La Gestión del Cumplimiento Normativo implica un conjunto de prácticas que mantienen segura y en orden a tu organización. Su aplicación eficaz conlleva un incremento de la confianza de los empleados y los clientes, una reducción de las posibilidades de penalización legal y un apoyo de la gobernanza.
La implementación de un Plan de Cumplimiento Normativo es complejo, ya que requiere la coordinación de equipos diferentes. Además, es necesario abordar una serie de normas y leyes. Sin embargo, la tarea resulta más sencilla si dispones de una estrategia sólida y de una herramienta de Gestión de Activos de IT (ITAM) que incluya funciones de cumplimiento.
En las próximas líneas te enseñaremos a encarar un Plan de Cumplimiento Normativo de IT y a agilizar el proceso con InvGate Asset Management.
Comencemos.
¿Por qué necesitas un proceso de Gestión del Cumplimiento Normativo de IT?
Un proceso de Gestión del Cumplimiento Normativo de IT es una empresa compleja, que requiere esfuerzo, tiempo, dinero, personas, herramientas y procesos. Incluso implica un ejercicio continuo.
Entonces, ¿por qué lo necesitamos? La respuesta es sencilla: para no verse envuelto en problemas. Se trata de la capa de seguridad que permite a la organización desarrollar su actividad, garantizando que opera legalmente, en forma responsable y ética, brindando protección a las personas y a los datos.
Para un negocio es mucho más difícil y costoso enfrentarse a las consecuencias cuando no posee los controles correctos. Sin una Gestión del Cumplimiento, pasarás por auditorías imprevistas, recibirás multas y deberás enfrentarse a actividades de conciliación que causarán un trabajo adicional.
Por lo tanto, resulta esencial cambiar la perspectiva; en lugar de considerar el cumplimiento como una fuga de recursos o un gasto, hay que pensarlo como una inversión en la calidad del servicio.
Al poner en marcha un Plan de Cumplimiento Normativo, evitarás la tensión que conlleva la preparación de auditorías a última momento y las multas, ya que no sólo reducirás el riesgo de no acatar las normas, sino también reforzarás la estabilidad del servicio (bajando la probabilidad de interrupción debido a problemas de cumplimiento y no conformidad).
Elementos del Plan de Cumplimiento Normativo
Tras dejar en claro su importancia, ahora veamos qué se necesita para implementar un Plan de Gestión del Cumplimiento Normativo. En las siguientes líneas repasaremos los elementos para establecer un proceso exitoso.
Un conjunto sólido de objetivos
Como la Gestión del Cumplimiento constituye una gran empresa, es fundamental hacerlo bien. Así que antes de crear políticas, procesos y procedimientos, y antes de invertir en herramientas, debes tener en claro qué quieres conseguir con tu práctica: ¿Cuál es tu misión principal? ¿Cumplir una norma o un requerimiento reglamentario concreto? ¿Ahorrar dinero? ¿Reducir riesgos? ¿Remediar algo que sucedió anteriormente? ¿Controlar mejor las auditorías?
Si estás con dudas, pregúntale a las partes interesadas. Muchas iniciativas de cumplimiento se topan con problemas porque el alcance no está bien definido o porque las personas no saben qué necesitan para acatar o qué priorizar. Entonces, hay que abordarlo hablando con la gente: la alta dirección, la gobernanza y los equipos de riesgo. Entre todos tienen que acordar los objetivos y qué se espera de ellos.
El aprendizaje de los errores del pasado
Para saber por dónde comenzar o en qué centrarse, revisa las actividades de cumplimiento pasadas o los problemas anteriores reportados al equipo de cumplimiento. En concreto, examina auditorías, registros, riesgos y proyectos de cumplimiento en curso.
De este modo, comprenderás qué causó el problema, cómo prepararse antes de las auditorías externas, cuál es el gasto para compensar las multas o qué implica el trabajo adicional para proporcionar tranquilidad a los clientes insatisfechos. Con todos estos datos podrás crear una hoja de ruta y generar valor donde más se necesita.
