Cumplimiento normativo en todos los sectores

Este es el SEGUNDO blog de nuestra serie que explica cómo aprovechar la gestión de cambios y servicios para el cumplimiento mediante la recopilación de toda la información necesaria para procesar las aprobaciones de cambios y establecer registros auditables. En nuestra primera entrada de blog, explicamos por qué el cumplimiento de los procesos empresariales es una parte clave de la base para construir una organización exitosa. En este artículo, explicamos cómo el cumplimiento normativo en todos los sectores proporciona una guía importante para las organizaciones en su esfuerzo por alcanzar sus objetivos empresariales. En nuestro tercer y último artículo (publicado el 22 de junio de 2021), explicamos cómo se utiliza la auditoría del cumplimiento no solo para evaluar si su empresa cumple con las normativas externas, sino también para determinar si sigue sus propios procedimientos y políticas internos.

En este artículo, profundizaremos en el fondo y exploraremos cómo el cumplimiento de diversas normativas puede influir en la toma de decisiones empresariales. Una vez que comprenda claramente por qué el cumplimiento es importante para su organización, será mucho más fácil comprender cómo puede ayudar a su organización a cumplir sus objetivos de cumplimiento.

¿Por qué es importante el cumplimiento normativo?

El cumplimiento normativo se refiere al cumplimiento por parte de una organización de las leyes, los reglamentos, las directrices y las especificaciones pertinentes a ciertos procesos empresariales. Algunos ejemplos de leyes y reglamentos de cumplimiento normativo son la Ley de Portabilidad y Responsabilidad de los Seguros Médicos (HIPAA), la Ley Sarbanes-Oxley (SOX), la Protección de Infraestructuras Críticas (NERC-CIP) de North American Electric Reliability Corporation, el estándar de seguridad para la industria de tarjetas de pago (PCI), etc. Las infracciones de las normas de cumplimiento normativo suelen tener consecuencias legales y multas federales.

A medida que el número de leyes ha aumentado drásticamente en los últimos veinte años, la gestión del cumplimiento normativo se ha vuelto más prominente en una variedad de organizaciones. Este desarrollo ha llevado a la creación de puestos de director de cumplimiento corporativo, director y gerente de cumplimiento normativo en muchas organizaciones. El objetivo principal de estas funciones es garantizar que la empresa cumpla con los estrictos y complejos mandatos legales y las leyes aplicables.

Los procesos y estrategias de cumplimiento normativo brindan orientación a las organizaciones en su esfuerzo por alcanzar sus objetivos comerciales, mientras que los informes de auditoría sirven para demostrar el cumplimiento y ayudar a las empresas a promocionarse mejor ante los clientes. Ser transparente con respecto a los procesos de cumplimiento ayuda a los clientes a generar confianza y, potencialmente, a mejorar la rentabilidad.

¿Cómo varía el cumplimiento entre las industrias?

Algunas industrias están más reguladas que otras. El sector de los servicios financieros, por ejemplo, está sujeto a mandatos de cumplimiento normativo diseñados para proteger al público y a los inversores de las prácticas comerciales nefastas. Las empresas sanitarias están sujetas a leyes de cumplimiento estrictas porque almacenan grandes cantidades de datos confidenciales y personales de los pacientes. Los proveedores de energía están sujetos a normas por motivos de seguridad y protección medioambiental. Si bien estos son solo algunos ejemplos de por qué el cumplimiento es importante en ciertos sectores, las secciones siguientes proporcionan más información sobre cómo las organizaciones de cada uno de estos sectores pueden cumplir sus objetivos de cumplimiento.

Energía: satisfaga sin problemas sus requisitos de cumplimiento de NERC CIP

La North American Electric Reliability Corporation (NERC) desarrolla y aplica los estándares de confiabilidad CIP (protección de infraestructuras críticas) correspondientes al sistema de energía a granel (BPS). Los usuarios, propietarios y operadores del BPS bajo la jurisdicción del NERC proporcionan electricidad a más de 334 millones de personas en EE. UU., Canadá y el norte de Baja California (México). La directriz de seguridad del NERC para el sector eléctrico aborda los riesgos que pueden surgir durante las operaciones diarias «normales» y ayuda a las empresas a mitigarlos. Algunas entidades bajo la jurisdicción del NERC también deben contar con programas de capacitación y concientización para promover el proceso de mitigación.

