La gestión como apoyo al cumplimiento
Cada vez es más notoria la necesidad en empresas de diferentes sectores el contar con una gestión para el gobierno de la seguridad y la tecnología que acompañe a sus objetivos de negocio, ya que para alcanzar resultados no solo dependen de lo comercial sino también del cumplimiento regulatorio y normativo.
Habitualmente, y en cada caso en el que se debe dar respuesta a condiciones de cumplimiento por parte del negocio, uno de los principales puntos de control se refiere a los recursos tecnológicos y sus procesos asociados con los que se le brinda servicio a las diferentes áreas organizativas.
Debido a ello, lo que debe analizarse primero es nuestro modelo de negocio y conocer las regulaciones y normas internas para determinar si la gestión actual está alineada con los estándares del negocio, lo que nos dará como resultado el nivel de madurez en el gobierno aplicado a los procesos tecnológicos y si los mismos cubren los requerimientos de cumplimiento de las regulaciones que le aplican a la organización. Recordemos que un buen gobierno de las tecnologías y su aseguramiento permiten a las organizaciones brindar servicios de calidad y evitar el impacto negativo interno y externo proveniente de la falta de cumplimiento de leyes, regulaciones o certificaciones adquiridas por el negocio.
Este ejercicio inicial, normalmente llamado “Assessment”, nos permite identificar la brecha a remediar para alcanzar el nivel de cumplimiento requerido y es una herramienta fundamental en la mejora de los sistemas de gestión permitiéndonos ajustar las definiciones de base que nos aseguren la condición de "Compliance" con el marco regulatorio, legislativo y las políticas internas de la organización incluyendo las condiciones contractuales de seguridad, control y auditoría con terceras partes.
Para completar un plan orientado a desarrollar un entorno estratégico de gestión, debemos considerar una serie de acciones orientadas a la identificación de riesgos teniendo en cuenta los recursos tecnológicos utilizados en los procesos de negocio y el tratamiento variado sobre los distintos tipos de información que hace que su sensibilidad pueda variar significativamente. De esta forma y ya conocidas las condiciones de riesgo y cumplimiento, podremos establecer procesos funcionales y de servicio tecnológico protegidos y pensados a la medida de nuestra empresa mitigando los riesgos potenciales que, en caso de materializarse, impacten negativamente en la organización si no remedio la brecha de cumplimiento detectada.
Todo sistema de gestión debe estar documentado, y los documentos que registran definiciones normativas, procedimientos operativos y estandarizan los aspectos técnicos relacionados con los parámetros de configuración también deben ser verificados, para garantizar que desde las normativas compiladas en una biblioteca de documentos que conforman el marco normativo de la organización se da respuesta al marco regulatorio en forma adecuada según el tipo de industria, acorde a la dimensión de la empresa y basado en la operación de los procesos soportados por servicios tecnológicos.
El implementar un sistema de gestión es una decisión de negocio, pero lo que debe entenderse es que el compromiso a asumir por el negocio puede tener dos visiones diferentes:
Compromiso y delegación, cuando se toma la decisión pero todas las responsabilidades son derivadas en áreas de Organización y Métodos, Sistemas o Seguridad de la Información poniendo en cabeza de estas áreas responsabilidades de peso y comunicación que le son propias de la Dirección.
Compromiso y acompañamiento, obviamente cuando la Dirección asume su compromiso por completo a través de sus comunicados y apoya las acciones de las áreas implementadoras.
Normalmente los hechos se inclinan por la primera visión, y se podrá ver claramente cuando aquellas tareas que hayamos planificado para cada una de las actividades empiezan a dilatarse en el tiempo debido a falta de colaboración interna, demoras en la aprobación de presupuestos o en la toma de decisiones, etc. El no contar con el acompañamiento adecuado de la Dirección impacta directamente sobre el ánimo de colaboración del principal recurso de cualquier sistema de gestión, el humano.
Pensémoslo de esta forma, año a año la Dirección define objetivos estratégicos relacionados con una mejora en la rentabilidad de las operaciones empresariales como respuesta a sus accionistas, y en muchas oportunidades la concreción exitosa de estos objetivos está relacionada con una decisión propia de adoptar un estándar (como puede ser el certificar ISO 9001) o bien establecer políticas orientadas a reforzar el cumplimiento regulatorio asociado a su negocio (como pueden ser las normativas del BCRA, el estándar PCI, o leyes como SOx o HIPAA). Entonces ¿Porque no apoyar nuestras propias decisiones?
