Regulaciones y políticas empresariales
Agenda Antecedentes - Cuál es el origen de todo esto? Contexto actual en el negocio Enfoque práctico recomendado Resultados del compliance Conclusiones
Si nada es evidente de por sí, nada es comprobable, y si nada es obligatorio por sí mismo, nada es obligatorio en absoluto. Clive Staples Lewis. Escritor británico
Antecedentes - Cuál es el origen de todo esto? - Qué es el compliance? - Quiénes deben lograrlo? - Problemática actual
Qué es el compliance? Compliance El compliance es la medida del nivel de aseguramiento de que se cumple con los requerimientos, regulaciones y leyes aplicables para la organización. El resultado es binario: se cumple/no se cumple, para obtener algún beneficio.
Quiénes deben lograrlo? El compliance no está encaminado a personal interno, a los auditores, a las terceras partes. Las organizaciones y su forma de operar son las que logran el compliance. Personas Datos/Información Aplicaciones/procesos Compliance Plataformas, redes, infraestructura Infraestructura física Ambiente de operación y procesamiento de TI
Problemática actual De acuerdo al CSI/FBI, el compliance con leyes y regulaciones es una de las tres áreas más prioritarias para las organizaciones desde el 2006. Los ejercicios de compliance han creado una cultura del terror entre las organizaciones susceptibles de lograrlo. Las organizaciones no tienen un entendimiento claro de qué cumplir y cómo cumplir. No todas las regulaciones y leyes, son relevantes para todas las situaciones y todas las organizaciones.
Problemática actual El número de regulaciones que deben cumplirse se incrementa copiosa y permanentemente. Cuando el cumplimiento es aplicable al negocio o la organización, tendrá sanciones por no lograrlo.
Problemática actual Los controles y procesos de la operación de TI, no se preparan para cumplir. cuando si se hacen para cumplir, no se pueden operar. Los controles o las actividades de control no dejan registros de su ejecución. El ambiente de operación y procesamiento es complejo: demasiada infraestructura, demasiados fabricantes, productos requerimientos internos, y Además hay que operar!!!
Contexto actual en el negocio -Enfoque actual para lograr cumplimiento -Consecuencias de la visión actual
Contexto actual en el negocio El ambiente de operación y procesamiento de TI no se ha hecho pensando en cumplir solamente operar y entregar servicios. Personas Datos/Información Aplicaciones/procesos Plataformas, redes, infraestructura Infraestructura física Ambiente de operación y procesamiento de TI REQUERIMIENTOS REGULATORIOS Sarbanes Oxley, BASEL II, HIPAA, PRIVACY DATA PROTECTION, CNBV, CNSF, BANXICO BRECHA DE CUMPLIMIENTO REQUERIMIENTOS DE INDUSTRIA SAS 70 PCI ISO BRECHA DE CUMPLIMIENTO REQUERIMIENTOS INTERNOS/ CORPORATIVOS POLITICA CORPORATIVAS ESTÁNDARES CORPORATIVOS BRECHA DE CUMPLIMIENTO
Contexto actual en el negocio Debido a la falta de entendimiento y los lineamientos internos (marco normativo), atendemos a gurús, el top ten de Internet, los foros y las evaluaciones previas de auditoría. Se trabaja en la creación de los registros o evidencias de las actividades de control de manera puntual con esfuerzos aislados. En algunos casos, se adecua la operación a los requerimientos del cumplimiento, sin considerar las necesidades de la organización con esfuerzos mientras descansan. Operación diaria Para cumplimiento 9:00 am 6:00 pm Para cumplimiento
Contexto actual en el negocio Se asigna a personal de áreas operativas para preparar el cumplimiento. Se logra el cumplimiento sin valor cumplimos por cumplir y ahora?? (esto es como jugar al 1 0) Además, se enfrenta el reto de incoporar temas complejos de seguridad y control en la operación diaria pero no somos expertos!!! Medición n del riesgo Marco normativo interno Función n de seguridad Personas Datos/Información Aplicaciones/procesos Plataformas, redes, infraestructura Infraestructura física Ambiente de operación y procesamiento de TI Estrategia de Seguridad
Consecuencias de la visión actual Se crea un ambiente de operación y procesamiento fragmentado: Se trabaja para el compliance externo Se trabaja para el compliance interno Se trabaja para los requerimientos de la organización POLITICA CORPORATIVAS ESTÁNDARES CORPORATIVOS Sin embargo, ninguno representa la realidad operativa y las carencias de la organización. Los esfuerzos para cumplimiento se vuelven una tarea recurrente y tortuoso.
Enfoque práctico recomendado
Enfoque práctico recomendado No existe una receta secreta ni la fórmula mágica para lograr el cumplimiento. Sin embargo, proponemos el siguiente modelo flexible y general. Revisión de la aplicabilidad Identificar los requerimientos que son aplicables a la organización. Determinar que de los requerimientos aplicables son relevantes para el enfoque y necesidades de la organización. Análisis de brecha en el cumplimiento Evaluar en que nivel de cumplimiento estamos actualmente respecto. Enfoque de cumplimiento definido y cumplimiento implementado. Plan de acción Formular un plan de acción correctivo (quick fixes) Crear un plan estratégico de seguridad de la información y control Determinar los requerimientos de seguridad de la organización Fortalecer el marco de control interno e implementar controles con base en políticas Soluciones para automatizar el cumplimiento Automatizar las actividades de cumplimiento Controlar, medir y mejorar las actividades de preparación y ejecución de los ejercicios de revisión del cumplimiento.
Enfoque práctico recomendado En el caso de fortalecer e implementar las regulaciones empresariales, podríamos considerar:. Normatividad corporativa Requerimientos corporativos Diseño Revisión Normatividad Normatividad para para Seguridad Seguridad de de la la Información Información SOX, SAS 70, PCI BASEL II, ISO, HIPAA Autorización Implementación Requerimientos Requerimientos para para procesos procesos
Resultados del compliance
Resultados del compliance Después de tanto esfuerzo y tanto dolor, qué beneficios obtiene la organización: Se obtienen ventajas competitivas en la industria y segmento del mercado La seguridad se coloca como un tópico de relevancia organizacional Se amplía la visión de las causas de las desviaciones del cumplimiento y el estado actual de implementación de los controles. La organización se conoce a sí misma respecto de sus requerimientos de seguridad y operación internos Las políticas empresariales atenderán necesidades internas de seguridad y operación, y requerimientos regulatorios aplicables
Conclusiones
Conclusiones El compliance empresarial no es un juicio de la Santa Inquisición. Definitivamente es un ejercicio que requiere esfuerzo considerable, pero el trabajo de valor se hace en el día a día, en nuestor marco normativo. Es un proceso que transforma la organización no es un proyecto finito. Busquemos un enfoque colaborativo, hagamos el trabajo positivo todos los días, y dejemos hacer el trabajo de revisión.
Conclusiones Nadie está obligado a lo imposible, Lo que no está prohibido está permitido, por lo que: El compliance debe ser una muestra de la efectividad y éxito de su operación y soporte a los procesos de su organización, basado en su marco normativo vigente e implementado.
Preguntas?? Gracias por su atención Roque C. Juárez, CISSP, CISA, CISM IBM Information Security rjuarez@mx1.ibm.com