Krypton Solid

Krypton Solid
Krypton Solid

La última tecnología en raciones de 5 minutos

Mantener el cumplimiento en un mundo en constante cambio

El otoño está cerca y el fin de año no está lejos, una época de hojas coloridas, temperaturas refrescantes, pensamientos navideños …

y auditores de Sarbanes-Oxley (SOX). Así es, la ‘temporada de auditorías’ está sobre nosotros. Espero que haya actualizado y mejorado sus controles, porque lo que estuvo «bien» el año pasado puede que no lo esté este año. ¿Porque preguntas? Tres cosas: cambio, los auditores esperan mejoras y más cambios.

Cuando Sarbanes-Oxley se topó con nosotros, el gran desafío era ‘cumplir’. Bueno, la mayoría de nosotros sobrevivimos a las rondas iniciales y actualizamos, implementamos y documentamos nuestros diversos procesos de control. Ahora, el verdadero desafío es cómo mantener el cumplimiento y mejorarlo. El entorno empresarial actual presenta desafíos y limitaciones para nuestros procesos de cumplimiento:

  • Los límites tecnológicos y comerciales cambian y se expanden constantemente.
  • La nueva tecnología trae nuevos riesgos, nuevos procesos y, por lo tanto, nuevos problemas de cumplimiento.
  • Las empresas aún necesitan flexibilidad para seguir siendo competitivas: los procesos de control rígidos pueden obstaculizar la flexibilidad y, por lo tanto, perjudicar la capacidad de las empresas para operar de manera eficaz.

Sin un proceso definido para mantener y mantener los controles actualizados, encontrará que muchos de sus controles pronto estarán «fuera de cumplimiento» debido a los cambios normales en su negocio y entornos de TI.

Mantenerse al día con el cambio: un proceso continuo

Como el cambio es constante, debe tener un proceso para la mejora continua de sus controles y esfuerzos de cumplimiento. Tener un proceso de mejora definido y documentado demostrará una buena ‘diligencia debida’ a sus auditores.

A continuación, se muestran algunos pasos y sugerencias sobre cómo mantenerse al día con los cambios y asegurarse de que sus esfuerzos de cumplimiento no se pierdan en la confusión diaria de cambios.

CONTENIDO RELACIONADO  Jeremy Kadlec - Edgewood Solutions, consultor de SQL Server

1. Monitorear la legislación nueva o potencial y los pronunciamientos regulatorios.
Siempre se están elaborando nuevas leyes y normas reguladoras para la seguridad de la información, la privacidad y otros controles comerciales relacionados. Algunos son refinamientos y nuevas interpretaciones de leyes existentes. Como profesional de la seguridad o el cumplimiento, le corresponde a usted mantenerse al día con las últimas acciones legislativas y reglamentarias, e interpretar las nuevas resoluciones con respecto a cómo pueden afectar a su empresa. A continuación, se ofrecen algunos consejos para mantenerse al día con las regulaciones:

  1. Identifique y suscríbase a servicios que monitorean y alertan sobre nuevas y próximas reglas regulatorias para su industria específica.
  2. Inventario de regulaciones actuales y futuras (potenciales).
  3. Incluya órganos de gobierno locales, estatales, federales e internacionales en su investigación.
  4. Identifique nuevas leyes futuras o potenciales y determine el impacto y el riesgo potenciales para su organización.
  5. Mantener a la gerencia comercial, al Oficial de Cumplimiento y al Asesor Legal actualizados sobre la nueva legislación.

2. Definir requisitos para cumplir con los nuevos requisitos de cumplimiento.
Para la nueva legislación o los requisitos reglamentarios, deberá analizar y determinar los pasos necesarios para que su organización cumpla. A continuación, se indican algunos pasos a seguir:

  1. Realice una evaluación de riesgos y un análisis de deficiencias, si aún no lo ha hecho
  2. Consiga la participación de la gestión empresarial
  3. Identificar los procesos comerciales y de TI afectados
  4. Definir los requisitos comerciales
  5. Cree / actualice políticas que respalden las necesidades de cumplimiento nuevas o modificadas
  6. Definir requisitos técnicos y del sistema.
  7. Implementar cambios

3. Integrar con los procesos de control de cambios
Utilice su proceso de control de cambios para ayudar a garantizar que los controles y el cumplimiento se mantengan a lo largo del tiempo. Modifique sus prácticas de gestión de cambios para incluir una verificación y verificación de los controles y los requisitos de cumplimiento. Cualquier cambio en las aplicaciones y los sistemas debe incluir una revisión y actualización de los procesos de control antes de que se permita la producción. Deben probarse los procesos de control, al igual que otras funciones del sistema. El oficial de seguridad de la información o el gerente de cumplimiento de TI apropiado debe aprobar todos los cambios para garantizar que los controles se aborden y actualicen correctamente y cumplan con los requisitos reglamentarios. Además, para las aplicaciones relacionadas con SOX, los cambios deben programarse y cronometrarse para no causar problemas en las pruebas de controles de auditoría de fin de año o trimestre. Si se implementan nuevos controles demasiado cerca del final de un año, es posible que los auditores no puedan probar la efectividad del control, creando problemas en sus hallazgos de auditoría.