Una de las principales preocupaciones de las empresas del sector de los servicios públicos es que la información confidencial pueda usarse para dañar instalaciones críticas, interrumpir las operaciones o dañar a las personas si el acceso cae en malas manos. Esta preocupación se convirtió en una cruda realidad el 7 de mayo de 2021, cuando un ciberataque contra Colonial Pipeline obligó a la empresa a cerrar 5.500 millas de oleoductos, lo que provocó una escasez generalizada de combustible y una compra de pánico en todo el sudeste. Muchos presidentes estadounidenses se esforzaron por lograr la independencia energética, lo que, a su vez, nos ofrece una mayor resiliencia en el mercado petrolero mundial. Sin embargo, nuestra capacidad de recuperación sigue siendo una incógnita en términos de cómo funcionan nuestros sistemas (oleoductos y energía eléctrica) en situaciones de estrés. La interrupción del oleoducto Colonial no tuvo nada que ver con la inestabilidad en Oriente Medio ni con la inadecuada producción de energía estadounidense. Sin embargo, las compras generadas por el pánico provocaron rápidamente una escasez de gas y provocaron que los precios en las gasolineras se dispararan en cuestión de pocos días.

Si bien los grupos delictivos representan una amenaza para las industrias más allá del sector energético, la energía es motivo de especial preocupación porque los oleoductos y las redes son cada vez más vulnerables a los ciberataques y a las condiciones meteorológicas extremas. Cuando llegan los huracanes, las refinerías de petróleo del Golfo de México cierran, lo que provoca un aumento de los precios de la gasolina y el diésel en la costa este. Normalmente, esto no supone un gran problema porque las empresas almacenan una gran cantidad de combustible cerca de donde se utiliza, y los camiones y las barcazas suelen compensar la diferencia. Lamentablemente, las incertidumbres que rodean a los ciberataques hacen que este tipo de riesgos sea mucho más complejo de gestionar.

A medida que la cantidad de datos confidenciales a los que se puede acceder a través de Internet sigue aumentando, es crucial contar con procesos para identificar, clasificar, etiquetar, proteger y compartir adecuadamente la información confidencial para proteger tanto a las empresas de servicios públicos como a los consumidores. Aquí es donde los sistemas de gestión del cambio tienen el poder de brindar una gran ayuda. ChangeGear Change Manager, por ejemplo, ayuda a los proveedores de servicios públicos a cumplir con las directrices de seguridad para cumplir con el CIP del NERC al:

• Identificar de manera rápida y eficiente dónde existen datos confidenciales relacionados con la «producción, procesamiento, almacenamiento, transmisión y eliminación» y la divulgación permitida de información
• Elaboración de perfiles donde existen los mayores riesgos en función de factores clave como la cantidad de personas con acceso a los datos y el tipo de acceso que tienen
• Clasificar la información según las categorías sugeridas por la Guía: pública, empresarial y restringida mediante la corrección de los datos

Si bien los sistemas de gestión de cambios no pueden resolver todos los problemas que crean los delincuentes, la integración de ChangeGear con Tripwire puede abordar un conjunto de requisitos particularmente difíciles que ni siquiera los proveedores de Big Data Loss Prevention (DLP) cumplen: la alerta temprana de cambios no autorizados. Tripwire permite a los solicitantes autorizados enviar elementos de cambio incluidos en la lista blanca, mientras que los solicitantes o elementos no autorizados se detienen y activa de inmediato la generación de un informe de estado. La CMDB también mantiene un mapeo de los recursos de TI con los procesos empresariales. Los mecanismos de análisis de cumplimiento y elaboración de informes pueden utilizar la información mapeada para correlacionar automáticamente los eventos con los procesos empresariales. Esto permite el seguimiento y la elaboración de informes sobre el proceso empresarial general, lo que permite vincular automáticamente los múltiples procesos de TI que intervienen en el cambio.

