Krypton Solid

Krypton Solid
Krypton Solid

La última tecnología en raciones de 5 minutos

Alinear los procedimientos de cumplimiento y de TI es cada vez más una prioridad empresarial

Con pocas excepciones en el mundo empresarial altamente regulado de hoy, el cumplimiento de los mandatos de protección de la privacidad y las obligaciones de TI están inextricablemente entrelazados: ya sea en la atención médica, las finanzas, el gobierno, la aplicación de la ley o cualquier otro campo, los departamentos separados de una organización comparten ciertas obligaciones de cumplimiento. Pero a pesar de sus objetivos comunes, las funciones de cumplimiento del día a día y la identificación y clasificación de las prioridades de TI han estado históricamente aisladas unas de otras. Sin embargo, hay indicios de que las empresas y las industrias están comenzando a ver los beneficios de la convergencia de los procedimientos de cumplimiento y de TI.

Es importante aclarar que debido a que hay tantos procesos comerciales incluidos en el cumplimiento que difieren entre industrias, cuando digo «cumplimiento» me refiero a la obligación de una organización de cumplir con los estándares legales o regulatorios de la industria para el uso, divulgación y protección adecuados de los datos. Algunos ejemplos de estos requisitos reglamentarios se encuentran en la Ley de Portabilidad y Responsabilidad de la Información de Salud (HIPAA), Gramm-Leach-Bliley-Act (GLBA) y el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI-DSS). Me centraré aquí en la industria de la salud y la HIPAA, pero con las excepciones del campo de las finanzas, donde la convergencia ocurrió en gran parte hace algún tiempo, mis observaciones sobre la convergencia continua de TI y los procedimientos de cumplimiento se aplican también a otras industrias. .

Dentro del campo de la salud, los siguientes miembros del personal y departamentos deben participar en los esfuerzos de cumplimiento: ejecutivos de la empresa, profesionales de cumplimiento asignados, gerentes de información de salud (HIM), gerentes de riesgo, TI, instalaciones, recursos humanos y legal. Este personal a menudo opera en silos de paredes altas y, si se juntan, a menudo pasan largos períodos sin discutir los requisitos mutuos que deben cumplir.

El personal de TI, y los ejecutivos, a menudo confían demasiado en que otra persona se ocupa del cumplimiento.

Cuando les pregunté a los profesionales de TI sobre el cumplimiento de las reglas de seguridad de la HIPAA dentro de su organización, por lo general respondieron: «Ese es el ámbito del oficial de cumplimiento» o «El riesgo maneja el cumplimiento». Si pregunta a los ejecutivos sobre las funciones de TI requeridas por la Regla de seguridad, muy a menudo obtendrá: «La gente de TI nos asegura que siguen las mejores prácticas de seguridad de la industria». O «No tengo idea de lo que hacen; todo es griego para mí».

El personal de TI, y los ejecutivos, a menudo confían demasiado en que otra persona se ocupa del cumplimiento. También suelen estar demasiado dispuestos a permanecer ignorantes de cualquier problema específico de TI que pueda estar incluso ligeramente fuera de su dominio.

Los beneficios comerciales y de TI del cumplimiento

Es igualmente peligroso si una empresa considera el cumplimiento como simplemente un conjunto de casillas de verificación necesarias para satisfacer los requisitos legales o reglamentarios de la industria. Estas personas a menudo harán exactamente eso: marque la casilla y continúe. Otros ven el cumplimiento como un conjunto indebido de reglas promulgadas por burócratas y se resisten a cumplir. Ven las reglas como poco prácticas e innecesarias o fuera de sus presupuestos y prioridades normales, por lo que las ignorarán por completo. Luego están los que ven las regulaciones como un mal necesario para romper el hábito de la inacción de quienes siempre tienen otras prioridades.

Es importante recordar que los requisitos regulatorios pueden ser una fuerza impulsora para tomar acciones prudentes para mejorar el cumplimiento de la gobernanza general de la información. «El primer error es centrarse en el objetivo de cumplimiento en lugar de en el panorama general», dijo Sharon Lewis, directora ejecutiva y directora ejecutiva de la Asociación de Información de Salud de California (CHIA). «El cumplimiento de las reglamentaciones no equivale a seguridad ni a un adecuado gobierno de la información. Debemos alinear la gestión de la información de salud, la tecnología de la información, el riesgo y el cumplimiento para cumplir con el amplio conjunto de obligaciones que tenemos hoy».

