¿Qué es el cumplimiento, la gobernanza y la gestión de riesgos?
Para comprender el cumplimiento en un sentido personal, piense en recibir un aviso de privacidad anual de su banco, firmar un formulario HIPAA en su visita al médico o experimentar un bloqueo por usar una contraseña incorrectamente. Para el profesional de TI, el cumplimiento incluye las actividades que mantienen y proporcionan pruebas sistemáticas tanto de la adhesión a las políticas internas como de las leyes, directrices o regulaciones externas que se imponen a la empresa.
Esto se hace a través de un proceso defendible. Hay dos elementos del cumplimiento: uno se centra en la gestión del cumplimiento y el segundo gestiona la integridad del sistema utilizado para cumplir y demostrar el cumplimiento. Hoy en día, el papel del cumplimiento de TI sigue creciendo a medida que el uso compartido y almacenamiento electrónicos de información afecta a los departamentos, como finanzas, recursos humanos y operaciones, que dependen de los servicios de TI en la recopilación, difusión e informes de información.
El cumplimiento de TI está asumiendo el control y la protección adecuados de la información, incluida la forma en que se obtiene y almacena, la forma en que está protegida, su disponibilidad (cómo se distribuye interna y externamente) y cómo se protegen los datos. Las funciones de cumplimiento interno giran en torno a las políticas, los objetivos y la estructura organizativa de la empresa. Las consideraciones externas incluyen satisfacer al cliente/usuario final y, a la vez, proteger a la empresa y al usuario final de daños. Se utilizan herramientas especializadas para identificar, supervisar, informar y auditar continuamente para lograr y mantener el cumplimiento.
En relación con el cumplimiento de TI, la gobernanza de TI es la función de administrar y abordar los procesos técnicos, estratégicos y procedimentales principales. La gobernanza de TI es un subconjunto del proceso general de gobierno corporativo y es supervisada en la mayoría de los casos por el profesional de alto nivel adecuado, como un director de cumplimiento (CCO) con crecientes responsabilidades multifuncionales de un director técnico (CTO).
La gestión de riesgos es la práctica de mitigar y gestionar el riesgo a través de los controles del sistema y, por lo tanto, está estrechamente alineada como una función integral de la gobernanza de TI y del cumplimiento de TI. GRC (Gobernanza, Riesgo y Cumplimiento) es una estrategia integrada para gestionar de manera efectiva y adecuada las políticas, los procesos y los controles. La gestión colectiva de estas tres funciones (en lugar de como objetivos independientes) puede eliminar la duplicación y facilitar la difusión segura de la información y las comunicaciones.
¿Quién es ISACA?
A medida que crece el entorno normativo, también lo hacen las instituciones que ayudan a los profesionales a encontrar información para comprender mejor este entorno (esto incluye a los gerentes y ejecutivos de TI). La Asociación de Auditoría y Control de Sistemas de Información (ISACA) es una de esas organizaciones. ISACA es una organización sin fines de lucro gestionada por sus miembros que proporciona noticias, revistas, herramientas, educación, l uso compartido de recursos y diálogo sobre el cumplimiento, la gestión de riesgos, las auditorías y la ciberseguridad. La organización también promueve certificaciones para los profesionales de cumplimiento de TI que incluyen lo siguiente:
- Auditor certificado de sistemas de información
- Certificado en riesgos y sistemas de información y control
- Certificado en la gobernanza de TI empresarial
- Gerente de información certificado
Estas certificaciones de ISACA y otras organizaciones pueden ayudar a los profesionales a comprender e implementar las mejores prácticas de cumplimiento. En el libro Auditing IT Infrastructures for Compliance, los autores Martin Weiss y Michael G. Solomon analizan las complejidades para los profesionales de hoy en día: “... En primer lugar, el personal de tecnología de la información rara vez tiene antecedentes legales. En segundo lugar, la mayoría de los requisitos carecen de profundidad técnica... (y) muchas regulaciones son imprecisas en sus requisitos”. Siguen diciendo que muchas veces depende de la industria, la empresa individual, el equipo legal, los ejecutivos de C-Suite y los profesionales de cumplimiento y auditores desarrollar los métodos para cumplir con las leyes y regulaciones.