El NERC-CIP 010 hace hincapié en la documentación y los procedimientos estrictos de administración de la configuración para garantizar que los cambios en las líneas de base del sistema se detecten, investiguen e informen adecuadamente. Con la detección de cambios en la configuración en tiempo real, las alertas y la elaboración de informes exhaustivos, ChangeGear le ofrece la capacidad no solo de cumplir, sino también de superar, los requisitos de administración de cambios en la configuración del NERC CIP-010-2. Con la integración con Tripwire, los cambios en los archivos o configuraciones críticos se pueden controlar o prevenir de manera eficaz, lo que proporciona la máxima seguridad del sistema.

Con el módulo de gestión de servicios totalmente integrado de ChangeGear, se pueden planificar los cambios de referencia, lo que permite descubrir rápidamente otras desviaciones de referencia. Esto permite responder rápidamente a los cambios de configuración imprevistos y potencialmente malintencionados. ChangeGear Service Manager también garantiza el cumplimiento de la parte 1.2 del CIP-010-2, que exige que las empresas de servicios públicos «autoricen y documenten los cambios que se desvíen de la configuración básica existente», al ofrecer a los usuarios la posibilidad de controlar exactamente qué cambios se promueven y permitir que esos cambios se documenten directamente en la solución.

Atención médica: apoye el cumplimiento de la HIPAA

Los médicos y los hospitales deben cumplir con la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) de 1996, que es un grupo de regulaciones que garantizan que las cuentas de los pacientes y los registros médicos se manejen «adecuadamente». Antes de 1996, no había un conjunto de normas de seguridad o requisitos generales generalmente aceptados para proteger la información de los pacientes en el sector de la salud. A medida que las nuevas tecnologías comenzaron a evolucionar, la industria de la salud comenzó a alejarse de los procesos en papel y comenzó a confiar más en el uso de sistemas de información electrónicos para pagar las reclamaciones, responder a las preguntas de elegibilidad, proporcionar información médica y realizar muchas otras funciones, incluida la telemedicina tal como la conocemos hoy en día.

Los hospitales y otros proveedores de atención médica deben demostrar que han tomado medidas para cumplir con las normas de privacidad de los pacientes, como proporcionar una seguridad de servidor y un cifrado adecuados. La HIPAA describe los mandatos de privacidad y seguridad de los datos diseñados para proteger la información médica de los pacientes. La norma de notificación de infracciones de la HIPAA exige que las organizaciones que cumplen con las normas y sus socios comerciales notifiquen a los pacientes cada vez que se produzca una violación de datos. Además de los proveedores de atención médica, los proveedores de servicios en la nube (CSP) y otros socios comerciales de las organizaciones de atención médica también deben cumplir con las normas de privacidad, seguridad y notificación de infracciones de la HIPAA.

ChangeGear Service Manager brinda al personal de atención médica y a los usuarios acceso a los datos y servicios que necesitan a través de portales de autoservicio totalmente personalizados a los que se puede acceder desde cualquier dispositivo y están diseñados con comodidad, flexibilidad y seguridad integrada que cumple con la HIPAA. Su equipo puede crear una experiencia de usuario perfecta con el generador de arrastrar y soltar de ChangeGear, de bajo o sin código, para crear portales y flujos de trabajo personalizados en solo unos minutos. Con las funciones multilingües integradas, los profesionales de la salud y los pacientes se sienten más cómodos al saber que pueden comunicarse en más de 100 idiomas diferentes. Los pacientes pueden abordar sus problemas y encontrar respuestas por sí mismos o utilizar un chatbot a través de una conversación natural para obtener un poco de ayuda adicional cuando la necesiten.

La HIPAA también exige pruebas documentadas relacionadas con las protecciones físicas que rodean a una estación de trabajo específica o a una clase de estaciones de trabajo que pueden acceder a la información médica protegida electrónicamente. Entonces, ¿qué sucede cuando una enfermera deja a un paciente solo en una sala de examen? ¿Siempre cierra con llave el ordenador antes de salir de la habitación? ¿Se bloquea automáticamente después de un corto período de tiempo? ¿Existe un flujo de trabajo que registre quién accedió a qué archivos y cuándo? ChangeGear Service Manager protege la confidencialidad, la integridad y la disponibilidad de los datos, incluida la información relacionada con la HIPAA.

