Las regulaciones relacionadas con los sistemas de TI y los datos van en aumento. Los líderes de TI deben hacer su parte para evitar errores comunes que pueden dar lugar a fuertes multas por incumplimiento.
El cumplimiento es una realidad para casi todas las empresas, especialmente en industrias altamente reguladas como la atención médica, los servicios financieros y el gobierno. Y aunque el cumplimiento a menudo está bajo el manto de los departamentos legal, de cumplimiento, de gestión de riesgos u otros departamentos, es seguro que TI participará en los esfuerzos de cumplimiento de cualquier organización.
Los CIO y otros altos ejecutivos de tecnología deben conocer todas las regulaciones que involucran datos, privacidad, seguridad y otros elementos tecnológicos. Pueden desempeñar un papel clave para garantizar que sus organizaciones no se vean afectadas por fuertes multas por incumplimiento.
Los ejecutivos de TI en la atención médica y los sectores relacionados durante años han tenido que lidiar con el impacto de la Ley de Portabilidad y Responsabilidad de los Seguros de Salud (HIPAA), por ejemplo, que exige la seguridad y privacidad de la información médica electrónica. Pero el entorno regulatorio se ha vuelto cada vez más complejo, especialmente con la aparición de tantas reglas nuevas que cubren la privacidad de los datos, incluido el Reglamento General de Protección de Datos (GDPR) de la UE y la Ley de Privacidad del Consumidor de California (CCPA).
Docenas de países y estados de EE. UU. Están siguiendo el ejemplo con regulaciones similares para salvaguardar los datos de las personas.
La firma de investigación Gartner ha pronosticado que para fines de 2023, las leyes de privacidad modernas cubrirán la información personal del 75% de la población mundial.
El cumplimiento normativo relacionado con los sistemas, redes, dispositivos y datos de TI es una realidad para las empresas hoy en día, lo que lo convierte en un área de preocupación importante para los CIO. La clave es ayudar a los esfuerzos de cumplimiento sin causar dificultades. Aquí hay algunos errores que se deben evitar, según los expertos.
Tratar a los auditores como adversarios
A veces es difícil no adoptar una postura defensiva, dice Gary Kern, CIO de Middlefield Banking. Esto puede suceder cuando los auditores y examinadores cuestionan las iniciativas de TI y su impacto en el cumplimiento. “Hay gente que está eligiendo una estrategia bien pensada y sabes que comentarán algo”, dice.
Sin embargo, dejar que esto cree fricción no ayudará. “Siempre es mejor tener discusiones cara a cara y hablar sobre su perspectiva y contemplar cómo eso podría mejorar su entorno”, dice Kern. “La esperanza es que todos busquen lo mismo, incluidos aquellos que hicieron las reglas de cumplimiento, y eso es para asegurar que no ocurran errores, que el ambiente sea mejor y que haya más transparencia en el proceso”.
Kern tuvo la oportunidad de poner a prueba esta táctica con un examen bancario. “No estaba necesariamente de acuerdo con algunos de los hallazgos preliminares, por lo que tuve una discusión en profundidad con el examinador principal de TI para llegar a los ‘por qué’ de los comentarios y tratar de explicar de manera no defensiva lo que podríamos haber sido haciendo en su lugar ”, dice. “Llegamos a un entendimiento que ambos sentíamos que era justo, y luego seguimos adelante”.
Aproximadamente seis meses después, el examinador le pidió a Kern que participara en un panel de banqueros en la conferencia nacional anual de capacitación de examinadores. “Eso demostró ser una gran experiencia para mí que me brindó una mejor perspectiva del proceso completo”, dice.
A menudo, los reguladores recogen sus observaciones de los informes de auditoría interna (IA), dice Samir Datt, director gerente de la práctica de consultoría tecnológica de la consultora Protiviti. “Si los CIO colaboran con el proceso de AI y lo adoptan en lugar de esconderse de él, tienen la oportunidad de abordar de manera proactiva el cumplimiento normativo antes de la revisión reglamentaria”, dice.
