6 errores de cumplimiento de TI a evitar

Hay un aumento significativo en las regulaciones asociadas con los sistemas de TI y los datos empresariales. Es un mandato que los profesionales de TI se ocupen de todos los aspectos de estas regulaciones, de lo contrario, existe la posibilidad de una fuerte implicación financiera debido al incumplimiento.

Aceptemos el hecho de que el cumplimiento es parte de la vida de cualquier organización, en particular de las verticales de la industria, que están altamente reguladas, como los servicios financieros, la atención médica y el gobierno. En el momento en que mencionamos la palabra cumplimiento, inmediatamente resuena en los equipos legales, de cumplimiento y de riesgo. Sin embargo, existe una participación considerable de los departamentos de TI para garantizar el cumplimiento del cumplimiento de la organización.

Es importante que los CIO y otros altos ejecutivos de tecnología conozcan las diversas regulaciones y pautas sobre datos, privacidad, seguridad y otros componentes regulatorios dentro del panorama tecnológico. Estos altos ejecutivos pueden desempeñar un papel fundamental para garantizar que no se produzca ningún incumplimiento y, por lo tanto, evitar una sanción grave.

Por ejemplo, los profesionales de TI en sectores como el de la atención médica y otros sectores afiliados han tenido que garantizar el cumplimiento de la HIPAA, que garantiza la seguridad y privacidad de los datos electrónicos de atención médica. Sin embargo, estamos viendo que el marco regulatorio se vuelve cada vez más complejo debido a la evolución de muchas pautas regulatorias nuevas, como las Regulaciones generales de protección de datos (GDPR) de Europa y la Ley de privacidad del consumidor de California (CCPA).

Junto con los Estados Unidos, muchos otros países siguen constantemente protocolos similares para garantizar la protección de los datos de las personas. El marco regulatorio y de cumplimiento para sistemas de TI, redes y dispositivos de hardware es una parte integral de cualquier organización. Esto definitivamente lo ha convertido en un gran motivo de preocupación para los CIO de todo el mundo. De hecho, la investigación realizada por la agencia líder Gartner ha estimado que más del 75 % de la información personal estará cubierta por las leyes de privacidad globales para fines de 2023.

Por lo tanto, los CIO deben asegurarse de seguir ciertos procedimientos y evitar errores que conduzcan al incumplimiento. Estos son algunos de los errores de cumplimiento de TI que deben evitar:

1. Considerar a tu auditor como un adversario

Cuando los auditores y evaluadores comienzan a cuestionar las iniciativas de TI en una organización y su impacto en el cumplimiento, es bastante natural que los CIO y otros altos ejecutivos de tecnología se pongan a la defensiva. Estos auditores comenzarán a comentar su proceso de pensamiento. Esto crea fricción entre los dos, que no va a llevar a ninguna parte.

Por lo tanto, siempre es recomendable tener una discusión constructiva y cara a cara, comprender la perspectiva de estos auditores y tratar de trabajar de manera cohesiva para mejorar el entorno. La conclusión es que todos están trabajando hacia el mismo objetivo, incluidos los que han creado estas pautas de cumplimiento; el objetivo es establecer transparencia y rendición de cuentas. Si los CIO comienzan a adoptar estas auditorías internas y trabajan en colaboración con los auditores, existe una alta posibilidad de abordar estos protocolos de cumplimiento fácilmente.

2. Manejo o más bien mal manejo de las excepciones

Así como cada regla o directriz tiene algunas excepciones, también hay un conjunto de excepciones para el cumplimiento en el marco de TI. Difícilmente sucede que todo el mundo es seguido al 100% al pie de la letra. Las cosas cambian debido a los cambios en los escenarios comerciales y el impacto en el cliente. Por lo tanto, siempre es beneficioso implementar un proceso para administrar excepciones en torno a los cumplimientos de TI.

Comienza documentando cosas simples como lo que se está siguiendo y por qué podría haber un posible conflicto con el cumplimiento existente. ¿La organización está tomando medidas adicionales para adherirse a los objetivos de cumplimiento? ¿La organización cuenta con una regla de bypass, que es de carácter permanente, o será sometida a observación y aprobación antes de ser ejecutada? Estas son algunas de las preguntas pertinentes que las organizaciones deben hacer, documentar y monitorear de manera regular y no volverse reacios a ello o más bien dar por sentadas tales excepciones.