Comprender las numerosas normas de cumplimiento normativo
Hay numerosos estatutos normativos aprobados por el Congreso. Por lo general, los actos son una respuesta a un problema social o económico y, como tal, se consideran “legislación habilitante”. Luego, las agencias gubernamentales correspondientes tienen la tarea de crear y hacer cumplir las regulaciones autorizadas por el estatuto. Las protecciones obligatorias en la mayoría tienen una regulación y protección específicas de la información incrustada para proteger la privacidad, prevenir fraudes, proporcionar seguridad y proteger las identidades a través de la estandarización, los mandatos y la rendición de cuentas.
Se espera que las corporaciones que proporcionan productos y servicios en los Estados Unidos conozcan y cumplan con estas regulaciones. Las entidades jurídicas corporativas y los ejecutivos de los C-Suite, incluidos los CIO o los CTO, son responsables de las políticas para lograr y defender el cumplimiento de las regulaciones relevantes. En algunos casos, estos ejecutivos asumen la responsabilidad personal de la adhesión y los informes legales y pueden ser considerados responsables personales mediante sanciones severas o incluso tiempo de cárcel. También hay otras disposiciones para el cumplimiento que incluyen protecciones contra la destrucción ilegal de información que podría ser objeto de descubrimiento electrónico, cuando la información se busca en procedimientos legales y está sujeta a procesos antes de proporcionar los datos.
Además de las políticas federales, muchas empresas deben cumplir con las normas internacionales, así como con restricciones locales, regionales y estatales. Puede ser difícil identificar qué leyes, regulaciones, estatutos o mandatos son necesarios. La mayoría está de acuerdo en que el equipo legal y los ejecutivos de C-Suite, bajo la orientación y las recomendaciones del oficial de cumplimiento, se encargan de determinar el alcance del cumplimiento.
Algunos de los estándares más conocidos que afectan el cumplimiento de TI son los siguientes:
La Ley Sarbanes-Oxley (SOX) de 2002 es un estatuto amplio para regular la transparencia financiera y la información. Fue aprobado por el Congreso como respuesta directa a la mala conducta de Enron y WorldCom. La sección 404 es importante para la TI en el área de los controles de informes financieros.
La Ley Gramm-Leach-Bliley (GLBA) fue firmada en 1999 y ordena que las instituciones financieras administren la protección del consumidor (a través de avisos anuales) de sus políticas de privacidad. También requiere las debidas garantías internas y externas, incluso contra la amenaza de un pretexto (la obtención ilegal de información por medios fraudulentos, pretensiones o conjeturas).
La Ley Federal de Gestión de la Seguridad de la Información (FISMA) aprobada en 2002, y establece la seguridad de la información para la burocracia federal al exigir una revisión anual de los sistemas.
La sección del Título II de la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPPA) articula políticas y pautas para regular la información, especialmente la información de salud protegida (PHI) por parte de las aseguradoras, proveedores médicos y empleadores que proporcionan seguros de atención médica.
El estándar de seguridad de datos de la industria de tarjetas de pago de 2001 (PCI DSS) es una recomendación implementada por la industria instituída por MasterCard, Visa y otras empresas de tarjetas de crédito para proporcionar protección de identidad a los miembros y proveedores de servicios.
La Declaración sobre los estándares para los compromisos de certificación (SSAE 16) entró en vigencia en 2011 y reemplazó a SAS 70 como informe sobre los controles para las organizaciones de servicios. Los centros de datos, los ISP y los proveedores de servicios de alojamiento web son entidades comunes relacionadas con la TI en las que se aplica SSAE 16.
Basilea III se aplica al sector bancario y ayuda a determinar la cantidad de capital que se debe reservar para obtener un recupero en caso de pérdidas. Esta normativa afecta a la TI, ya que necesita un software que pueda realizar cálculos más avanzados.