La visión general de Lewis parece estar creciendo dentro de la comunidad de atención médica y, naturalmente, debería conducir a una mejor cooperación entre los departamentos. El deseo inherente de mejorar los resultados de los pacientes, así como de evitar las violaciones de datos públicos, el ransomware, las multas y las acciones correctivas que se han producido en los últimos años, ha despertado a la industria. Los ejecutivos y profesionales de la salud finalmente han comenzado a ver que el activo de mayor valor que poseen, más allá de sus pacientes, son los datos que crean y mantienen. La capacidad de aprovechar y proteger los datos reside en el ámbito del acceso, la funcionalidad y la gestión de los datos de TI.

El enigma de la privacidad y la seguridad

Si bien los auditores han estado preguntando sobre la seguridad y la disponibilidad de los sistemas de información durante mucho tiempo, su falta de conocimiento profundo de TI a menudo los coloca a merced de la voluntad del departamento de TI de compartir y ser francos. A veces, se deja a los oficiales de privacidad y seguridad (muchas veces el mismo individuo) acorralar a las distintas partes y tratar de unir un frente unido. Todo esto se hace frente a iniciativas en competencia y mensajes confusos de los ejecutivos en la cima. Con mucha frecuencia escucho a los ejecutivos decir: «Quiero cumplimiento y seguridad, pero no pueden cambiar la forma en que trabajamos». Básicamente, esto se traduce en «Realmente no quiero cumplimiento y seguridad. Solo quiero que me vean hablando de eso». Sin embargo, esta actitud parece estar cambiando, ya que los ejecutivos están perdiendo sus puestos de trabajo después de que las infracciones de seguridad o de cumplimiento resultan en multas masivas, juicios y pérdida de la confianza del cliente en la empresa.

Roy Snell, director ejecutivo de la Health Care Compliance Association (HCCA) y la Society of Corporate Compliance and Ethics (SCCE), ve el cambio que se avecina.

«No hay duda de que se está produciendo una convergencia», dijo. «Con el tiempo, la gente ha comenzado a comprender que un programa de cumplimiento es positivo para la gestión adecuada del ciclo de vida de la información y no obstaculiza el crecimiento. Más bien, promueve e incrementa el crecimiento».

Ciertamente, la TI es una parte clave del cumplimiento, pero lo que es más importante, debe ayudar a garantizar que la empresa obtenga el mayor valor posible de la información que posee.

«Uno de nuestros objetivos en CHIA es ser reconocidos como expertos en atención médica donde traducimos datos en inteligencia de salud», dijo Lewis. «Cuando observa el ciclo de vida de la información, es mucho más grande que el simple cumplimiento: es un desafío alinear Medicare, codificación, administración, HIPAA y otras obligaciones regulatorias».

Hay evidencia de que el liderazgo está comenzando a ver la escritura en la pared. Ha habido suficientes noticias sobre temas de privacidad del consumidor en los últimos meses para hacer que la industria de la salud reflexione, y está comenzando a buscar ayuda en grupos como CHIA y HCCA para implementar los cambios.

«En HCCA, hemos elaborado una pista para TI para las conferencias del próximo año para reconocer y promover la convergencia de TI y cumplimiento», dijo Lewis. «Siempre trabajamos para estar a la vanguardia, pero buscamos a los primeros en adoptar que sean los cruces con TI y cumplimiento para ayudarnos a educar a las masas».

Por tanto, parece que se está produciendo la convergencia de los procedimientos de cumplimiento y de TI. La pregunta es, ¿las organizaciones de atención médica se esforzarán por asegurarse de que los resultados de los pacientes y la privacidad tengan la misma prioridad?

En algunas situaciones, el personal de TI se sienta a la mesa pateando y gritando, pero otros están adoptando el papel. Lewis dijo que si bien TI jugará un papel clave en la convergencia exitosa, advirtió contra el potencial de empeoramiento de los silos.

«Si bien realmente apoyo la necesidad de liderazgo y aliento la iniciativa, debemos trabajar todos juntos para evitar que un grupo controle el proceso y limite las inmensas posibilidades que todos podemos compartir», dijo Lewis.

¡Haz clic para puntuar esta entrada!
(Votos: Promedio: )
CONTENIDO RELACIONADO  ¿Qué es Nest Labs? - Definición de Krypton Solid

También te puede interesar...