CONTENIDO RELACIONADO  ¿Qué es la autenticación de clave compartida (SKA)?

4. Integrar con el proceso de gestión de proyectos
Modifique su metodología de gestión de proyectos para incluir el cumplimiento de los requisitos reglamentarios como un factor de éxito de entrega para cada proyecto. Esto ayudará a garantizar que todos los sistemas y aplicaciones nuevos cumplan con los requisitos reglamentarios. Al definir los requisitos comerciales y técnicos para un nuevo sistema, incluya la identificación y definición de los requisitos regulatorios y de controles. Estos deben considerarse desde el principio e integrarse en los requisitos y funciones del sistema. Los controles deben probarse junto con otras pruebas funcionales y del sistema. La aprobación final para poner un sistema en producción debe incluir una revisión y aprobación de los procesos de control. Si puede, pídale a su Auditor Interno que revise el diseño de los controles de los nuevos sistemas durante el diseño y antes de la implementación. Si hay problemas, puede resolverlos a un costo menor que tener que rehacer algo después de que el sistema entra en producción y crea un problema de incumplimiento.

Sobre el Autor
Robert Childs es el vicepresidente y oficial de seguridad de la información de First Community Bank, en Albuquerque, Nuevo México. Sarbanes-Oxley, GLBA y otros requisitos de cumplimiento son solo algunos de los problemas regulatorios con los que trabaja todos los días. Childs tiene más de 27 años de experiencia corporativa en puestos gerenciales y de personal, incluidos más de 9 años en seguridad de la información y 11 años en auditoría de TI. Childs es un profesional certificado en seguridad de sistemas de información, un gerente de seguridad de la información certificado y un auditor de sistemas de información certificado. Es presidente de InfraGard New Mexico Members Alliance, una organización sin fines de lucro patrocinada por el FBI con el propósito de compartir información de seguridad sobre infraestructuras críticas entre la industria privada y entidades gubernamentales.

CONTENIDO RELACIONADO  Las herramientas de bajo código satisfacen las necesidades de los clientes de BI
¡Haz clic para puntuar esta entrada!
(Votos: Promedio: )

También te puede interesar...

¿Qué método es mejor para ti?

Si bien es agradable sobre el papel, el contracargo y la devolución presentan desafíos complicados para la virtualización y la nube… centros de datos. Para implementar con éxito estos conceptos, las organizaciones deben evaluar cuidadosamente

¿Qué es la Política del mismo origen (SOP)?

La Política del mismo origen (SOP), también denominada Política de origen único, es una medida de seguridad utilizada en los lenguajes de programación de los navegadores web como JavaScript y Ajax para proteger la confidencialidad

Cómo funciona la estimación ágil

La estimación ágil es una forma precisa y confiable de planificar y lanzar proyectos de software. Y, sin embargo, muchos equipos de software todavía lo entienden mal. Los conocimientos de equipos ágiles que trabajan de

DNC renueva preocupaciones sobre piratería electoral

Escuche este podcast El podcast Risk & Repeat de esta semana analiza las afirmaciones del Comité Nacional Demócrata de que los piratas informáticos rusos intentaron violar su red después de las elecciones de mitad de

¿Qué es el revendedor de mercado directo (DMR)?

Un revendedor de mercado directo (DMR), también conocido como e-tailer, es una empresa que vende directamente a los consumidores en línea sin operar operaciones de escaparate de ningún tipo. En los DMR de empresa a

Decidir entre IaaS y PaaS para microservicios

A medida que más organizaciones se mueven para convertirse en empresas digitales, uno de los primeros pasos que hacen es alejarse de … desde grandes aplicaciones monolíticas hasta aplicaciones basadas en microservicios más pequeñas y

Cómo deben trabajar juntos TI y RR.HH.