Manejo incorrecto de excepciones
Hay excepciones a la mayoría de las reglas, y eso se aplica a las regulaciones que rigen diferentes aspectos de la TI.
“Rara vez es algo la respuesta correcta en el 100% de los casos, especialmente si existen compensaciones comerciales, de seguridad y de impacto en el cliente”, dice Kern. “Por lo tanto, es bueno implementar un proceso de gestión de excepciones”.
Esto incluye documentar lo que se está haciendo y por qué podría entrar en conflicto con una regla de cumplimiento existente; qué pasos adicionales se están tomando para cumplir con los objetivos de cumplimiento; si se omite una regla de forma permanente o si se revisará periódicamente; y qué partes interesadas de alto nivel no relacionadas con las tecnologías de la información aprobaron sobre la idoneidad de la excepción.
“Por supuesto, hay algunas reglas que simplemente no pueden pasarse por alto”, dice Kern. “Pero en la situación en la que se debe tomar una decisión comercial para ‘aceptar el riesgo’, asegúrese de que se explique completamente. Se debe registrar cómo la intención de la regla de cumplimiento puede manejarse de otras maneras, o la razón por la que puede no tener sentido en cada situación “.
No preparar a su equipo
Como ocurre con la mayoría de los aspectos de TI, la falta de habilidades, experiencia y conocimientos necesarios puede generar problemas en lo que respecta al cumplimiento.
“Una sólida estrategia de cumplimiento comienza con su equipo”, dice Rashmi Kumar, CIO del proveedor de tecnología Hewlett Packard Enterprise (HPE). Es importante que los CIO creen un equipo de cumplimiento que utilice un enfoque de mejora continua para abordar los cambios en los requisitos reglamentarios relacionados con TI, dice.
El equipo de cumplimiento de TI global de HPE “se basa en un plan de mejora continua, en el que identificamos continuamente los cambios necesarios para el programa de cumplimiento en las áreas de gestión de informes, participación y control”, dice Kumar. “Aprovechando nuestro enfoque de cumplimiento, hemos podido mejorar nuestro tiempo de entrega de pruebas en cinco días”.
Los esfuerzos de cumplimiento deben ser multifuncionales, dice Kumar. “Hacemos que el cumplimiento sea responsabilidad de todos al incluirlo en los objetivos de cada individuo” dentro y fuera de TI, dice. “Esto garantiza que [la empresa tenga] el apoyo y la participación de toda la organización, lo que en última instancia, hará crecer la cultura de cumplimiento”.
Permitir que el cumplimiento dicte la seguridad
Si bien los líderes de TI y ciberseguridad deben mantenerse al tanto de los problemas de cumplimiento, especialmente los mandatos regulatorios, “el objetivo siempre debe ser un programa de seguridad sólido que respalde adecuadamente su negocio, los objetivos de la empresa y la vertical en la que opera”, dice Russel Prouix, CISO en la empresa de pagos sanitarios Zelis. “Si hace eso, el cumplimiento se convierte en un resultado y no simplemente en el objetivo”.
Las medidas de seguridad básicas a menudo se administran de manera deficiente, lo que resulta en un obstáculo para el cumplimiento, dice Prouix. Esto incluye la administración adecuada de parches y vulnerabilidades, la higiene de la seguridad de la cuenta de usuario (o la eliminación de cuentas de manera oportuna cuando un empleado deja la organización), el uso de autenticación de dos factores para el acceso remoto y la seguridad adecuada y la administración de dispositivos móviles para dispositivos móviles, dijo. dice.
“La seguridad adecuada requiere un enfoque de arriba hacia abajo”, dice Prouix. Antes de intentar implementar cualquier iniciativa de programa de ciberseguridad, incluidas las que respaldan el cumplimiento, “debe contar con la aceptación de la junta, el director ejecutivo y el liderazgo ejecutivo para establecer el tono”, dice. La TI y la seguridad deben luego asociarse con la empresa para garantizar la protección de los datos y, al mismo tiempo, permitir que los datos fluyan para que la empresa prospere y se mantenga competitiva, dice.
Omitir herramientas tecnológicas clave
Existe todo un mercado de tecnologías que abordan las necesidades de cumplimiento, y aunque los equipos legales y de cumplimiento pueden ser responsables de adquirirlas, los líderes de TI ciertamente pueden participar para ayudar a seleccionar e implementar las soluciones más adecuadas.
Gartner en septiembre de 2021 identificó tres áreas en las que los líderes de cumplimiento deberían enfocar sus inversiones en tecnología. Uno son los sistemas fundamentales de registro. Las inversiones en estos sistemas para el cumplimiento pueden reducir la captura de datos ad hoc requerida para la generación de informes y crear conjuntos de datos que podrían desbloquear el potencial de la analítica y la inteligencia artificial (IA) para el cumplimiento, dice la firma.
Otro son los flujos de trabajo habilitados digitalmente. Los equipos legales y de cumplimiento enfrentan más trabajo que nunca para administrar, dice Gartner, y digitalizar los flujos de trabajo de mayor volumen es factible a través de la tecnología y puede brindar mejoras significativas en el flujo de trabajo.
La tercera área es la gestión digital del riesgo. La volatilidad regulatoria, la transformación del negocio digital, el aumento de los riesgos de ciberseguridad y la magnitud de la información derivada del riesgo monitoreado y las actividades de seguridad están poniendo a prueba la capacidad de las organizaciones para administrar el riesgo de manera efectiva a través de medios analógicos tradicionales, dice la firma. Los líderes de cumplimiento deben buscar oportunidades para optimizar la gestión de riesgos y las actividades relacionadas con el cumplimiento y mejorar su comprensión de los riesgos a través de la integración del sistema con fuentes de datos de nivel operativo, dice.
La adopción de tecnología para el equipo de cumplimiento promedio está rezagada en muchas otras funciones corporativas, señala Zack Hutto, director de asesoría en la práctica legal y de cumplimiento de Gartner. Los equipos deben establecer primero sistemas de registro fundamentales y luego invertir en herramientas para facilitar los flujos de trabajo clave, antes de explorar oportunidades más sofisticadas, como la gestión de riesgos habilitada digitalmente, dice.
No entender la intención de la regulación
En algunos casos, es posible que la comprensión de las organizaciones de un tema regulatorio no se alinee completamente con la intención regulatoria, lo que puede generar confusión. Esto puede aplicarse a problemas relacionados con TI, como la privacidad de los datos.
“A menudo vemos que las empresas retroceden con una respuesta sin comprender realmente la pregunta de los reguladores”, dice Datt. “Los reguladores a menudo proporcionan observaciones / ARM [asuntos que requieren atención], que es una ‘pista’ de lo que realmente ven como un problema”.
Entonces, en lugar de concentrarse demasiado en la verborrea de la MRA o la observación, las organizaciones realmente deberían comprender el espíritu de lo que se indica, dice Datt. “Un buen diálogo colaborativo con los reguladores ayuda a comprender el espíritu de lo que se indica”, afirma.
Falta de gobernanza estructurada
Si bien las organizaciones pueden tener implementados procesos y controles sustantivos, a menudo carecen de un marco estructurado de gobierno y riesgo que confirme la cobertura del riesgo, así como la alineación de sus procesos y controles con los requisitos regulatorios, dice Datt.
“La falta de procesos estructurados y documentados puede conducir a una arquitectura / controles empresariales no racionalizados, agitación en la respuesta a consultas regulatorias o de otras partes interesadas, o posibles puntos ciegos de exposición”, señala Datt.
Los CIO y otros líderes tecnológicos deberían ayudar a facilitar una estructura de gobierno general que reúna a los equipos de seguridad de la información, arquitectura empresarial, aplicaciones e infraestructura de una manera que incorpore el cumplimiento normativo en la entrega de tecnología por diseño, concluye Datt.
Bob Violino, CIO.com
