La gestión del cumplimiento es el proceso de planificación, supervisión, control y evaluación de sistemas de TI para garantizar la alineación con los estándares regulatorios.
Las reglas rigen esencialmente todos los aspectos del negocio, desde los estándares de calidad que garantizan que el uso de los productos sea seguro, hasta las pautas sociales que dictan el comportamiento apropiado de la oficina. Y si bien algunas reglas son poco más que sugerencias o pautas, otras se basan en políticas establecidas, o incluso en regulaciones de los sindicatos y los empleados o la legislación aplicada por el gobierno. En estos casos, el incumplimiento puede tener importantes consecuencias.
La finalidad de la gestión del cumplimiento es garantizar que una empresa, sus empleados y todos los sistemas de TI pertinentes mantengan estos estándares.
Existen estándares regulatorios por diversas razones. En muchos casos, estas regulaciones se implementan para evitar que las empresas actúen de manera contraria a la seguridad y satisfacción continuas de la comunidad. Las organizaciones tienen la responsabilidad de proporcionar productos y servicios de calidad, y de operar de tal manera que no engañen ni ponga a sus clientes u otras personas en riesgo. El cumplimiento también puede ayudar a promover una competencia leal dentro del mercado, al establecer pautas que las empresas deben seguir al tratar con los competidores.
Los problemas éticos suelen ser el centro de las leyes federales, estatales y locales. El incumplimiento de estas leyes puede dar lugar a graves sanciones para las empresas, como multas, penas de prisión para ejecutivos de empresas o incluso el cierre o la reestructuración forzosos de la propia empresa.
Por supuesto, las preocupaciones éticas no son la única motivación de la regulación comercial. Establecer normas, leyes y prácticas recomendadas puede crear una ventaja competitiva. Por una cosa, es probable que los clientes estén más dispuestos a trabajar con una empresa que se adhiere a los procesos y procedimientos vitales. Al mismo tiempo, muchos de estos procedimientos existen para promover una mejor gestión del negocio en sí, y las organizaciones pueden observar mejoras a nivel general cuando cumplen con las leyes, las prácticas recomendadas y los estándares establecidos. Esto es especialmente evidente con respecto a los sistemas de TI de la empresa.
- La gestión del cumplimiento en TI proporciona los siguientes beneficios a las empresas:
- Asegurarse de recibir las aprobaciones esenciales antes de poder tomar medidas específicas (como actualizaciones de TI o parches de emergencia).
- Asegurarse de informar sobre las finanzas de manera precisa y coherente.
- Evitar el riesgo para los datos confidenciales de clientes, proveedores, empleados y empresas.
- Establecer acuerdos de nivel de servicio (SLA, por sus siglas en inglés) para asegurarse de detectar y abordar las vulnerabilidades de manera oportuna.
- Identificar las rutas de remisión a instancias superiores o las cadenas de notificación.
La gestión satisfactoria del cumplimiento requiere que las organizaciones desarrollen una comprensión clara de su infraestructura y todos los sistemas asociados. Esto exige que las empresas tomen las siguientes medidas:
La evaluación implica identificar los sistemas, los procesos, los proveedores o las aplicaciones que no cumplen. Esto puede incluir sistemas vulnerables o sin parches, o simplemente aquellos que no cumplen con los requisitos regulatorios de otras maneras. Para evaluar los sistemas, primero importa todas las regulaciones relevantes a un marco de trabajo y una taxonomía regulatorios. A continuación, crea controles y armonízalos de modo que no haya duplicados; muchas regulaciones tienen requisitos similares. Estos controles se pueden utilizar para evaluar los sistemas, y se deben programar pruebas de control regularmente para una supervisión continua.
Cualquier problema de cumplimiento detectado mediante pruebas de control, así como aquellos que se identifican en un registro de auditoría, deben priorizarse a continuación según el esfuerzo necesario, el posible impacto en el negocio y la gravedad del problema. Al clasificar los problemas de cumplimiento según el riesgo que implica para el negocio y los recursos necesarios para resolverlos, las organizaciones pueden trabajar para resolver primero los problemas importantes con objetivos asequibles, antes de pasar a otros que pueden no ser tan apremiantes o tan sencillos.
El cumplimiento se centra en supervisar, priorizar e informar de problemas, en lugar de solucionarlos. Cuando se detectan problemas de cumplimiento, el equipo de gestión del cumplimiento debe revisar los detalles y decidir si se debe transferir al equipo de TI o a otro equipo para solucionarlo, o simplemente aceptar el riesgo asociado y dejar el problema de cumplimiento sin resolver. En el caso de una excepción de política, la realización de evaluaciones de riesgos le dará al equipo de riesgo la información que necesita para determinar si se debe mitigar, aceptar, transferir o evitar el riesgo. Solo se debe permitir una pequeña cantidad de excepciones de políticas, y cada excepción de política debe incluir una fecha de finalización y recordatorios de informar a los usuarios cuando la excepción está a punto de vencer.
Una vez que se hayan realizado los cambios y se hayan reevaluado los sistemas, crea un informe que valide que los cambios han tenido efecto y que el sistema ahora cumple con los requisitos. Además, se debe supervisar e informar de lo sucedido en cada etapa. La supervisión continua ayudará a identificar tendencias, identificar más rápidamente problemas de incumplimiento y proporcionar actualizaciones en tiempo real de resoluciones y excepciones.
El cumplimiento de las regulaciones, leyes, estándares y políticas es un aspecto necesario de las empresas modernas. Lamentablemente, gestionar correctamente el cumplimiento puede, a veces, ser una tarea difícil. Aquí exploramos brevemente varios desafíos que pueden obstaculizar el camino:
Siempre se están creando nuevas leyes y estándares para garantizar que los sistemas de TI comerciales funcionen de una manera segura y que no ponga en riesgo los datos confidenciales de los clientes. Esto significa que las soluciones de gestión del cumplimiento de las organizaciones deben tener una gran capacidad de adaptación, que muchas opciones actuales no la tienen.