La colaboración eficaz es fundamental para el éxito. La capacidad de los equipos para completar proyectos de manera oportuna y efectiva es la diferencia entre ganar y perder en el mercado. Y la colaboración está

Evite que los empleados se enganchen

fabioberti.it – ​​stock.adobe.com Los ataques de phishing son cada vez más sofisticados, complejos y comunes. Según un estudio de Proofpoint de 2020, el 90% de las organizaciones experimentaron ataques de phishing en 2019. Además, el

Consejo de Excel: trucos de control de relleno

Usar el controlador de relleno para extender una serie es una técnica común en Microsoft Excel. Aunque la mayoría de las personas han utilizado el identificador de relleno para completar los nombres de los meses

¿Qué es SAP FICO? Una definición de Krypton Solid

SAP FICO es un componente funcional central importante en SAP ERP Central Component que permite a una organización administrar todos sus datos financieros. SAP FICO permite que una organización almacene una versión completa de sus

Panel de expertos en BI – SearchBusinessAnalytics

El autoservicio de BI necesita una nueva forma de pensar para brindar un verdadero servicio a los usuarios comerciales Para ser realmente útiles para un amplio conjunto de usuarios comerciales, las herramientas de BI de

La anatomía de una aplicación inteligente

El Internet de las cosas, los macrodatos y las tecnologías de aprendizaje automático están dando forma a la próxima generación de aplicaciones empresariales. Estas aplicaciones inteligentes impulsan a las empresas digitales innovadoras al ser: Lo

Decisiones de compra – SearchCustomerExperience | Página 9

Descripción general del sistema de gestión de bases de datos relacionales Oracle Database 12c Oracle Database 12c ofrece un rendimiento sólido para cargas de trabajo de misión crítica, con características y funcionalidad para diversas necesidades

2016: una mirada al año del internet de las cosas

Mientras nos preparamos para despedirnos de otro año calendario, a menudo me preguntan sobre mis pensamientos sobre el año anterior y las predicciones para el próximo. Si bien no me considero un adivino, siempre estoy

VMware Integrated OpenStack 2.0 aumenta la temperatura

VMware Integrated OpenStack es una distribución de OpenStack para aquellos que desean administrar una nube privada sobre una infraestructura de vSphere. En este artículo, aprenderá qué servicios de OpenStack están disponibles en la nueva versión

¿Qué es el servicio híbrido VMware vCloud (vCHS)?

VMware vCloud Hybrid Service (vCHS) es una oferta de infraestructura como servicio (IaaS) basada en el hipervisor VMware vSphere. vCHS presenta tres servicios IaaS: nube dedicada, nube privada virtual y recuperación ante desastres como servicio

Migración en vivo, P2V y más

La migración de máquinas virtuales es uno de los beneficios más importantes de la tecnología de virtualización de servidores. La capacidad de migrar una máquina virtual (VM) de un host físico a otro puede impulsar

Concéntrese en la experiencia del usuario de VDI

Fuente: zenzen/stock.adobe.com Redactor visual: sarah evans Con los cimientos clave establecidos para la virtualización de escritorios, un enfoque final en la experiencia del usuario de VDI es fundamental para cada plan de proyecto de VDI.

El mercado hiperconvergente ofrece infraestructura todo en uno

¡Gracias por unirte! Accede a tu Pro+ Contenido a continuación. noviembre 2015 El mercado hiperconvergente ofrece infraestructura todo en uno Los sistemas de almacenamiento hiperconvergente han dejado su huella como una opción de almacenamiento rentable

¿Qué es la identificación de la vena del dedo?

La identificación de la vena del dedo es un sistema de autenticación biométrica que hace coincidir el patrón vascular en el dedo de una persona con los datos obtenidos previamente. Hitachi desarrolló y patentó un

¿Qué es el centro de datos autónomo y cómo funciona?

A medida que las cargas de trabajo empresariales se vuelven más complejas, también lo hacen las infraestructuras de TI que las respaldan. Muchas organizaciones están adoptando tecnologías, como la automatización, los recursos definidos por software

¿Deberían los MSP comprar seguridad incorporada?

Siempre que Peter Kujawa debe decidir sobre un producto de software de gestión y supervisión remotas (RMM) que tiene un software de seguridad integrado, siempre evalúa las características y la funcionalidad del producto y luego

Superar los desafíos de la fabricación ajustada

El camino hacia una implementación de manufactura esbelta no siempre es fácil. Formar una estrategia de implementación sólida facilitará el viaje. En el extracto del capítulo de este libro, aprenderá a superar los desafíos de

Administrar dispositivos PCI en máquinas virtuales

En una configuración predeterminada, todos los dispositivos PCI (interconexión de componentes periféricos) están disponibles para todas las máquinas virtuales. En algunos casos, esto no debería suceder. Piense, por ejemplo, en dongles que deberían estar disponibles

AdDuplex cuenta una interesante historia de 1809

El Informe AdDuplex de marzo de 2019 ya está disponible, y cuenta una historia interesante y posiblemente deprimente sobre Windows 10 1809. La implementación de 1809 ha sido desigual, por decir lo menos. A medida

Deja un comentario