Para asegurar el adecuado funcionamiento de un sistema de gestión que cubra las necesidades de cumplimiento de nuestra organización, necesitamos que toda la organización entienda por qué y para qué interviene en el proceso. Tengamos en cuenta que el entendimiento es algo progresivo y que fluye desde la aceptación como propio de cada etapa del sistema de gestión. Si no se crea un ambiente colaborativo es muy difícil de hacer que se entienda y para que ello suceda necesitamos el acompañamiento de aquellos que tomaron una decisión estratégica para el negocio.
Esto denota que entre otra de las claves para asegurar el cumplimiento, es el contar con recursos humanos capacitados no solo técnicamente sino también en el entorno de la organización y sus procesos, para lo cual debemos establecer condiciones estándar de concientización y trabajo en equipo interdisciplinario, estableciendo actividades que acompañen cada etapa del sistema de gestión adoptado.
A todo esto debemos tener en cuenta que el organizarse a través de estándares siempre trae acarreado algún tipo de conflicto interdepartamental ya que cuando tenemos por objetivo adecuar y normalizar procesos, esto implica redefinir roles y responsabilidades, crear nuevas áreas, fusionar otras, cambio de personal, modificar permisos y accesos, etc. Por ello es muy importante la comunicación y la motivación, ya que se requiere trabajar con el miedo y los sitios de confort utilizados por los empleados hasta este momento; cambiar su realidad y modificar sus costumbres no es tarea fácil.
Como podrán haber visto, en lo planteado hay un estricto sentido de dirección en integrar diferentes actividades enfocándolas hacia la concreción de un sistema de gestión desde el aspecto del cumplimiento, ya que a partir de ello conseguiremos encausar cada necesidad de implementación tecnológica no como un proyecto individual para resolver una situación puntual de un área de negocio sino como una herramienta de solución a procesos de tratamiento de información y alcance exitoso de objetivos de negocio.
Bajo este contexto, la premisa más importante es la de establecer un gobierno que permita administrar los diferentes procesos tecnológicos y de seguridad de la información para garantizar que el uso de las tecnologías cumple con los objetivos éticos y legales requeridos por la organización. Esto nos llevará primeramente a interpretar cada una de las leyes de aplicación para de esta manera adecuar nuestros sistemas a las necesidades de cumplimiento.
Otra de las actividades fundamentales corresponde al proceso de gestión de la auditoría interna para obtener información sobre el funcionamiento del sistema de gestión implementado y su nivel de madurez. Para ello, se debe planificar, establecer, implementar y mantener un programa de auditoría, incluyendo la frecuencia de las mismas, los métodos a utilizar, responsabilidades, requisitos de planificación e informes. De este proceso es esencial asegurar que los resultados se reportan a la dirección para su revisión.
¿Por qué darle importancia a un sistema de gestión como respuesta a las necesidades de cumplimiento? Porque es la única forma de:
Establecer pautas documentadas, estandarizadas y medibles de la operación de los diferentes servicios tecnológicos que brindan el soporte al negocio necesario para alcanzar sus objetivos estratégicos.
Garantizar transparencia en el tratamiento de la información y su comunicación cuando los datos confidenciales y sensibles a las personas y las organizaciones se sometan al tratamiento de forma automatizada, implementando medidas técnicas y organizativas que garanticen un nivel de seguridad adecuado en relación con los riesgos en el tratamiento y la naturaleza de los datos.
Permitir una evaluación de los riesgos para adoptar medidas de protección de los datos contra su destrucción accidental o ilícita, o su pérdida accidental, y de impedir cualquier forma de tratamiento ilícito, en particular la comunicación, la difusión o el acceso no autorizados o la alteración de estos datos.
Especificar conformidad en los criterios y condiciones aplicables a las medidas técnicas y organizativas para sectores específicos y en situaciones de tratamiento de datos específicas, habida cuenta en particular de la evolución de la tecnología y de las soluciones de privacidad desde el diseño y la protección de datos.