Cada vez que se pasa por alto una regla, debe haber una explicación adecuada porque existe un riesgo potencial involucrado cuando se pasan por alto tales reglas.

3. Falta de preparación del equipo

Al igual que otras áreas de TI, incluso en caso de cumplimiento, la falta de habilidades, experiencia y conocimientos relevantes adecuados puede causar problemas graves. Para tener una estrategia sólida en torno al cumplimiento de TI, es importante contar con un equipo sólido. Los CIO deben asegurarse de que el equipo esté continuamente aprendiendo y mejorando en el proceso de adherirse a los cumplimientos normativos de TI. Tener un enfoque de este tipo ayudará a los equipos de TI a mejorar considerablemente su eficiencia.

Es inevitable que el cumplimiento de TI no sea solo responsabilidad del equipo de TI; es una práctica interfuncional que la hace igualmente responsable de cada individuo en la organización, en todas las funciones.

4. Seguridad de control de cumplimiento

Si bien es importante adherirse a varios errores de cumplimiento de TI, particularmente los protocolos regulatorios, el objetivo debe ser tener una metodología de seguridad bien definida que esté en línea con el objetivo comercial de la organización y la vertical y el dominio bajo el cual la empresa o opera el departamento. Cuando los líderes de TI tienen esto en cuenta y están sincronizados con este enfoque, el cumplimiento se convierte en un resultado claramente logrado y no solo en el único objetivo.

Por lo general, se ve que las medidas de seguridad fundamentales no se administran de manera efectiva, sino más bien de manera deficiente, lo que resulta en un obstáculo para el cumplimiento. Algunos ejemplos en esta línea serán parches, gestión de vulnerabilidades, uso de autenticación de 2 factores para acceso remoto, gestión de dispositivos móviles y políticas BYOD, etc.

5. Ignorar algunas herramientas importantes

Hoy en día, hay una gran cantidad de herramientas disponibles en el mercado que abordan los errores de cumplimiento de TI. Es bastante evidente que los equipos legales y de cumplimiento trabajan en conjunto para finalizar y adquirir estas herramientas, los líderes de TI también pueden desempeñar un papel importante para ayudar a preseleccionar, finalizar e implementar estas soluciones en la organización.

En septiembre de 2021, Gartner había ayudado a la fraternidad empresarial global al identificar tres áreas en las que el equipo de cumplimiento debería centrar sus inversiones en tecnología.

La primera inversión debe ser en el sistema central de mantenimiento de registros, que actúa como sistema de base para cualquier organización. La segunda inversión debe ser en herramientas que potencien los flujos de trabajo digitales y, finalmente, la tercera son las soluciones que ayudan a monitorear y administrar los riesgos.

Las organizaciones no pueden ignorar el hecho de que la inversión en tecnología es inevitable en el escenario actual, sin importar cuán simples sean los procesos. En lugar de ser un método de adquisición e implementación, debe ser una iniciativa de toda la empresa, que reúna a todas las partes interesadas en este proceso.

6. Gobernanza no estructurada

Finalmente, a pesar de que las empresas pueden haber definido sus procesos y haber implementado todas las medidas para controlar estos procesos, lo que generalmente se pierden es la estructura de gobierno y el marco de riesgo vigentes. Los CIO y otros líderes sénior de TI deben idear una matriz de gobierno que combine los sistemas empresariales, la seguridad de la información y los equipos de red/infraestructura para adherirse colectivamente a todos los cumplimientos de TI. Ese será el factor que impulsará el éxito; cuya ausencia puede resultar desastrosa.

Pensamientos finales

En resumen, los cumplimientos son un conjunto de pautas que se crean no solo para proteger los datos, sino también para ayudar a una forma metódica y ética de funcionar en una organización. Sí, existen desafíos al seguir estos errores de cumplimiento de TI, pero ¿pueden evitarse? La respuesta es no. De hecho, las empresas necesitan aprender y mejorar constantemente en torno a estos cumplimientos normativos, simplificando su vida.