¿Qué regulaciones de cumplimiento se aplican a su organización?
Lidiar con la multitud de regulaciones en numerosos sectores es abrumador para muchas organizaciones. En los Estados Unidos, una empresa puede estar sujeta a la autoridad de uno o varios organismos reguladores, como la Securities and Exchange Commission (SEC), la Federal Communications Commission (CC) y la Federal Trade Commission (FTC). Las industrias más afectadas son las financieras, minoristas y de comercio electrónico, seguros y servicios médicos, otras instituciones de seguros, banca, defensa, servicios públicos y emisores de tarjetas de crédito que tienen acceso a información confidencial. Pero la lista también incluye a cualquier organización que mantenga información confidencial, por ejemplo, una organización que tenga números de seguro social; esto abarca a la mayoría de los empleadores, las entidades gubernamentales y las universidades.
Es difícil identificar las empresas, especialmente las globales, que no están sujetas a regulaciones locales, regionales, estatales, federales o internacionales. Los mandatos de HIPAA afectan a las aseguradoras y profesionales de atención médica, pero también hay disposiciones que afectan a cualquier empleador que ofrezca seguro médico a sus empleados. Además de las leyes y regulaciones formales, hay que tener en cuenta los estándares del sector (como los estándares de responsabilidad financiera de Basilea III y PCI DSS en el sector de las tarjetas de crédito). La conclusión es que si un departamento de TI se encarga de proteger la información para garantizar la confidencialidad, la integridad, la fiabilidad o la disponibilidad de la información, es probable que haya numerosas regulaciones que demanden cumplimiento.
Auditorías e informes de cumplimiento
Las evaluaciones y auditorías son un método para determinar el cumplimiento. Realizada por un comité de auditoría, una auditoría de cumplimiento puede determinar si una empresa cumple con las leyes aplicables mediante una revisión sistemática de las políticas, los procedimientos, las operaciones y los controles. Dado que la TI tiene alcance para toda la empresa, por lo general, una auditoría se realiza en numerosos departamentos. El alcance de una auditoría de cumplimiento de TI identifica las leyes y los requisitos, evalúa cómo se cumplen las leyes, requisitos o estándares específicos y proporciona recomendaciones y recursos para el incumplimiento.
Los informes de cumplimiento de TI suelen ser necesarios durante las auditorías para proporcionar un registro de datos relacionado que contenga pruebas de cumplimiento. Además de las auditorías, el equipo de TI utilizará los informes de cumplimiento para descubrir violaciones de seguridad, amenazas subyacentes y violaciones de políticas que deben corregirse antes de que se produzcan daños graves. Un cuadro de mando integral es una opción para medir si su estrategia de cumplimiento se está ejecutando con éxito sin afectar la misión de su negocio.
Marcos de prácticas recomendadas de gobernanza
Gartner Research define la gobernanza de TI como “los procesos que garantizan el uso eficaz y eficiente de TI que permite a una organización alcanzar sus objetivos”. Ya existen numerosos marcos para ayudar con la gobernanza. Estos son:
- La Biblioteca de Infraestructura de Tecnologías de la Información (ITIL) tiene cinco principios básicos que alinean los servicios de TI con los objetivos empresariales: estrategia, diseño, transición, operación y servicio. Estos se combinan para proporcionar la base de una sólida estructura de gestión de TI. Para respaldar las crecientes necesidades y complejidades de la seguridad de la información, la Organización Internacional de Normalización (ISO) proporciona estándares para abordar los controles que respaldan la seguridad y el riesgo.
- El marco CobiT (Objetivos de control para la información y las tecnologías relacionadas) fue desarrollado por el Instituto de Gobernanza de TI (ITGI), un brazo de investigación de ISACA. Es un marco de gobernanza y gestión para TI que facilita la implementación lógica y la organización de los controles. Puede usarse para vincular de manera efectiva los objetivos del negocio y los objetivos de TI a través de un conjunto de cuatro dominios de procesos.