Las amenazas a la seguridad están evolucionando aún más rápido que los estándares regulatorios; un sistema aparentemente seguro hoy puede volverse mañana fácilmente vulnerable a nuevas amenazas y métodos de ataque desconocidos.
La mayoría de los sistemas de TI de las empresas no tienen una ubicación centralizada; están dispersos en entornos distribuidos a través de múltiples plataformas in situ y con soporte en la nube. Sin informes integrados o visibilidad en toda la empresa, puede ser muy difícil lograr una visión completa del estado de cumplimiento actual, así como de las vulnerabilidades y los riesgos asociados.
Los entornos de TI complejos, junto con los grandes equipos, pueden dificultar la coordinación, ralentizar las evaluaciones de cumplimiento y crear inconsistencias o malentendidos al establecer responsabilidades.
Las empresas que trabajan con contratistas, proveedores u otros terceros pueden ser responsables de la manera en que dichos socios gestionan cualquier información confidencial de clientes o empresas a la que tengan acceso. Esto puede ser problemático, ya que no siempre es posible realizar una supervisión eficaz del cumplimiento de los contratistas externos que no son a tiempo completo.
Al igual que muchos de los obstáculos que existen en el camino de la gestión eficaz del cumplimiento han evolucionado en los últimos años, las principales organizaciones están ampliando su enfoque. Hoy en día, garantizar el cumplimiento de las normativas a menudo requiere un enfoque versátil capaz de supervisar, analizar e informar de todos los entornos relevantes. Disponer de las herramientas correctas es un paso importante para lograr este objetivo.
Otras prácticas recomendadas en cuanto al cumplimiento son:
Cuando se trata de una supervisión integral del cumplimiento, es posible que "lo bastante reciente" no sea lo bastante reciente. Los problemas de cumplimiento pueden surgir de forma rápida e inesperada. Como tal, la realización de escaneos diarios de los sistemas puede ayudar a asegurarse de que cuando se manifiesten problemas o vulnerabilidades, las empresas podrán actuar antes de que dichos problemas comiencen a afectar a las operaciones.
Las políticas de la empresa no son (y no deben ser) estáticas; deben ser lo suficientemente dinámicas y flexibles como para adaptarse a los nuevos avances, leyes y amenazas de seguridad que puedan surgir. Programa fechas regulares para revisar las políticas de TI y prepárate para actualizarlas cuando sea necesario.
Es responsabilidad de la empresas mantenerse al día de todas las leyes y regulaciones sobre el cumplimiento de TI. Las fuentes RSS y otros servicios pueden proporcionar a las organizaciones la planificación de los cambios a medida que se acercan.
La gestión del cumplimiento manual es inexacta e ineficiente y requiere mucho tiempo. Y, a medida que una organización crece, puede ser difícil mantener los procesos de cumplimiento manuales. La automatización permite pasar ciertas tareas esenciales y repetitivas a los programas automáticos. Esto permite a las empresas optimizar la gestión del cumplimiento, para mejorar la precisión, la consistencia y la productividad, lo que se adapta incluso al crecimiento empresarial más repentino.
Posiblemente, el paso más fácil y eficaz que las empresas pueden dar para garantizar el cumplimiento es mantener todos sus sistemas de TI actualizados y con los parches correspondientes. En muchos casos, la aplicación de parches se puede automatizar casi por completo. Todos los sistemas con parches deben someterse a pruebas de parches para garantizar la viabilidad antes de que se les permita reanudar sus funciones.
En muchos casos, el cumplimiento es un requisito legal e incluso cuando la ley no lo exige, el cumplimiento de las políticas y estándares clave empresariales o de TI puede proporcionar considerables beneficios. Para comenzar con la gestión del cumplimiento, sigue estos pasos:
- Obtén el compromiso de todos los líderes y encargados clave de la toma de decisiones dentro de la organización.
- Crea un programa formalizado que identifique estándares y regulaciones fundamentales, que conceptualice políticas y que cree controles.
- Identifica los sistemas, activos, procesos y proveedores críticos con los que se debe gestionar el cumplimiento.
- Identifica a quienes deben ser responsables del cumplimiento de los sistemas, activos, procesos y proveedores críticos.
- Crea un repositorio centralizado para identificar el incumplimiento, para datos, registros de auditoría e información de activos (como la CMDB).
- Cuando sea necesario, implementa partes externas que ayuden con conocimientos especializados.
- Ofrece y exige formación sobre cumplimiento en todos los departamentos pertinentes.
- Automatiza las pruebas de control para la supervisión continua del cumplimiento.
ServiceNow, líder en el Gartner Magic Quadrant para gestión de riesgos de TI, también es líder en el sector en soluciones de cumplimiento digital. Basado en la galardonada ServiceNow AI Platform, ServiceNow Governance, Risk, and Compliance (GRC) permite a las empresas a desarrollar marcos de trabajo de gobierno eficaces.
Dentro de estos marcos de trabajo, los usuarios pueden importar regulaciones, identificar políticas y establecer ciclos de vida de las políticas, asignar y probar controles, crear certificaciones, programar pruebas periódicas y realizar procedimientos de gestión de problemas y tareas para responder a los faltas de cumplimiento a medida que surjan. En todo momento, GRC de ServiceNow está respaldado por paneles de información dinámicos y centralizados y una creación de informes intuitiva, lo que permite a las organizaciones obtener la información que necesitan para actuar de manera rápida y decisiva.
Explora Policy and Compliance Management y haz que el cumplimiento continuo sea una parte integral del éxito de tu negocio.