El acuerdo del alcance
Tras establecer que necesitas conseguir y los posibles desafíos que deberás enfrentar, define el ámbito de actuación o el alcance de tu práctica de Gestión del Cumplimiento. Éste tiene que ser fácil de entender, porque si se presta a confusión, el plan se desviará, haciendo que tu práctica resulte ineficaz.
Así que establece qué está cubierto, es decir, los aspectos de tu ecosistema de IT alcanzados por el plan.
La conformación del equipo
Al igual que en las películas de Avengers, constituye un equipo de expertos en la materia para crear tu Plan de Cumplimiento Normativo. De hecho, en los pasos anteriores podrías comenzar a esbozar quiénes son los especialistas en los distintos campos de cumplimiento.
Este equipo tiene que incluir profesionales de IT, expertos jurídicos y responsables de cumplimiento que ayuden a crear y aplicar el plan.
La comprensión del panorama normativo
Antes de definir los procesos de documentación y cumplimiento normativo, examina qué requisitos debes cumplir. Para ello, trabaja con tus equipos de gobernanza, riesgos y legales para identificar las leyes y normas específicas de tu sector y de tu organización. Algunos ejemplos comunes son GDPR, HIPAA y SOX.
La creación de documentación de apoyo
Ahora es el momento de la ejecución: desarrolla políticas, procesos y normas formales. La Gestión del Cumplimiento de IT es un conjunto de prácticas que deben sustentarse en una política clara para que no se preste a confusiones.
Si bien cada organización tiene necesidades diferentes, los aspectos que siempre deben cubrirse son los siguientes:
- Introducción y finalidad: ¿Por qué es importante el cumplimiento y cómo ayuda a la organización?
- Ámbito: ¿Qué abarca?
- Requisitos legales o reglamentarios: el proceso debe cumplir estos marcos normativos.
- Funciones y responsabilidades: todos deben saber qué se espera de ellos.
- Ayuda: ¿Dónde acudir para obtener ayuda y más información?
Roles y responsabilidades de la Gestión del Cumplimiento de IT
La Gestión del Cumplimiento de IT funciona con el personal adecuado. A continuación se presenta un cuadro de las funciones y responsabilidades clave que intervienen en el Plan de Cumplimiento Normativo:
Roles | Responsabilidades |
Gerente de Cumplimiento | Responsable de la práctica de Gestión del Cumplimiento. |
Consejo de Administración | Responsable del cumplimiento y las escaladas de la empresa. |
CIO | Responsable del cumplimiento de la seguridad de la información y de las escaladas. |
Equipo Jurídico | Aporta conocimientos especializados sobre cuestiones jurídicas de cumplimiento, proporciona actualizaciones sobre su panorama cambiante y revisa los contratos con proveedores y socios para garantizar que se acatan todos los requisitos de cumplimiento. |
Gerente de Riesgos | Proporciona conocimientos especializados en materia de Gestión de Riesgos, en los que se basan tus actividades de cumplimiento. |
Gerente de Seguridad de IT | Brinda conocimientos especializados sobre seguridad de la información y actividades de ciber resiliencia. |
Service desk | El service desk es el punto de contacto central de todos los empleados a la hora de notificar problemas informáticos. |
Equipos de Soporte de IT | Proporciona conocimientos especializados sobre los aspectos informáticos del cumplimiento. |
Gestión del Cambio | Garantiza que todos los cambios planificados se autoricen y gestionen adecuadamente en base a las normas vigentes. |
RR.HH. | Otorga apoyo a cualquier asunto de RR.HH., por ejemplo, cuestiones de cumplimiento y tramitación de procedimientos de disciplina relacionados con el incumplimiento. |
Equipo de Auditoría Interna | Lleva a cabo auditorías y evaluaciones internas de cumplimiento para garantizar que todo funciona correctamente y, si se detectan errores, asesora sobre cómo abordarlos. |
Necesidades de la función empresarial | Implementa actividades de cumplimiento en sus propias áreas. Garantiza que éstas cumplen las normas corporativas. |
11 pasos del Plan de Cumplimiento Normativo
Una vez tomada la decisión de implementar la Gestión del Cumplimiento, es importante atenerse a un plan.
En las próximas líneas enumeramos los once pasos para llevar adelante el Plan de Cumplimiento Normativo.