- La ISO 27001 identifica doce objetivos para el control de la seguridad de la información. Adopta un enfoque tecnológico neutral para desarrollar un sistema integrado de gestión de la seguridad (SGSI).
¿Quién es responsable del cumplimiento?
Aunque los marcos de prácticas recomendadas están disponibles para guiar el cumplimiento de las regulaciones de cumplimiento, las personas son necesarias para que todo se realice. Las funciones de la estrategia y la implementación del cumplimiento están evolucionando dentro de las empresas con departamentos y puestos de C-Suite, incluido un departamento de cumplimiento dedicado que, junto con el CCO, puede tener la tarea de supervisar, planificar y gestionar los elementos que trabajan para el cumplimiento de TI. Echemos un vistazo más de cerca a las funciones de un CCO y el equipo general de cumplimiento.
Director de cumplimiento (CCO): el CCO será responsable de identificar y gestionar el riesgo de cumplimiento, incluido el desarrollo de controles internos y externos para gestionar y resolver los problemas de cumplimiento. A menudo, el CCO pone en marcha un departamento de cumplimiento para brindar servicios completos de cumplimiento a la empresa y al personal.
Oficina en jefe de tecnología (CTO): a diferencia de un CCO, el CTO supervisa todo el marco tecnológico y la infraestructura, incluidos el cumplimiento, la gobernanza y la evaluación de riesgos.
Departamento de cumplimiento: si una organización tiene un departamento de cumplimiento dedicado, se le encargará de gestionar y supervisar el cumplimiento de todas las regulaciones y mandatos aplicables. Los deberes pueden incluir:
- Identificación de riesgos
- Implementación de controles de riesgos
- Informes sobre la eficacia de los controles
- Resolución de problemas de cumplimiento
- Asesoramiento normativo a la empresa
Sin embargo, debe tenerse en cuenta que si bien la gestión técnica, procedimental y estratégica reside en aquellos con el mayor riesgo de responsabilidad (personal de TI, CIO, director de administración de cuentas y director ejecutivo), todos los componentes de la estructura corporativa son responsables de cumplir con las regulaciones que protegen la información sensible.
Cumplimiento de TI: objetivos y desafíos
El objetivo general del cumplimiento de TI es crear un marco técnico, procedimental y estratégico que proporcione los medios para alcanzar y demostrar la integridad legal y ética de una empresa. Al proporcionar mecanismos, políticas y procedimientos defendibles, se evita lo siguiente:
- Daños a la imagen corporativa o a la confianza del consumidor
- Pérdida de ingresos, oportunidad de mercado o valor de las acciones
- Gastos de reparación (costos legales, multas y sentencias, protecciones de consumidores compradas, adquisiciones de capital y pérdida de productividad)
Sin embargo, la consecución de este objetivo enfrenta muchos desafíos. En primer lugar, la complejidad y el alcance de los nuevos estatutos están sujetos a interpretación. Dado que las regulaciones en sí mismas no incluyen una hoja de ruta concreta, hay numerosas pautas y prácticas recomendadas específicas del sector disponibles que proporcionan claridad y orientación.
Otros desafíos son:
- Falta de educación de los empleados
- Problemas de TI ocultos, como los dispositivos móviles personales que evitan los sistemas corporativos de TI.
- Aplicaciones no autorizadas
- Dificultades con los proveedores de servicios (servicios en la nube y centros de datos)
- El papel de las redes sociales
- Cantidad de regulaciones, actualizaciones y nuevas leyes actuales
Gestión de riesgos y cumplimiento de TI y soluciones de software
Para gestionar las muchas necesidades crecientes y cambiantes del cumplimiento de TI, muchas organizaciones implementan estrategias de soluciones. Independientemente del tipo de solución que elija (un marco teórico o una plataforma de software), asegúrese de que funcionará en el panorama empresarial de hoy en día. Una solución de cumplimiento de TI debe ser adaptable (para que pueda actualizarla a medida que cambien las regulaciones), permitir la investigación interna continua, el diálogo y la educación de los involucrados, y gestionar de manera efectiva cualquier problema de incumplimiento.
