Mejores prácticas para la gestión del cumplimiento

Publicado: 2019-01-10

Dado que las nuevas reglamentaciones y las reglamentaciones actualizadas de la industria ahora rigen muchas empresas, la gestión del cumplimiento es ahora el centro de atención de todas las industrias. En la mayoría de los casos, los requisitos de cumplimiento implican una inspección minuciosa de las hojas de cálculo.

Reconocidos especialistas en ciberseguridad te recomiendan revisar tu entorno de datos y asegurarte de que haya efectividad en el control. Esto le ayudará a paliar cualquier posible filtración de datos. Es importante hacer que el cumplimiento sea parte del negocio.

Sin embargo, si sus datos permanecen sellados en varios departamentos, mantener datos precisos y actualizados puede ser difícil.

Consejos para crear un programa de cumplimiento corporativo eficaz

Tener un programa de cumplimiento comercial implica crear un equipo dedicado a las necesidades generales legales y de la industria. En el pasado, el director de seguridad de la información (CISO) o el director de información solía trabajar con su cumplimiento para crear un programa de cumplimiento corporativo. Sin embargo, las cosas están tomando un rumbo diferente.

Su empresa debe crear comunicaciones interdepartamentales. Tu negocio incorporará más software como servicio (SaaS) para facilitar las operaciones. Por lo tanto, deberá organizar más discusiones internas de accionistas.

Por ejemplo, el departamento de recursos humanos podría optar por utilizar varias plataformas SaaS para permitirles realizar varias tareas de manera eficiente. Estas plataformas incluyen un medio de facturación para pagar a los trabajadores y una plataforma para el seguimiento de horas. Además, su departamento de marketing podría estar utilizando una plataforma de programación de redes sociales y una plataforma de base de datos de contactos. Todas estas plataformas de habilitación de SaaS desempeñan un papel en el aumento de su riesgo de cumplimiento.

Por esta razón, su programa de cumplimiento corporativo debe incluir un equipo interdepartamental para que registre todos los activos.

Creación de un programa eficaz de gestión de riesgos

Es el trabajo del equipo que creó para unirse y evaluar los riesgos que traen sus activos. Para tener un programa de gestión de riesgos efectivo, debe determinar el tipo de datos que es venerable para la violación y cómo afectará al negocio.

Primero, debe crear un catálogo de todos los activos de datos digitales. Esto incluirá todos los datos de sistemas y redes, aplicaciones y software.

Luego, revisará los datos almacenados en esos activos, los transmitirá y los procesará. Tenga en cuenta que el tipo de datos con los que interactúan sus activos digitales puede alterar el nivel de riesgo involucrado.

La información que debe protegerse tiende a cambiar dependiendo de varias cosas.

Esto incluye:

  • quien lo esta usando
  • Cómo interactúan con él
  • Lo que es
  • donde se almacena
  • como se transmite
  • Formas de gestionar el riesgo de los proveedores

Actualmente, el uso de la plataforma SaaS está aumentando a un ritmo acelerado. Por esta razón, la gestión de los riesgos de los proveedores ha sido una situación más complicada. La mayoría de los requisitos de cumplimiento normativo prestan atención a la obtención de un control de seguridad de la cadena de suministro.

Supervisar a sus proveedores aumenta la cantidad de papeleo necesario para crear un programa de cumplimiento eficaz. Por lo tanto, asegúrese de catalogar a sus proveedores, humanos y digitales mientras se asegura de que mantengan los controles de seguridad.

  • Asegúrese de que sus accionistas internos conozcan sus roles para monitorear a sus proveedores
  • Registre el acceso y la autorización del proveedor a su red, sistemas y software
  • Tener una lista actualizada que demuestre un monitoreo efectivo sobre el control de proveedores
  • Asegúrese de revisar sus controles de seguridad, registre sus comentarios y examine cualquier auditoría interna o externa completada
  • Todo este trabajo debe tener documentación de cada proveedor que almacene en varios lugares

¿Qué hace que las hojas de cálculo sean una herramienta eficaz de gestión del cumplimiento?

La mayoría de los sistemas de gestión de cumplimiento comenzaron a usar una hoja de cálculo, ya que es fácil de usar y económica. También le permite documentar sus controles con facilidad. Los controladores de la nube ofrecieron una manera fácil de compartir y editar un documento. Entonces, la gente encontró una mejor manera de establecer la responsabilidad interna de los accionistas sin gastar más dinero.

Debido a algunos factores, la hoja de cálculo aumentó a medida que el negocio escalaba. A medida que aumentó el número de proveedores, se agregaron más pestañas a las hojas de cálculo.

Además, rastrear algunos errores fue difícil ya que los controladores de la nube guardaron la información más reciente que agregó. La comparación de diferentes registros de documentos fue abrumadora, ya que no se podía saber si las partes manejaban bien sus revisiones.

Las actualizaciones de los controles, como los parches de seguridad, eran difíciles de documentar adecuadamente.

Este trabajo fue arduo y requirió tanto tiempo que trajo un riesgo potencial de cumplimiento.

¿Cómo puede disminuir la carga de la gestión del cumplimiento?

Existen productos en el mercado que le permiten tener tranquilidad al monitorear su programa de gestión de cumplimiento.

Vienen con un sistema fácil de usar que le permite establecer el acceso a los documentos basado en funciones. Por lo tanto, sus accionistas internos solo obtendrán los datos que necesitan. Usted crea acceso a los documentos vinculándolos a los deberes y funciones del trabajo. Esto permite que el departamento de recursos humanos realice modificaciones en sus proveedores y el departamento de marketing tendrá acceso a los suyos. Esto ayuda al ejecutivo de cumplimiento a realizar un seguimiento de los cambios de manera efectiva al tiempo que garantiza la documentación adecuada.

Además, ofrece destreza en el flujo de trabajo y la gestión que le permite asignar funciones a las personas y realizar un seguimiento de su progreso. No tiene que enviar actualizaciones y solicitudes por correo electrónico.

Dado que el sistema es una fuente de información veraz para cualquier documentación de auditoría, ahorrará tiempo al dar su opinión sobre las solicitudes de auditoría y ahorrará dinero en el proceso de auditoría.

Nota del editor: Ken Lynch es un veterano de la puesta en marcha de software empresarial, que siempre ha estado fascinado por lo que impulsa a los trabajadores a trabajar y cómo hacer que el trabajo sea más atractivo. Ken fundó Reciprocity para perseguir precisamente eso. Ha impulsado el éxito de Reciprocity con este objetivo basado en la misión de involucrar a los empleados con los objetivos de gobierno corporativo, riesgo y cumplimiento de su empresa para crear ciudadanos corporativos más socialmente conscientes. Ken obtuvo su licenciatura en Ciencias de la Computación e Ingeniería Eléctrica del MIT. Obtenga más información en ReciprocityLabs.com.

¿Tiene alguna idea sobre esto? Háganos saber a continuación en los comentarios o lleve la discusión a nuestro Twitter o Facebook.

Recomendaciones de los editores:

  • Procesos efectivos de gestión de auditoría de flujo de trabajo
  • ¿Qué es el cumplimiento y la gestión de registros?
  • ¿Qué son los sistemas de gestión de cumplimiento?
  • Segmentación de red y cumplimiento de PCI
  • Alcance de una auditoría SOC2