1. Creación de una línea de base
Como mencionamos, debes conocer tu estado actual. Se trata de un proceso que contempla la elaboración de una línea de base, tomando una instantánea del panorama de cumplimiento, comprendiendo las dependencias y los riesgos.
La línea de base tiene como objetivo reunir una parte medible del servicio para documentarlo y añadirlo a tu sistema de Gestión del Cumplimiento y, si corresponde, al registro de riesgos. De este modo, posees una base sólida sobre la cual construir así como un punto de referencia para futuras iteraciones de procesos e iniciativas de mejora.
Entonces, ¿cómo definir en la práctica la línea de base? ¿Nuestro consejo? Empieza por el requisito de cumplimiento más importante, el que se encuentra en el radar de los altos directivos, el destacado en el registro de riesgos. Habla con todos los involucrados, desde los equipos de soporte hasta la empresa; y evalúa e identifica con tu equipo de Gestión de Riesgos -si tienes uno- las posibles amenazas en el ámbito del cumplimiento así como las vulnerabilidades dentro de tus procesos e infraestructura de IT.
2. Capacitación de los empleados
El cumplimiento es un ítem del que todos son responsables, por lo que la formación resulta crucial.
Tras definir tu equipo, así como sus roles y responsabilidades, trabaja con RR.HH. y Aprendizaje y Desarrollo para crear programas de capacitación orientados a brindar conocimientos sobre las obligaciones de cumplimiento, las políticas, los procedimientos y las normas.
3. Elaboración de los procedimientos e instrucciones de trabajo
El Plan de Cumplimiento Normativo debe establecer políticas y procesos claros que respondan al área de trabajo y a las necesidades específicas de tu organización.
De ellos se desprenden directrices e instrucciones laborales detalladas que se ajusten a los requisitos normativos identificados anteriormente. Por ejemplo, controles de acceso, instrucciones de Gestión de Datos, procedimientos de Gestión de Incidentes, etc.
4. Monitoreo del cumplimiento
Para garantizar el cumplimiento continuo, implementa herramientas de monitoreo. Si tu organización cuenta con una práctica de Gestión de Eventos, pregunta al equipo si puede administrar eventos y alertas de cumplimiento para automatizar las tareas rutinarias, como la supervisión, la revisión de registros, la realización de evaluaciones de vulnerabilidad y el seguimiento de los cambios de acceso y datos.
Con tanta información circulando, es posible que todo se dificulte. Para este paso, la función de Cumplimiento de Software de InvGate Asset Management te ayudará a no perder nada: combina los datos de tu contrato con el uso de software reportado, de modo de monitorear fácilmente cualquier sistema que no cumpla con las normas así como otros aspectos importantes como costos o uso.
5. Creación del inventario y clasificación de los datos
En este ítem del Plan de Cumplimiento Normativo, identifica y clasifica los datos de tu organización en función de su sensibilidad, confidencialidad y requisitos normativos.
Para facilitar el trabajo, reúnete con el responsable de Protección de Datos con la finalidad de implementar las medidas de protección de la información más adecuadas para cada categoría.
6. Controlar el acceso
Para implementar sólidos controles de acceso, trabaja con tus equipos de Seguridad de IT y Gestión de Instalaciones. De este modo, garantizas que sólo el personal autorizado tenga a su alcance los datos sensibles.
En concreto, nos referimos al acceso físico y aquel basado en funciones, la autenticación de los usuarios y las políticas de contraseñas seguras.
7. Activar la autenticación multifactor
Si bien no es un requisito de cumplimiento específico, la autenticación multifactor o Multi-Factor Authentication (MFA) resulta fundamental para garantizar la seguridad.
Así, además de la contraseña, se dispone de un segundo código de acceso de un solo uso, emitido por una llamada, un texto o una aplicación.
8. Utilizar la tecnología de cifrado de datos
Para proteger los datos confidenciales frente a los accesos no autorizados, usa la tecnología de cifrado.
Tus equipos de Protección de Datos y Seguridad Informática te ayudarán a que cualquier cifrado utilizado pueda integrarse en la infraestructura actual, además de garantizar la facilidad de uso y el cumplimiento de las regulaciones pertinentes.
