Regulaciones y políticas empresariales

Tamaño: px

Comenzar la demostración a partir de la página:

Download "Regulaciones y políticas empresariales"

1 Regulaciones y políticas empresariales

2 Agenda Antecedentes - Cuál es el origen de todo esto? Contexto actual en el negocio Enfoque práctico recomendado Resultados del compliance Conclusiones

3 Si nada es evidente de por sí, nada es comprobable, y si nada es obligatorio por sí mismo, nada es obligatorio en absoluto. Clive Staples Lewis. Escritor británico

4 Antecedentes - Cuál es el origen de todo esto? - Qué es el compliance? - Quiénes deben lograrlo? - Problemática actual

5 Qué es el compliance? Compliance El compliance es la medida del nivel de aseguramiento de que se cumple con los requerimientos, regulaciones y leyes aplicables para la organización. El resultado es binario: se cumple/no se cumple, para obtener algún beneficio.

de que se cumple con los requerimientos, regulaciones y leyes

6 Quiénes deben lograrlo? El compliance no está encaminado a personal interno, a los auditores, a las terceras partes. Las organizaciones y su forma de operar son las que logran el compliance. Personas Datos/Información Aplicaciones/procesos Compliance Plataformas, redes, infraestructura Infraestructura física Ambiente de operación y procesamiento de TI

partes. Las organizaciones y su forma de operar son las que logran el compliance.

7 Problemática actual De acuerdo al CSI/FBI, el compliance con leyes y regulaciones es una de las tres áreas más prioritarias para las organizaciones desde el Los ejercicios de compliance han creado una cultura del terror entre las organizaciones susceptibles de lograrlo. Las organizaciones no tienen un entendimiento claro de qué cumplir y cómo cumplir. No todas las regulaciones y leyes, son relevantes para todas las situaciones y todas las organizaciones.

Los ejercicios de compliance han creado una cultura del terror entre las organizaciones susceptibles de lograrlo.

8 Problemática actual El número de regulaciones que deben cumplirse se incrementa copiosa y permanentemente. Cuando el cumplimiento es aplicable al negocio o la organización, tendrá sanciones por no lograrlo.

9 Problemática actual Los controles y procesos de la operación de TI, no se preparan para cumplir. cuando si se hacen para cumplir, no se pueden operar. Los controles o las actividades de control no dejan registros de su ejecución. El ambiente de operación y procesamiento es complejo: demasiada infraestructura, demasiados fabricantes, productos requerimientos internos, y Además hay que operar!!!

Los controles o las actividades de control no dejan registros de su ejecución.

10 Contexto actual en el negocio -Enfoque actual para lograr cumplimiento -Consecuencias de la visión actual

11 Contexto actual en el negocio El ambiente de operación y procesamiento de TI no se ha hecho pensando en cumplir solamente operar y entregar servicios. Personas Datos/Información Aplicaciones/procesos Plataformas, redes, infraestructura Infraestructura física Ambiente de operación y procesamiento de TI REQUERIMIENTOS REGULATORIOS Sarbanes Oxley, BASEL II, HIPAA, PRIVACY DATA PROTECTION, CNBV, CNSF, BANXICO BRECHA DE CUMPLIMIENTO REQUERIMIENTOS DE INDUSTRIA SAS 70 PCI ISO BRECHA DE CUMPLIMIENTO REQUERIMIENTOS INTERNOS/ CORPORATIVOS POLITICA CORPORATIVAS ESTÁNDARES CORPORATIVOS BRECHA DE CUMPLIMIENTO

TI REQUERIMIENTOS REGULATORIOS Sarbanes Oxley, BASEL II, HIPAA, PRIVACY DATA PROTECTION, CNBV, CNSF, BANXICO BRECHA DE CUMPLIMIENTO REQUERIMIENTOS DE

12 Contexto actual en el negocio Debido a la falta de entendimiento y los lineamientos internos (marco normativo), atendemos a gurús, el top ten de Internet, los foros y las evaluaciones previas de auditoría. Se trabaja en la creación de los registros o evidencias de las actividades de control de manera puntual con esfuerzos aislados. En algunos casos, se adecua la operación a los requerimientos del cumplimiento, sin considerar las necesidades de la organización con esfuerzos mientras descansan. Operación diaria Para cumplimiento 9:00 am 6:00 pm Para cumplimiento

Se trabaja en la creación de los registros o evidencias de las actividades de control de manera puntual con esfuerzos aislados.

