Cumplimiento de IT explicado: HIPAA, PCI, SOC 2

El cumplimiento significa cumplir un conjunto de reglas, expectativas de seguridad o requisitos de documentación. Para muchas pequeñas empresas, empieza cuando manejas ciertos tipos de datos, aceptas pagos con tarjeta, trabajas en salud o vendes a empresas más grandes que hacen preguntas de seguridad antes de firmar un contrato.

HIPAA, PCI y SOC 2 no son lo mismo. HIPAA es una ley de EE. UU. para la información de salud protegida. PCI es un estándar de la industria de tarjetas de pago para empresas que procesan, almacenan o transmiten datos de titulares de tarjetas. SOC 2 es un marco de reporte que muchas empresas usan para mostrar a sus clientes que tienen controles de seguridad implementados.

Lo importante es esto: el cumplimiento no es solo comprar una herramienta. Normalmente incluye políticas, seguridad de dispositivos, controles de acceso, copias de seguridad, capacitación del personal, mantenimiento de registros y revisión continua. Además, no significa seguridad perfecta. Ningún proveedor honesto promete cero tiempo de inactividad o una red imposible de hackear.

HIPAA significa Health Insurance Portability and Accountability Act (Ley de Portabilidad y Responsabilidad de Seguros de Salud). Si tu negocio maneja información de salud protegida, HIPAA puede aplicar. Eso puede incluir algunas clínicas, empresas de facturación, firmas de servicios médicos y proveedores que trabajan con organizaciones de salud. HIPAA trata sobre privacidad, seguridad y la forma en que se usa, almacena y comparte la información de salud. Los requisitos pueden variar según tu función y el tipo de datos con los que trabajas.

PCI normalmente se refiere a PCI DSS, que significa Payment Card Industry Data Security Standard (Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago). Si aceptas tarjetas de crédito o débito, PCI puede importarte incluso si eres muy pequeño. Los requisitos exactos dependen de cómo recibes los pagos. Un negocio que usa un terminal de pago seguro o una página de pago alojada puede tener una ruta más simple que uno que almacena datos de tarjetas o ejecuta un sistema de pagos a medida.

SOC 2 no es una ley. Es una revisión independiente de cómo una empresa maneja ciertos controles, normalmente enfocados en seguridad y disponibilidad. Disponibilidad significa que los sistemas están diseñados para ser utilizables como se promete, no que alguien pueda garantizar que no habrá interrupciones. SOC 2 suele aparecer cuando clientes más grandes le piden a un proveedor que demuestre que se toma la seguridad en serio. Para muchas pequeñas empresas, la pregunta no es “¿Necesitamos un informe SOC 2 mañana?”. Es “¿Qué controles esperan los clientes que tengamos antes de poder ganar este contrato?”.

Si estos términos te parecen cercanos pero confusos, es normal. Un buen proveedor independiente de servicios de IT administrados, también llamado MSP, puede ayudarte a entender qué podría aplicar y qué nivel de trabajo tiene sentido para tu tamaño y tu nivel de riesgo.

Empieza por los datos. Pregunta qué información sensible recopilas, dónde vive, quién puede acceder y cómo se mueve a través de tu empresa. Esto incluye laptops, teléfonos, correo electrónico, aplicaciones en la nube, almacenamiento de archivos, sistemas de pago y proveedores. En IT, un endpoint es cualquier dispositivo individual como una laptop, computadora de escritorio, teléfono o tablet que se conecta a tus sistemas.

Luego revisa tus controles básicos. Muchos esfuerzos de cumplimiento comienzan con los mismos pasos prácticos. La autenticación multifactor, o MFA (por sus siglas en inglés), agrega un segundo paso además de la contraseña cuando alguien inicia sesión. Parchear significa mantener el software y los dispositivos actualizados con correcciones. Hacer copias de seguridad significa conservar copias recuperables de datos importantes. Un enfoque de copia 3-2-1 significa tres copias de los datos, en dos tipos diferentes de almacenamiento, con una copia guardada fuera de sitio.

También puede que necesites políticas por escrito, evaluaciones de proveedores, capacitación del personal, reglas de acceso y evidencia de que estas cosas realmente están ocurriendo. Algunas empresas necesitan una evaluación formal de riesgos. Otras necesitan registro (logging), monitoreo de dispositivos y pasos de respuesta documentados si algo sale mal. La detección y respuesta de endpoints, o EDR (por sus siglas en inglés), es software que ayuda a detectar actividades sospechosas en los dispositivos. El monitoreo y administración remotos, o RMM (por sus siglas en inglés), es software que muchos proveedores usan para vigilar la salud de los dispositivos, aplicar actualizaciones y manejar el mantenimiento rutinario.

Para un dueño de pequeña empresa, el tema real suele ser el alcance (scope). Puede que no necesites un programa de nivel empresarial (enterprise-grade). Pero sí necesitas saber qué espera tu industria, tus clientes, tu aseguradora y cualquier norma estatal o federal que aplique.

Los costos varían mucho. El número real depende de la cantidad de personal, el número de dispositivos, qué tan complejos son tus sistemas, qué datos manejas, tu industria y tu área. Estos rangos no son cotizaciones.

Si estás empezando con una configuración básica y necesitas una mejor administración de dispositivos, ajustes de seguridad, copias de seguridad y soporte para usuarios, muchas pequeñas empresas gastan aproximadamente entre $100 y $250 por usuario al mes en soporte continuo de IT administrados y seguridad. Si el trabajo de cumplimiento es más pesado, la cifra puede ser mayor.

Una evaluación de brechas única o una revisión de preparación (readiness review) puede costar unos pocos miles de dólares para una pequeña empresa, y más si tu entorno es más grande o está más regulado. Las auditorías formales, el asesoramiento legal externo, el trabajo de políticas y proyectos especiales pueden sumar costos por separado. Los requisitos de seguro cibernético también pueden aumentar lo que necesitas hacer.

La buena noticia es que no todas las empresas necesitan el mismo nivel de trabajo. Una compañía que usa herramientas estándar en la nube, proveedores de pagos seguros y pocos dispositivos puede tener una ruta más simple que una empresa con sistemas a medida, múltiples oficinas o registros sensibles repartidos en computadoras antiguas y carpetas compartidas.

No empieces comprando herramientas de seguridad al azar solo porque un cliente hizo una pregunta difícil. Empieza por definir el requisito. Pregunta quién está preguntando, qué estándar o cuestionario están usando, qué fecha límite tienes y si necesitan un requisito legal, un estándar de la industria o simplemente un punto de partida razonable de seguridad.

Haz una lista corta de datos sobre tu negocio. ¿Cuántos empleados tienes? ¿Cuántas ubicaciones? ¿Qué dispositivos usan las personas? ¿Manejas información de salud o pagos con tarjeta? ¿Qué aplicaciones en la nube ejecutan el negocio? ¿Los clientes han pedido un cuestionario de seguridad, una evaluación de riesgos o un informe SOC 2? Esto te ayuda a tener una primera conversación útil.

Si quieres ayuda para ordenarlo, NodeBridge IT puede ayudarte a encontrar un proveedor independiente de IT administrados que trabaja con empresas pequeñas y medianas. Somos un servicio gratuito de emparejamiento (matching). No administramos tus sistemas ni tus cuentas. Solo usamos los datos de tu negocio y de contacto para conectarte con un proveedor que se ajuste a tus necesidades.

También puedes leer más sobre servicios de IT administrados y explorar otras respuestas de IT en lenguaje sencillo.