Finanzas: utilice la gestión de activos para mejorar el cumplimiento de la SOX

La Ley Sarbanes-Oxley de 2002 es una ley que el Congreso de los Estados Unidos aprobó para ayudar a proteger a los inversores de los informes financieros fraudulentos de las empresas. También conocida como la «Ley SOX» y la «Ley de Responsabilidad Corporativa», exige reformas estrictas a las regulaciones de valores existentes e impone severas sanciones a las empresas que no la cumplan. La SOX se creó en respuesta a los escándalos financieros de principios de la década de 2000 que involucraron a empresas que cotizan en bolsa como Enron, Tyco, WorldCom y otras. Estos casos de fraude de gran notoriedad debilitaron la confianza de los inversores en la confiabilidad de los estados financieros corporativos y llevaron a muchas personas a exigir una revisión de las anticuadas normas regulatorias.

Si bien los directores ejecutivos y los directores financieros desempeñan el papel principal en el cumplimiento de la Sarbanes-Oxley, los CIO desempeñan un papel igualmente importante en la firma de los estados financieros. Los CIO no solo son responsables de garantizar la seguridad y confiabilidad de los sistemas que administran y reportan los datos financieros, sino que también son responsables de la implementación y la documentación de los controles internos de TI. En consecuencia, los departamentos de TI deben funcionar como cualquier otra empresa. Sarbanes-Oxley ha creado un nivel de transparencia para la organización de TI que solía ocultarse en los balances y los estados de pérdidas y ganancias.

La sección 404 de la Ley Sarbanes-Oxley exige que el flujo de dinero esté documentado y disponible para demostrar qué gastos están relacionados con las inversiones en TI y los costos operativos. Esto significa que el departamento de TI debe informar sobre los costos asociados con sus proyectos, recursos y gastos de capital. A medida que aumenta el gasto, la TI pasa a ser un área de mayor interés para los inversores. Cuando se acepta una solicitud de cambio, puede resultar difícil identificar si el elemento de configuración (CI) cumple con los requisitos de la Sarbanes-Oxley o no. Si la organización tiene una CMDB y cada CI tiene un campo de atributos que indica si el CI está dentro del ámbito de aplicación de la ley Sarbanes-Oxley, el proceso de cambio puede simplificarse. Puede disponer de diferentes flujos de trabajo para los CI relacionados con normativas, como la Sarbanes-Oxley, que establece requisitos de proceso de cambio más estrictos.

Para minimizar el riesgo de incumplimiento, los ejecutivos corporativos deben colaborar para garantizar que todos los departamentos comprendan los requisitos de cumplimiento y estén adecuadamente preparados para gestionar las auditorías. El software de gestión de activos puede ayudar a reducir el riesgo de incumplimiento. Al implementar algunas de las mejores prácticas de gestión de activos de TI (ITAM), puede eliminar al menos algunas de las señales de alerta a las que suelen prestar atención los auditores. Un sistema de ITAM sólido como ChangeGear Asset Manager se centra en comprar, implementar, administrar, optimizar y retirar de manera efectiva los activos y recursos de software. ChangeGear también ayuda a administrar, gobernar y conciliar los recursos de TI utilizados en toda la organización.

El cumplimiento de los procesos es responsabilidad de todos

Independientemente del sector, el equipo de cumplimiento es responsable de garantizar que los procesos y procedimientos de su empresa estén diseñados para cumplir con las políticas internas, las leyes y los reglamentos aplicables, y de garantizar que se sigan esos procesos y procedimientos. Lamentablemente, siempre hay alguien que se opone a las mejoras de los procesos, predice el fracaso o simplemente no entiende cómo ellos (y la empresa) pueden beneficiarse de seguir procesos nuevos o existentes. Para estas personas, los procesos suelen ser vistos como obstáculos para realizar su trabajo o como una cortina de humo para ocultar los problemas o debilidades operacionales. La percepción de que los procesos son obstáculos o cortinas de humo es casi siempre infundada, pero muchos líderes empresariales no miden ni transmiten la eficacia de sus procesos ni los resultados que han logrado.