Dispositivos WiMAX

Los defensores de WiMAX a menudo describen WiMAX y Wi-Fi como tecnologías complementarias, no competitivas. Afirman que el costo incremental para agregar WiMAX a los dispositivos Wi-Fi será bajo y que la tasa de conexión

Los pros y los contras de la subcontratación de big data

Hay varias razones por las que las empresas subcontratan algunos, o incluso todos, elementos de sus proyectos de big data. Aunque muchos ejecutivos se entusiasman con las capacidades de inteligencia artificial de la subcontratación de

La evolución de AWS IaaS y PaaS

El termino computación en la nube inicialmente referido a una forma de aprovisionar automáticamente recursos, almacenamiento computacional y redes mediante una API o scripts automatizados. Cuando Amazon Web Services diseñó su oferta de infraestructura como

Elegir los mejores clientes VDI es fundamental

Fuente: Jakub Jirsk – Fotolia ¿Por qué desembolsar una fortuna en PC de gama alta para usuarios que solo necesitan acceder a una sola aplicación para algo tan simple como la entrada de datos? En

Construyendo un marco de gobernanza de datos eficaz

Artículo El ejecutivo de Sallie Mae detalla las mejores prácticas de gobernanza de datos Michele Koch, directora de gestión de datos empresariales de Sallie Mae, explica las estrategias y tácticas clave que impulsan el programa

Requisitos inadecuados y qué hacer al respecto.

John Scarpino En mi propia experiencia profesional, he sido testigo de una práctica cada vez más común de analistas de negocios y gerentes de proyectos que brindan a los probadores de software muy pocos requisitos,

¿Qué es pharming?

¿Qué es pharming? El pharming es una práctica de estafa en la que se instala un código malintencionado en una computadora personal (PC) o servidor, que redirige a los usuarios a sitios web fraudulentos sin

Screencasts de demostración del software CRM

Bienvenido a la página de demostración del software CRM de SearchCRM.com. Esta página fue diseñada para ayudarlo a tener una idea de la apariencia de varias aplicaciones de software CRM a través de presentaciones de

¿Qué es el identificador de proveedor nacional (NPI)?

Un identificador de proveedor nacional (NPI) es un número de identificación único de diez dígitos requerido por HIPAA para los proveedores de atención médica cubiertos en los Estados Unidos. Los proveedores cubiertos, los planes de

Cuándo admitir la tecnología de GPU virtual

La mayoría de los usuarios actualmente no necesitan potencia de GPU virtual para aumentar el rendimiento de sus escritorios virtuales (es un lujo), pero a medida que las organizaciones cambien a nuevos sistemas operativos y

¿Qué es una piña Wi-Fi?

Una piña Wi-Fi es una plataforma de auditoría inalámbrica de Hak5 que permite a los administradores de seguridad de la red realizar pruebas de penetración. Las pruebas de penetración son un tipo de piratería ética

Funciones agregadas en SQL Server 2005

¿Existe una concatenación de cadenas o una lista agregada en SQL Server 2005? Una pregunta muy común en los foros de Microsoft SQL Server es si SQL Server 2005 tiene algún tipo de agregado que

¿Qué es el modelo de marketing de AIDA?

El modelo de marketing de AIDA es una metodología de enfoque de marketing, publicidad y ventas diseñada para proporcionar información sobre la mente del cliente y representar los pasos necesarios para cultivar clientes potenciales y

Contáctenos – SearchCustomerExperience

Envíanos tus comentarios SearchCustomerExperience agradece sus comentarios. Nuestro objetivo es crear el mejor sitio web específico para la experiencia del cliente. Una forma de hacerlo es escuchando sus comentarios. Intentaremos abordar todos los comentarios caso

En BI, el tiempo es fundamental

En la física popular, el tiempo es la cuarta dimensión. En el mundo de la informática empresarial, es más como una presencia invisible. Los sistemas de negocios operan principalmente en una especie de tiempo presente

Cómo maximizar el rendimiento de la WLAN

Cuando las LAN inalámbricas (WLAN) estuvieron disponibles por primera vez a principios de la década de 1990, las aplicaciones principales fueron las soluciones de códigos de barras inalámbricas para necesidades como el control de inventario

Pila de Azure

Extienda los servicios y las capacidades de Azure al entorno que elija, desde el centro de datos hasta las ubicaciones de borde y las oficinas remotas, con Azure Stack. Cree, implemente y ejecute aplicaciones de

¿Qué es Health Alert Network?

Health Alert Network (HAN) es el sistema de alerta temprana administrado por el Centro para el Control de Enfermedades (CDC). Es un componente de la Red de información de salud pública (PHIN). El sistema de

Desarrolle su seguridad SDDC con 3 componentes

La implementación de un centro de datos definido por software puede conducir a una administración de recursos flexible y al aprovisionamiento de aplicaciones, pero también puede complicar la seguridad de la información de su organización.

¿Pueden los socios de canal ganar dinero?

A medida que la nube y el software como servicio se vuelven más comunes y las empresas se interesan más en las tecnologías de la nube, la curiosidad por los mercados en la nube (piense

Deja un comentario