Luego de casi 20 años dedicados a la ciberseguridad, el cumplimiento y demostrar que haces lo que decís que haces, cada día se ve con mayor frecuencia el interés de los clientes por conocer cómo se gestiona la ciberseguridad del producto o servicio que se contrata. Es que quizás sucede lo que pasa en las relaciones personales, es muy difícil de lograr un largo plazo si no hay confianza y eso se traduce en transparencia y honestidad. En los negocios pasa lo mismo, la relación entre cliente y proveedor debe ser transparente y honesta. En algunos mercados esto no está tan maduro, se sigue pensando que si tienes un incidente es porque definitivamente estás haciendo las cosas mal, mientras que en otros mercados más maduros, tener un incidente, notificarlo a tiempo y responder en forma ordenada, resulta en una mejor calificación y probablemente en una relación de más largo plazo con los clientes y el mercado en general.
Sin tener que exigir certificaciones o auditorías externas, es importante que las empresas entiendan que deben dar visibilidad y transparencia por default a sus clientes. Algunas regulaciones como GDPR 📋 han impulsado la declaración de ciberseguridad, han fomentado la transparencia y la han premiado cuando surgen incidentes, sin embargo, no es lo más común que ese espíritu surja en forma natural. Excepto en algunas empresas más jóvenes, que ya tienen la transparencia como un elemento cultural.
Ser “Responsable de Tratamiento” 📝 en materia de datos personales, tener sistemas o datos de los clientes a cargo, son temas muy sensibles. Más allá de lo que establezca una ley, si recordamos el principio del buen hombre de negocios, actuar de buena fé es un elemento sustancial, que debe ser transversal en toda la Cía. La transparencia en materia de ciberseguridad es clave para generar la confianza que una relación de largo plazo requiere.
Es importante que el cliente tenga un canal en donde pueda conocer cómo se gestiona la ciberseguridad, qué controles se tienen implementados (obviamente con la confidencialidad que el tema requiere) pero con total transparencia. ¿Por qué habría que ocultar lo que se hace?
El portal de cumplimiento puede ser una vía, sobre todo si se cuenta con informes, reportes o certificaciones, sin embargo, más allá de los temas de cumplimiento, es importante que el cliente pueda acceder a contenido redactado en forma entendible por personal no técnico, con un resumen ejecutivo, detalles técnicos disponibles y si fuera necesario, reportes que avalen lo que se describe 📄
En relación a los portales de cumplimiento, hay buenos ejemplos en las principales nubes públicas, pero también con la iniciativa STAR de la Cloud Security Alliance:
La integridad de los datos en la nube en su mejor versión | Centro de confianza de Microsoft
Conformidad en la nube: Amazon Web Services (AWS)
Trust Platform - Certifications
<aside> 🤝 No es casualidad que se les llame “Centro de Confianza” cuando se trata de abrir las puertas y mostrar cómo se hacen las cosas.
</aside>
Desde SECURETECH ⚡#HacerLasCosasBien, proponemos que la transparencia sea un pilar de todos los programas de ciberseguridad, dando a los clientes y partes interesadas, la mayor transparencia posible, pensando en fortalecer esa relación de largo plazo y poniéndose en el lugar del otro.
<aside> 📝 Es importante recordar que la transparencia, no en todos los casos implica información pública, por lo tanto se recomienda considerar la firma de acuerdos de confidencialidad y establecer canales de intercambio seguro de información. En algunos casos, podría ser parte del “Portal de Cumplimiento” 🤝
</aside>