El término GRC combina las funciones entrelazadas del cumplimiento de TI con las responsabilidades generales de la gobernanza corporativa para mejorar las actividades de la gestión de riesgos. Gartner Research pone énfasis adicional en la importancia de apoyar la gestión de riesgos a través de su “ciclo de entusiasmo” e identifica siete segmentos de mercado centrados en la gestión integral de riesgos integrados (IRM):
- Gestión de riesgos operativos (ORM)
- Gestión de riesgos de la TI
- Gestión de riesgos de proveedores de TI
- Planificación de la gestión de la continuidad del negocio (BCM)
- Gestión de auditorías
- Cumplimiento y supervisión corporativos
- Gestión legal de empresas
De las siete áreas, dos están directamente relacionadas con TI y en la Guía de mercado 2016 de Gartner para soluciones integradas de gestión de riesgos, el analista John A. Wheeler afirma que “... Los riesgos de TI se han gestionado en silos, pero cada vez se reconocen más como indicadores líderes de fracaso en otras áreas de riesgo, como el fraude y la resiliencia”. Gartner también ha comenzado a usar la gestión integrada de riesgos como frase para definir mejor las funciones de un sistema sólido para la gobernanza, la gestión de riesgos y el cumplimiento.
Al adoptar una solución integrada de gestión de riesgos (IRMS) hay numerosos marcos (CobiT e ITIL) y organizaciones (COSO) disponibles para ayudar en el desarrollo de prácticas y procedimientos recomendados.
Muchas organizaciones también optan por adoptar una solución de software para gestionar el cumplimiento de TI. El software de cumplimiento de TI puede admitir funciones críticas y proporcionar funcionalidad de micro y macro, funciones y controles integrados, y soluciones móviles para ayudar tanto en el cumplimiento como en la gestión de riesgos. Las capacidades que puede buscar al evaluar un software de gestión de cumplimiento son las siguientes:
- Identificación de vulnerabilidades
- Controles de sistemas y funciones de seguridad de las aplicaciones
- Funciones de recuperación rápida después de falla o incidente
- Evaluación de riesgos e identificación de amenazas
- Gestión de documentos y proyectos
- Gestión continua de operaciones y mantenimiento
- Registros de auditoría y autenticación
- Análisis de causas de origen y forenses
- Firewalls, seguridad de red y detección de malware
- Gestión de cambios y seguimiento de tickets de problemas
- Recuperación ante desastres
- Archivado de correos electrónicos
Al considerar la adopción de una solución de software, primero es necesario un plan, una evaluación y una revisión claros de los objetivos, procesos y procedimientos ya implementados. Por ejemplo, identifique qué problemas de cumplimiento deben agregarse o reforzarse, y cómo empleará el software para ayudar. Para guiar este proceso, hay numerosas organizaciones y especialistas del sector que pueden formular las preguntas u obtener información a medida que se busca una solución. Por ejemplo, Gartner Magic Quadrant for IT Risk Management Solutions abarca el segmento de cumplimiento corporativo, enumera los proveedores de software y evalúa los puntos fuertes de su producto y las aplicaciones adecuadas.
Antes de hacer una elección final de software, asegúrese de lo siguiente:
- Evalúe la historia y la reputación de los proveedores
- Haga al proveedor las complejas preguntas de cumplimiento para garantizar que comprendan sus necesidades y requisitos
- Haga una demostración del producto e involucre al personal clave
- Trabaje con analistas y expertos del sector
- Realice una evaluación en función de los requisitos específicos de gobernanza, riesgo y cumplimiento de la organización
En última instancia, una exploración exhaustiva de las soluciones de software disponibles lo conducirá al producto que mejor se adapte a sus necesidades. Recuerde no dejarse influir por las funcionalidades de complementos elegantes (que tal vez ni siquiera necesite); deje que los resultados de su investigación sean el factor determinante.
