El significado de ser ‘compliant’
Estamos habituados a escuchar la palabra ‘compliance’ asociada a diferentes campos, bien en referencia a un determinado marco jurídico (cumplimiento de una ley), o a ciertos campos regulatorios: cumplimiento de una regulación técnica, de calidad, medioambiental, de seguridad, etc. Entendido este término, generalmente, como ‘conformidad’ normativa, técnica o jurídica.
Me gustaría centrarme en el marco regulatorio de las soluciones y productos de seguridad para los sistemas de información y comunicaciones y de lo que implica que un producto pueda ser considerado realmente ‘compliant’, entendiendo por ello ‘compatible, conforme, en cumplimiento o conformidad de…’.
Como punto de partida, podemos decir que el ‘compliance’ o cumplimiento es un instrumento utilizado por las organizaciones, en cuanto al ciclo de diseño y desarrollo de sus productos y soluciones, a través del cual se observan y adoptan prácticas relativas a ciertos estándares de la industria.
Para ello, las organizaciones deben ajustarse a lo establecido, tanto a nivel técnico como normativo, por un organismo regulador reconocido internacionalmente, con el objetivo de dotarlo, siempre que esto sea posible, de una certificación que acredite que la solución software o hardware cumple con una determinada norma: FIPS, Common Criteria, PCI etc.
El proceso de certificación es una acción que sólo puede llevar a cabo una entidad independiente reconocida (laboratorio acreditado) por un organismo certificador (NIST, PCI, CCN, etc.), el que tras evaluar un producto puede acreditar que éste cumple con los requisitos y especificaciones técnicas establecidas por una determinada norma de seguridad.
Un producto únicamente puede certificarse si éste es ‘compliant’ y su certificación nos dice acerca de la calidad y la confianza que los clientes pueden depositar en el mismo.
Existen diversos laboratorios en Europa y en el resto del mundo, acreditados y reconocidos internacionalmente por organismos certificadores y cuya finalidad es la evaluar y acompañar a los fabricantes de soluciones de seguridad en el proceso de la certificación de sus soluciones o productos de seguridad.
Certificar un producto no es solamente acreditar que éste es ‘compliant’, además es abrir las puertas a nuevos mercados, mejorar los procesos de diseño y desarrollo internos y ganar en calidad, credibilidad y confianza de cara a nuestros clientes.
Por ejemplo, Realsec, desarrolló hace más de un año un nuevo y potente HSM -Hardware Security Module, denominado Cryptosec Dekaton.
En Realsec sabíamos que éste cumplía con todos los requerimientos y exigencias de la normativa PCI HSM para el tratamiento criptográfico en el entorno financiero y de los Medios de Pago. Sin embargo, no hemos podido decir categóricamente que éste era realmente ‘compliant’ hasta ser testado por un laboratorio acreditado y que el consorcio PCI lo haya acreditado como tal, mediante la correspondiente Certificación la PCI HSM PTS 2.0
Es importante precisar que una solución de seguridad no es ‘compliant’ por el simple hecho de seguir determinados estándares o porque la empresa cuente entre sus filas con un Compliance Officer.
Con el ‘compliant’, sucede lo mismo que con la mujer del Cesar, no es suficiente con parecer decente, además es necesario serlo.
Y digo esto, porque algunos fabricantes movilizan su estrategia de marketing hacia el aparente cumplimiento de un determinado estándar de seguridad de sus productos sin poder mostrar una certificación que lo acredite.
En términos de seriedad profesional, decir que una solución es ‘compliant’, por el simple hecho de seguir unos estándares de calidad, sin disponer de una certificación, implica una publicidad engañosa, cuando no el propio engaño.
Invertir en cumplimiento normativo y apostar por cumplir los estándares de la industria de materia de seguridad es establecer un compromiso estratégico con un marco regulado, pero también es apostar por la calidad y por la confianza.
Ante todo, no nos olvidemos que estamos hablando de seguridad.