9. Disponer de un plan de respuesta a los incidentes
Si bien todos trabajan por cumplir la normativa, la realidad es que suelen cometerse errores. Por eso, resulta crucial contar con un plan donde se establezcan los pasos necesarios en caso de violación de datos o de incumplimiento de las reglas.
El plan debe guardarse en un lugar central y revisarse con regularidad.
Además, considera la posibilidad, junto con el equipo de IT, de tener una categoría de incidentes para cuestiones de cumplimiento.
10. Gestionar proveedores
También tienes que trabajar con tus proveedores, vendedores y socios externos para asegurarte de que acatan la normativa pertinente.
Los requisitos de cumplimiento deben estar plasmados en un contrato para evitar confusiones y saber qué esperar de cada persona involucrada..
11. Mejorar en forma continua
El Plan de Cumplimiento Normativo involucra la mejora constante para estar actualizado porque las normas cambian. Para ello, incorpora a tu proceso ciclos de actividades de revisión y optimización tanto para verificar las modificaciones en las reglas como en la tecnología, las amenazas y las necesidades de la empresa.
Mejores prácticas para la Gestión del Cumplimiento Informático
Al implementar el Plan de Cumplimiento Normativo, sigue las siguientes prácticas recomendadas:
- Crea una cultura de intercambio: el personal debe sentirse seguro planteando y debatiendo problemas y riesgos de cumplimiento. Si registran que las respaldan, es más probable que se comprometan con el proceso.
- Incorpora el cumplimiento a las actividades cotidianas: al convertirse en parte del trabajo diario, todos estarán cómodos llevando a cabo las tareas que se esperan de ellos. Porque el cumplimiento no es un ejercicio aislado (¡ojalá!), por lo que la forma más fácil de abordarlo es integrarlo en las actividades habituales.
- Adopta una postura proactiva de la aplicación de parches: impleméntala con regularidad como parte de tus prácticas de Gestión de Parches de modo de evitar una situación tipo Schrodinger. Además, comprueba el proceso de copias de seguridad y restauración, que es fundamental mostrar su funcionamiento correcto cuando se realiza una auditoría.
- Utiliza la automatización para aligerar la carga: las tareas rutinarias como la supervisión de eventos y la gestión de excepciones pueden ser automatizadas, lo cual facilitará el cumplimiento y el proceso será más eficiente.
- Ten en cuenta que las relaciones son importantes: establece vínculos sólidos con proveedores y socios. Además, es aconsejable realizar revisiones periódicas de los servicios para evitar incumplimientos en la normativa, las licencias, los parches o las renovaciones de certificados. Para ello, dispone de un calendario de auditorías y actualizaciones para saber cuándo realizar las renovaciones de certificados (y si las automatizas, aún mejor).
- Sé proactivo: pregúntales a las partes interesadas qué riesgos de cumplimiento les preocupa en mayor medida. Asimismo, añade cualquier problema de cumplimiento al registro de riesgos.
- Sigue avanzando: los servicios de IT, las normas, las reglas, los requisitos normativos y los objetivos empresariales evolucionan constantemente. Así que incluye actividades de mejora continua en tu plan para mantenerte en línea con las necesidades de tu organización.
Resumen
Un Plan de Cumplimiento Normativo de las IT te ayudará a gestionar, controlar y proteger a tu organización tanto desde el punto de vista legal, como normativo y de reputación. Sin embargo, la tarea es compleja: requiere una planificación cuidadosa, el establecimiento de objetivos claros y la incorporación de diferentes actividades para implementar, ejecutar y mejorar el cumplimiento.
Para apoyar tu estrategia, busca una herramienta dotada de funciones de cumplimiento que te permita mantener organizados tus datos y controlar cualquier instalación que no cumpla con la normativa.
Cabe destacar que el proceso debe incluir actividades de mejora continua así como una revisión periódica para garantizar que es adecuado para su propósito.
InvGate Asset Management puede ayudarte en la Gestión del Cumplimiento: solicita nuestra prueba gratuita de 30 días para conocer cómo funciona.