éxito al llevar la práctica el compliance, las
organizaciones deben asegurarse de no omitir algunos
aspectos:
Responsabilidad
Control de transparencia.
visibilidad en el manejo de los riesgos, los controles de la
organización y de cada uno de los activos protegidos
Medibilidad
La capacidad de medir la operación actual de un sistema de
controles (a través de bitácoras, auditorías, de la correlación
de eventos e incidentes de seguridad)
El compliance puede interpretarse de numerosas maneras, pero el propósito
de marcos regulatorios, estándares de la industria y mejores prácticas es
obtener: