Aunque pareciera que cumplir con las legislaciones y normatividad es un tema relegado al área de TI, en realidad involucra muchos procesos, colaboración entre áreas, conocimiento y buena voluntad de las personas.
En los últimos meses se ha hablado mucho sobre leyes y regulaciones que están llevando a las empresas a la necesidad de realizar cambios en su estructura y sus procesos, como la Ley Federal de Protección de Datos y la Ley Federal de Transparencia, entre otras.
Debido al rol cada vez más relevante de la tecnología como medio para que el negocio alcance sus objetivos, muchas organizaciones han delegado al área de TI gran parte de la responsabilidad de cumplimiento con las normas, estándares o regulaciones aplicables para su empresa. Sin embargo, eso no es suficiente.
Si no se involucra a todas las partes dentro de una metodología integral de procesos de cumplimiento, siempre habrá fallas, huecos en el sistema o empleados que se brinquen las políticas a su propia conveniencia. Y, por ende, habrá entonces riesgos para la operación del negocio.
Héctor Méndez Olivares, director de consultoría de Seguridad en VASS México, comentó que uno de los problemas en las organizaciones es que solamente se enfocan en cumplir, en mostrar en la auditoría un resultado en papel que indique si se cumple o no con los puntos auditados, pero cuando se revisan a fondo los procesos de negocios se encuentran huecos como consecuencia de procesos que no han sido afinados y controles que no fueron implementados. De ahí la relevancia de temas como auditoría, normatividad y cumplimiento dentro de las organizaciones.
Más que una línea autoritaria, la normatividad es una guía de apoyo
Actualmente se manejan diversos estándares y normas para el sector de TI. Independientemente de las leyes y regulaciones que deba cumplir la organización dependiendo de su mercado o industria, todas las empresas deberían considerar el seguimiento de estas normas de TI como una garantía de que están implementando las mejores prácticas para el negocio.
Entre los estándares destacables se encuentran el de seguridad de la información, ISO 27001; el de calidad de servicios de TI, ISO 20000, y el de continuidad de negocios, ISO 38500. Además, existen marcos de mejores prácticas como COBIT e ITIL, que proporcionan una amplia guía de referencia a los departamentos de TI sobre cómo implementar y administrar la tecnología y procesos relacionados.
Y en lo que se refiere al sector público, se ha liberado un manual denominado MAAGTIC, el cual agrupa en sí mismo todas las mejores prácticas de TI. Es tan completo, en opinión de Méndez Olivares, que sería una excelente guía incluso para las empresas privadas. “Sería algo muy bueno porque todas las organizaciones trabajaríamos bajo el mismo estándar y no cada uno por su lado, buscando el cumplimiento específico de su industria. Yo veo una tendencia muy fuerte para que se implemente MAAGTIC a nivel privado”, opinó.
El problema de que haya tantas normas es que definitivamente es muy difícil seguirlas al 100%. “Sería maravilloso que las compañías cumplieran con las normas en su totalidad, pero eso es una utopía. Si en los países avanzados no se tiene un cumplimiento a ese nivel, en los países latinoamericanos es más complejo”, comentó Méndez. Añadió que, en su experiencia, cuando se analizan los procesos de negocio es muy factible encontrar violaciones tan finas que son casi imperceptibles, pero pueden poner en riesgo al negocio por incurrir en incumplimientos que pueden generar costosas infracciones, por no decir pérdida de reputación, credibilidad y oportunidades comerciales.
Méndez explica que un posible escenario sería cuando, al contratar un proveedor de servicios de outsourcing para capacitación en línea no se especifica un acuerdo de confidencialidad sobre los datos de clientes que serán puestos a custodia del prestador del servicio, el cual posteriormente puede utilizar esta información a su conveniencia.
Cuando se siguen a conciencia los procesos establecidos por las normas y estándares de TI, es más fácil percatarse de este tipo de situaciones y exigir un acuerdo de confidencialidad, así como otras garantías que apliquen, dependiendo del caso.
Sin embargo, aún es necesario hacer énfasis en el papel de los empleados dentro del cumplimiento de las normativas. Un ejecutivo de mercadotecnia que abre cuentas de correo gratuitas para enviar su publicidad incurre en violaciones a la Ley de Privacidad, por ejemplo; también puede suceder que empleados corruptos vendan bases de datos a la competencia. “El cumplimiento no es algo que se obtenga con un equipo, sistema o certificación, es un problema de gente y de su nivel de conciencia sobre el tema”, comenta Héctor Méndez.
Visita al Dr. Auditoría
Una práctica que apoya al cumplimiento de normativas es la auditoría, aunque el nombre suele generar rechazo, porque es vista como un área acusadora y castigadora. Pero “el rol de la auditoría es mostrar qué se tiene, qué se está haciendo y qué no, en qué se cumple y en qué no”, explica Méndez. Agrega que si los resultados de auditoría muestran incumplimiento en alguna cuestión se debe levantar una bandera y establecer acciones a seguir y una fecha compromiso para remediarlo.
“El auditor debe ser visto como un aliado, de la misma forma que se visita a un médico para que nos indique en qué estamos mal físicamente. De la misma forma en que el doctor detecta alguna enfermedad y receta al paciente medicamentos y cuidados particulares, así lo hace el auditor con las organizaciones”, explica.
Pero si las recomendaciones de auditoría quedan en papel, entonces el negocio realmente no tiene la oportunidad de modificar aquello que podría causar vulnerabilidades a sus sistemas o incumplimientos legales.
A final de cuentas, de acuerdo con Méndez, la normatividad y legislación es una guía que indica por dónde ir, pero para saber que se está cumpliendo es necesario realizar auditorías profundas, con alguien confiable, y sobre todo, hacerle caso al auditor y marcar los tiempos para resolver las fallas que se encuentren.
“No porque me hagan una auditoría quiere decir que estoy mal. Es necesario cambiar esa mentalidad. Una auditoría solamente significa que tengo que mejorar y cambiar en algunos puntos”, concluyó Héctor Méndez.
Tips de cumplimiento para CIOSugerencias de Héctor Méndez Olivares, director de consultoría en Seguridad de VASS, para implementar adecuadamente las normas y regulaciones aplicables al negocio.
· Antes que nada, es necesario tener claro el objetivo y los requerimientos del negocio.
· Las diferentes áreas de negocio deben hacer una petición expresa de lo que necesitan, de modo que el departamento de TI pueda entender correctamente los requerimientos y planear el diseño de la infraestructura, equipos y software.
· TI no debe interpretar lo que el negocio necesita, debe saberlo con exactitud.
· Capacitar y concientizar al personal sobre su rol en cada proceso y la importancia del cumplimiento de las normas, para evitar violaciones.
· Se requiere el apoyo de la alta dirección para que el CEO refrende la postura de cumplimiento del negocio y evite conflictos entre TI y otras áreas.
· TI debe aprender a expresar cómo lo conseguirá. El departamento de sistemas no es un área que genere ROI, porque se maneja a nivel de operaciones, pero existen métricas como ValIT que ayudan a determinar el valor de la inversión en TI para el negocio.
· A continuación se deben monitorear los servicios, validar la calidad, cumplimiento de SLAs, etc. Si se contrata un tercero, es necesario asegurarse de que está cumpliendo lo que ofreció sin poner en riesgo al negocio.
