PCI DSS, HIPAA, SOX, GLBA, GDPR, CCPA, ISO; la lista de normativas que las empresas deben cumplir hoy en día es tan larga como el brazo de la ley. Si bien es desalentador para las organizaciones hacer un seguimiento de todas las regulaciones aplicables y formular planes exhaustivos para lograr el cumplimiento normativo, estas son bendiciones disfrazadas, ya que protegen a las empresas y a los consumidores por igual. Según un informe sobre el coste del cumplimiento normativo de 2019 realizado por Thomson Reuters, un panorama normativo dinámico y los riesgos que plantean las innovaciones tecnológicas, como la inteligencia artificial (IA), el Internet de las Cosas (IoT), el «trae tu propio dispositivo» (BYOD), etc., han seguido siendo algunas de las principales preocupaciones de los responsables de cumplimiento normativo de todo el mundo.
Otra gran preocupación que ha surgido en los últimos meses es la gestión de la recopilación a gran escala de datos personales para combatir la pandemia de COVID-19. Si bien la analítica de datos desempeña un papel innegable en el estudio del crecimiento y la propagación de la infección por coronavirus, es imperativo supervisar la forma en que las organizaciones están procesando los datos recogidos de los teléfonos móviles, las aplicaciones de chequeo médico, etc.
Es desalentador para las organizaciones hacer un seguimiento de todas las regulaciones aplicables y formular planes exhaustivos para lograr el cumplimiento normativo
En un panorama tan dinámico, los responsables del cumplimiento normativo deben mantener el ritmo, formular marcos de cumplimiento eficaces y gestionar los riesgos de manera más eficiente.
Estar al día de los cambios normativos
El entorno normativo está en constante cambio; las normativas existentes son objeto de actualizaciones periódicas, mientras que se formulan nuevas normativas para hacer frente a las crecientes preocupaciones en materia de seguridad y privacidad. A medida que los requisitos de cumplimiento evolucionan, también debe hacerlo su estrategia de cumplimiento.
Por ejemplo, el Reglamento General de Protección de Datos (RGPD). El GDPR refleja un cambio significativo en la manera en que los legisladores ven ahora la privacidad y la seguridad de los datos. Puso en marcha una cadena de cambios normativos en todo el mundo, y cada país formuló su versión de las normas de privacidad. A primera vista, estas normativas parecen preocupar únicamente a las organizaciones con sede en sus respectivos países. Sin embargo, un examen más detallado de la letra pequeña de estas normativas revela su alcance global y su impacto en todas las organizaciones.
Además, dado que la mayoría de estas normativas son obligatorias por ley, ignorarlas no es una opción, a menos que quiera pagar multas multimillonarias. Reglamentos como el RGPD obligan a las organizaciones a examinar detenidamente sus marcos de gobernanza de datos. El cumplimiento a menudo significa tener que repensar muchas de las prácticas actuales de una organización, incluida la formación y educación de los empleados, pueden hacer o deshacer la estrategia de cumplimiento de una organización, ya que, en última instancia, manejan datos todos los días.
Establecer la transparencia y la responsabilidad
Un tema recurrente en la mayoría de los reglamentos y normas del sector es la necesidad de mostrar una responsabilidad y un cumplimiento constantes. Reglamentos y normas como el GDPR, PCI DSS e ISO/IEC 27001 exigen que las organizaciones mantengan informes de múltiples procesos organizativos, como los mecanismos de seguridad de redes y sistemas, las políticas de seguridad de la información, los sistemas de gestión de identidades, etc.
Es también vital demostrar el cumplimiento histórico, lo que puede ser un reto sin los sistemas y controles adecuados. Las organizaciones deben incorporar métodos para supervisar y registrar numerosos aspectos, como los datos de los empleados, las transacciones financieras y los registros de red para demostrar la conformidad. Además, las empresas deben asegurarse de que los terceros con los que colaboran cumplen la normativa.
Adaptación al cambiante panorama tecnológico
Los avances tecnológicos, como el IoT, el BYOD, la IA, así como el aprendizaje automático (ML) y la TI en la sombra, pueden hacer que el cumplimiento de la normativa sea más difícil de lo que ya es. Aunque estos avances son ventajosos, vienen acompañados de su propio conjunto de vulnerabilidades y lagunas de seguridad, como la gestión de dispositivos no autorizados, la residencia y el cifrado de datos, la falta de visibilidad, etc. Es imprescindible realizar una evaluación de riesgos exhaustiva antes de incorporar cualquier nueva tecnología a sus procesos empresariales. Hay que saber qué sistemas se utilizan y para qué, y asegurarse de que todos los componentes de hardware y software se actualizan regularmente. Prácticas como el BYOD, la TI en la sombra y los datos oscuros pueden ser particularmente difíciles de gestionar, ya que la mayoría de estas implementaciones eluden los sistemas centrales de TI.
Creación de un plan de cumplimiento efectivo
La implementación de un plan de gobierno, riesgo y cumplimiento (GRC) puede ayudar a las organizaciones a desarrollar un marco central para abordar esta importante preocupación de gestión.
1. Identificar y priorizar los objetivos de su marco de GRC
El primer paso es determinar qué quiere que consiga su marco. Por lo tanto, entienda sus procesos empresariales, identifique y clasifique sus objetivos en función de lo que es más valioso para su organización y, a continuación, determine las herramientas que necesitará para alcanzar esos objetivos.
2. Adopte una estrategia de implantación gradual
Aunque puede parecer una buena idea implantar todo el marco de trabajo de una sola vez, suele ser más seguro desplegar estos programas en toda la organización por fases. Lograr los resultados cruciales al principio y luego construir sobre su marco inicial garantizará que incluya varios aspectos y que cada uno de ellos reciba la atención debida.
3. Definir claramente los indicadores clave de éxito
Defina los indicadores clave de éxito para cada uno de los objetivos que identificó al principio de nuestro proceso de marco de GRC. Es fundamental señalar métricas de éxito claras para cada objetivo, ya que proporcionarán un verdadero reflejo de la fortaleza de su marco.
4. Determine las herramientas que requiere su marco
La tecnología puede agilizar considerablemente la aplicación de su plan de GRC. Identifique las herramientas que le ayudarán a cumplir sus objetivos más rápidamente y asegúrese de tener en cuenta la facilidad de implementación, la presencia en la nube y la seguridad de las aplicaciones al seleccionar sus opciones.
5. Adaptar la estrategia operativa de su organización
Los planes de GRC afectan a los procesos y sistemas de toda la organización, por lo que su marco de GRC debe ser lo suficientemente flexible como para evolucionar a medida que surgen nuevos vectores de amenazas o regulaciones. Ya sea que esto implique la creación de un comité dedicado al cumplimiento y la evaluación de riesgos o la realización de programas regulares de formación de los empleados, tendrá que identificar y tener en cuenta los cambios que un programa de GRC traerá a sus operaciones diarias.
Las funciones y los marcos normativos de una organización deben pasar de ser meramente reactivos a un enfoque más proactivo y táctico. Mientras la protección de datos y la privacidad estén integradas en la cultura de la organización, cualquier laguna o riesgo que pueda surgir podrá identificarse y resolverse con relativa facilidad.
Por Priyanka Roy, evangelista empresarial, ManageEngine
