¿Qué es el cumplimiento y la gestión de registros?

Publicado: 2019-01-10

La solicitud de información sobre gestión de registros y documentación por parte de un auditor interno se traduce en miedo e incertidumbre para muchos jefes de departamento.

No solo debe lograr la retención durante muchos años, sino también asegurarse de que la información esté adecuadamente protegida.

Definición de gestión de registros

La gestión de registros implica documentar la información y protegerla durante el período requerido. ¡Con los avances tecnológicos, se ha hecho posible que las empresas obtengan datos de personas con las que quizás nunca realicen transacciones! Esto puede venir en forma de solicitudes de empleo y ayudas de marketing. Debe contar con un mecanismo adecuado para recopilar, clasificar, almacenar y desechar estos documentos en el momento adecuado.

Algunos organismos reguladores solo se centrarán en los datos relacionados con empleados y clientes. Sin embargo, algunas de las regulaciones, como el Reglamento General de Protección de Datos (GDPR), requieren que proteja todos los datos con los que interactúa de cualquier forma de violación. Por ejemplo, la información recopilada por sus especialistas en marketing puede parecer innecesaria después del programa de generación de prospectos, pero es un riesgo de datos significativo para su empresa.

Horarios típicos de retención: ¿Qué son?

Varias industrias tienen diferentes programas de retención de registros. Por ejemplo, es un requisito que toda la información recopilada por los bancos se almacene durante 5 años. Las categorías de programas de retención de datos más utilizadas incluyen cronogramas de retención permanente o de 3 años, 5 años, 7 años, 10 años.

Cómo afecta la retención de datos a su organización

El desarrollo de métodos de recopilación de datos tecnológicamente avanzados ha complicado el proceso de retención y protección de datos. A diferencia de los viejos tiempos en los que podía recopilar documentos y almacenarlos en un almacén vigilado, ¡el entorno actual es altamente digital! Esto requiere que invierta en programas de almacenamiento de datos e instituya seguridad contra la filtración de datos.

También debe asegurarse de tener sistemas de seguimiento adecuados. Esto le ayudará a deshacerse fácilmente de los documentos que han superado su límite de retención.

5 pasos cruciales para crear una política de gestión de registros

Debe utilizar las directrices de la norma ISO 15489 al prepararse para esta política. Además, asegúrese de diseñar medidas para garantizar el cumplimiento. Los pasos incluyen:

Revise los activos y las ubicaciones de almacenamiento

Asegúrese de comprender toda la información que almacena y las ubicaciones de almacenamiento específicas. Esto lo ayudará a clasificar los datos según los parámetros necesarios para mejorar la seguridad contra la filtración de datos. Los registros se pueden clasificar en:

  • Operativo . Esta es la información que es esencial para las operaciones comerciales diarias. Incluya datos de clientes, información de empleados, organigramas, información fiscal, acceso y autorización de datos, información de marketing, documentos de recursos humanos y actas de las reuniones de la Junta Directiva.
  • legales Estos datos giran en torno a las responsabilidades legales de una empresa. Incluye artículos de incorporación, demandas, información de proveedores externos, formularios de consentimiento e información de pólizas de seguro.
  • emergencia Esto involucra toda la información requerida para asegurar la continuidad del negocio y resolver desastres. Incluye autorización de acceso de emergencia, planos de instalaciones, políticas y procedimientos, códigos de seguridad y documentación del sistema técnico.
  • financiera Esta información incluye activos, pasivos e historial financiero. Incluye los detalles de las inversiones, información de nómina, libros de contabilidad y documentos bancarios.
  • Basado en la ubicación . La información se puede almacenar en las redes, servidores, almacenamiento en la nube, ubicaciones en el sitio y fuera del sitio, y copias de seguridad.

Revise la importancia de los datos y califique el riesgo

Es fundamental que todas las políticas se centren en información crucial cuya interferencia daría lugar a una discontinuidad o pérdida financiera. Estas preguntas son necesarias durante la revisión:

  • ¿Se requiere la información para la continuidad del negocio?
  • ¿La pérdida de datos conducirá a una pérdida monetaria?
  • ¿Es costoso reconstruir los datos?
  • ¿Qué tan rápido debe recuperar la información en caso de pérdida?
  • ¿Se puede obtener la información de otras fuentes?
  • ¿Los documentos son físicos o digitales?

Revisar los riesgos de la información

Al decidir el período de retención, debe considerar la necesidad de la información a largo plazo y el costo de recuperación en caso de pérdida. Estas son las preguntas guía:

  • ¿Quién está a cargo de los datos?
  • ¿Cuenta con controles adecuados, como encriptación y firewalls?
  • ¿Cuál es el formato de su información?
  • ¿Es posible documentar todas las transacciones?
  • ¿Quién puede acceder a la información?
  • ¿Cómo se regula/autentica el control?

Supervisión de protección de registros

Si no controla su información con frecuencia, sufrirá un incumplimiento de la integridad.

  • ¿Supervisa con frecuencia todo el software, los servidores y las redes en busca de riesgos?
  • ¿Estás actualizando tu software?
  • ¿Los empleados despedidos continúan accediendo a los datos?
  • ¿Está monitoreando las amenazas externas?
  • ¿Estás revisando tu acceso?

Eliminación de registros

Debe tener un plan para deshacerse de sus registros. Asegúrese de no infringir un requisito reglamentario en el proceso. Asegúrese de tener copias de seguridad y una agencia de eliminación verificada para completar el proceso.

Uso de la tecnología en la gestión de registros

El uso de herramientas automatizadas lo ayuda a organizar todos sus datos (tanto físicos como digitales de manera ordenada). Le ahorra tiempo y recursos necesarios para el proceso de auditoría, lo que facilita el cumplimiento de los organismos reguladores.

Nota del editor: Ken Lynch es un veterano de la puesta en marcha de software empresarial, que siempre ha estado fascinado por lo que impulsa a los trabajadores a trabajar y cómo hacer que el trabajo sea más atractivo. Ken fundó Reciprocity para perseguir precisamente eso. Ha impulsado el éxito de Reciprocity con este objetivo basado en la misión de involucrar a los empleados con los objetivos de gobierno corporativo, riesgo y cumplimiento de su empresa para crear ciudadanos corporativos más socialmente conscientes. Ken obtuvo su licenciatura en Ciencias de la Computación e Ingeniería Eléctrica del MIT. Obtenga más información en ReciprocityLabs.com.

¿Tiene alguna idea sobre esto? Háganos saber a continuación en los comentarios o lleve la discusión a nuestro Twitter o Facebook.

Recomendaciones de los editores:

  • Segmentación de red y cumplimiento de PCI
  • Gestión de registros PCI DSS
  • Alcance de una auditoría SOC2
  • Requisitos de auditoría: empresas privadas estadounidenses
  • Plan de gestión de riesgos – ¿Para qué sirve?