Beneficios y prácticas recomendadas de una solución de cumplimiento de TI
Como hemos comentado, el incumplimiento de las regulaciones de cumplimiento puede tener un gran impacto en los resultados de su organización. Por lo tanto, establecer una estrategia sólida de cumplimiento de TI junto con las soluciones de apoyo es fundamental para el éxito futuro de su organización. Una sólida solución de cumplimiento de TI puede permitirle:
- Mantenerse al día sobre los requisitos de cumplimiento actuales a través de integraciones con fuentes de datos de GCR
- Estandarizar los procesos en todas las regulaciones de GRC de TI necesarias
- Mejorar la efectividad con procesos y flujos de trabajo automatizados
- Proporcionar liderazgo con informes de cumplimiento de TI en tiempo real
- Mantener registros precisos para las auditorías
- Maximizar la inversión en servicios de cumplimiento de TI
- Incorporar las mejores prácticas de cumplimiento relevantes en los procesos y el flujo de trabajo
- Administrar los recursos de TI y garantizar la rendición de cuentas
Evitar el cumplimiento y el riesgo de TI: consejos para los líderes de cumplimiento
Como se señaló anteriormente, hay muchos desafíos asociados al cumplimiento de TI. A continuación, le mostramos varios consejos que ayudarán a evitar costosas multas, penalizaciones y otras consecuencias legales asociadas con el incumplimiento:
- Eduque a los empleados sobre todos los aspectos de la privacidad de los datos y proporcione las herramientas de protección.
- Proporcione a los empleados móviles laptops y dispositivos que contengan políticas de seguridad y mecanismos de prevención, como capacidades de limpieza a distancia y acceso seguro a los datos corporativos.
- Establecer mecanismos de autorización para limitar el acceso a las aplicaciones descargables. Solo permita que se descarguen software y aplicaciones aprobados.
- Aplique el cifrado para garantizar la seguridad y evite el acceso de dispositivos sin acceso seguro.
- Utilice solo soluciones de almacenamiento en la nube seguras y modernas.
Y, por último, un buen sistema de cumplimiento de TI implica las realidades y complejidades del entorno altamente conectado de hoy en día. Todos los empleados desempeñan un papel en la protección de los datos y en el uso ético del equipo (por ejemplo, las laptops y las computadoras de escritorio, y las protegen incluso fuera del sitio). Más que nunca, el cumplimiento de TI requiere marcos de gestión sólidos, políticas y protecciones adecuadas, y procesos defendibles para proteger a la empresa si surgen incidentes.
Descubra una mejor manera de administrar las operaciones de ventas con Smartsheet
Empodere a sus empleados para que vayan más allá gracias a una plataforma flexible, diseñada para satisfacer las necesidades de su equipo y capaz de adaptarse cuando esas necesidades cambien. La plataforma Smartsheet facilita la planificación, la captura, la gestión y la creación de informes sobre el trabajo, desde cualquier lugar, lo que ayuda a su equipo a ser más eficiente y lograr más. Cree informes sobre las métricas claves y obtenga visibilidad en tiempo real acerca del trabajo en curso gracias a informes, paneles y flujos de trabajo automatizados diseñados para ayudar a su equipo a mantenerse conectado e informado. Cuando los equipos tienen claridad sobre el trabajo en curso, pueden lograr mucho más en el mismo tiempo. Pruebe Smartsheet gratis hoy mismo.
Todos los artículos, las plantillas o la información que proporcione Smartsheet en el sitio web son solo de referencia. Mientras nos esforzamos por mantener la información actualizada y correcta, no hacemos declaraciones ni garantías de ningún tipo, explícitas o implícitas, sobre la integridad, precisión, confiabilidad, idoneidad o disponibilidad con respecto al sitio web o la información, los artículos, las plantillas o los gráficos relacionados que figuran en el sitio web. Por lo tanto, cualquier confianza que usted deposite en dicha información es estrictamente bajo su propio riesgo.
Estas plantillas se proporcionan solo como muestras. Estas plantillas no implican de ninguna manera un asesoramiento legal o de cumplimiento. Los usuarios de estas plantillas deben determinar qué información es necesaria para alcanzar sus objetivos.