ERRORES DE CUMPLIMIENTO CIBERNÉTICO QUE COMETEN LAS ORGANIZACIONES DE MALASIA Y CÓMO EVITARLOS

El entorno regulatorio en el que operan las organizaciones malasias se ha vuelto mucho más estricto. Gracias a la Ley de Ciberseguridad de 2024 y una mayor regulación.

Si eres responsable de la seguridad informática, este artículo es para ti. Estos errores pueden comprometer a su empresa.

Trate el cumplimiento como un solo proyecto

Muchas empresas ven el cumplimiento como un proyecto temporal que es el resultado de:

• una auditoría
• Proyecto de certificación
• Investigación del regulador.

Cuando las políticas están documentadas y los controles parecen estar establecidos, entonces el impulso termina.

La Ley de Ciberseguridad de Malasia de 2024 tiene estipulaciones especiales para las entidades consideradas Infraestructura Nacional de Información Crítica (NCII). Necesitan realizar periódicamente:

• Evaluación de riesgos
• Auditorías
• Notificación de incidentes.

Cumplimiento de la ciberseguridad debe ser continuo. Necesitas presentar cosas como:

• Un calendario de cumplimiento organizado
• Un sistema con propietarios de control responsables
• Inspecciones internas trimestrales.

Realizar el cumplimiento como un proceso comercial normal.

Mala gobernanza y supervisión de la junta directiva

La ciberseguridad a menudo se delega por completo en el departamento de TI, sin informes formales a nivel de la junta directiva. Esto introduce lagunas en la rendición de cuentas y la estrategia.

Además de los controles técnicos, los reguladores exigen controles de liderazgo. A modo de indicación, se espera que las instituciones financieras supervisadas por Bank Negara Malaysia tengan marcos de gobernanza eficaces con respecto a la gestión de riesgos tecnológicos.

Como líder, también debe implementar una estructura oficial de gobernanza de la ciberseguridad que incluya:

• Líneas de informe
• Principales indicadores de riesgo
• Frecuencia de los informes del consejo.

La supervisión documentada es muy importante.

Preparación inadecuada para la notificación de incidentes

La Ley de Ciberseguridad de 2024 establece estrictos requisitos de presentación de informes para eventos cibernéticos importantes. Pero uno de los mayores errores durante una crisis es asumir que el equipo de seguridad puede resolverlo.

En la práctica, los fallos de comunicación se atribuyen a:

• Clasificación retrasada
• Ambigüedad en las rutas de escalada
• La ausencia de protocolos de comunicación preestablecidos.

Se espera que cree un manual de notificación de incidentes que esté alineado con las definiciones legales. Realizar ejercicios de simulación con todos los equipos, incluyendo:

• Legal
• Conformidad
• Comunicaciones
• Equipos ejecutivos.

La presentación de informes regulatorios con plazos determinados requiere una coordinación practicada.

Incompatibilidad entre la Certificación ISO y los requisitos legales

ISO ofrece un potente marco de control. Pero no necesariamente cumple con los requisitos legales nacionales.

Debe realizar un análisis oficial de las brechas entre los controles ISO y la Ley de Ciberseguridad de 2024 y los requisitos específicos de la industria. Además de los estándares de certificación, el cumplimiento legal también puede requerir:

• Documentación adicional
• Informes
• Pruebas de gobernanza.

No gestionar el riesgo de terceros

El riesgo de cumplimiento también puede introducirse mediante la subcontratación:

• Servicios de TI
• Proveedores de nube
• Integradores de sistemas.

El marco regulatorio en Malasia se está centrando cada vez más en la responsabilidad de terceros. Los proveedores no siempre realizan la debida diligencia.

Cuando se trate de datos personales, deberá aplicar prácticas de supervisión de proveedores según los requisitos de la Ley de Protección de Datos Personales de 2010. Establezca lo siguiente:

• Evaluaciones formales de riesgos de proveedores
• Cláusulas de seguridad en contratos, revalorizaciones
• Recogida de pruebas.

Documentación y evidencia de auditoría deficientes

Algunas empresas cuentan con los controles adecuados. Pero sin un rastro documental rastreable. Durante las auditorías, tienen dificultades para generar evidencia de:

• Evaluación de riesgos
• prueba de control
• Revisión de la gestión.

Es aconsejable consolidar los registros de cumplimiento en un marco de gobernanza, riesgo y cumplimiento (GRC). Mantenga registros de:

• Control de versiones
• Aprobación
• Registros de riesgo
• Pistas de auditoría.

Los compromisos verbales no pueden ser la base del cumplimiento.

El cumplimiento de la ciberseguridad puede resultar complicado. Pero puede seguirlo con la ayuda de expertos profesionales en cumplimiento..