13 Contexto actual en el negocio Se asigna a personal de áreas operativas para preparar el cumplimiento. Se logra el cumplimiento sin valor cumplimos por cumplir y ahora?? (esto es como jugar al 1 0) Además, se enfrenta el reto de incoporar temas complejos de seguridad y control en la operación diaria pero no somos expertos!!! Medición n del riesgo Marco normativo interno Función n de seguridad Personas Datos/Información Aplicaciones/procesos Plataformas, redes, infraestructura Infraestructura física Ambiente de operación y procesamiento de TI Estrategia de Seguridad

? (esto es como jugar al 1 0) Además, se enfrenta el reto de incoporar temas complejos de seguridad y control en la operación diaria pero no

14 Consecuencias de la visión actual Se crea un ambiente de operación y procesamiento fragmentado: Se trabaja para el compliance externo Se trabaja para el compliance interno Se trabaja para los requerimientos de la organización POLITICA CORPORATIVAS ESTÁNDARES CORPORATIVOS Sin embargo, ninguno representa la realidad operativa y las carencias de la organización. Los esfuerzos para cumplimiento se vuelven una tarea recurrente y tortuoso.

organización POLITICA CORPORATIVAS ESTÁNDARES CORPORATIVOS Sin embargo, ninguno representa la realidad

15 Enfoque práctico recomendado

16 Enfoque práctico recomendado No existe una receta secreta ni la fórmula mágica para lograr el cumplimiento. Sin embargo, proponemos el siguiente modelo flexible y general. Revisión de la aplicabilidad Identificar los requerimientos que son aplicables a la organización. Determinar que de los requerimientos aplicables son relevantes para el enfoque y necesidades de la organización. Análisis de brecha en el cumplimiento Evaluar en que nivel de cumplimiento estamos actualmente respecto. Enfoque de cumplimiento definido y cumplimiento implementado. Plan de acción Formular un plan de acción correctivo (quick fixes) Crear un plan estratégico de seguridad de la información y control Determinar los requerimientos de seguridad de la organización Fortalecer el marco de control interno e implementar controles con base en políticas Soluciones para automatizar el cumplimiento Automatizar las actividades de cumplimiento Controlar, medir y mejorar las actividades de preparación y ejecución de los ejercicios de revisión del cumplimiento.

Determinar que de los requerimientos aplicables son relevantes para el enfoque y necesidades de la organización.

17 Enfoque práctico recomendado En el caso de fortalecer e implementar las regulaciones empresariales, podríamos considerar:. Normatividad corporativa Requerimientos corporativos Diseño Revisión Normatividad Normatividad para para Seguridad Seguridad de de la la Información Información SOX, SAS 70, PCI BASEL II, ISO, HIPAA Autorización Implementación Requerimientos Requerimientos para para procesos procesos

Normatividad corporativa Requerimientos corporativos Diseño Revisión Normatividad Normatividad para

18 Resultados del compliance

19 Resultados del compliance Después de tanto esfuerzo y tanto dolor, qué beneficios obtiene la organización: Se obtienen ventajas competitivas en la industria y segmento del mercado La seguridad se coloca como un tópico de relevancia organizacional Se amplía la visión de las causas de las desviaciones del cumplimiento y el estado actual de implementación de los controles. La organización se conoce a sí misma respecto de sus requerimientos de seguridad y operación internos Las políticas empresariales atenderán necesidades internas de seguridad y operación, y requerimientos regulatorios aplicables

desviaciones del cumplimiento y el estado actual de implementación de los controles.

20 Conclusiones

21 Conclusiones El compliance empresarial no es un juicio de la Santa Inquisición. Definitivamente es un ejercicio que requiere esfuerzo considerable, pero el trabajo de valor se hace en el día a día, en nuestor marco normativo. Es un proceso que transforma la organización no es un proyecto finito. Busquemos un enfoque colaborativo, hagamos el trabajo positivo todos los días, y dejemos hacer el trabajo de revisión.

22 Conclusiones Nadie está obligado a lo imposible, Lo que no está prohibido está permitido, por lo que: El compliance debe ser una muestra de la efectividad y éxito de su operación y soporte a los procesos de su organización, basado en su marco normativo vigente e implementado.

23 Preguntas?? Gracias por su atención Roque C. Juárez, CISSP, CISA, CISM IBM Information Security

Documentos relacionados

Proceso: AI2 Adquirir y mantener software aplicativo

Proceso: AI2 Adquirir y mantener software aplicativo Se busca conocer los estándares y métodos utilizados en la adquisición de y mantenimiento del software. Determinar cuál es proceso llevado a cabo para