Krypton Solid

Krypton Solid
Krypton Solid

La última tecnología en raciones de 5 minutos

Por qué puede que no sea ideal que su abogado sea su oficial de cumplimiento

¿Quién está a cargo del cumplimiento en su organización? ¿Es su asesor legal interno? Si es así, no estás solo. Muchas empresas, especialmente en empresas más grandes, tienden a tener un abogado a cargo del cumplimiento.

En mi opinión, puede que no sea la persona ideal para dirigir el programa. Entiendo que no hacemos negocios en un mundo ideal, y es probable que nunca tenga a la persona «perfecta» como oficial de cumplimiento. Dicho esto, los líderes empresariales deben ser inteligentes sobre a quién ponen a cargo del cumplimiento. Con los costos astronómicos asociados con el cumplimiento, tienen que serlo.

Kevin Beaver
Kevin Beaver

Esto me lleva a mis pensamientos sobre abogados y cumplimiento. Primero, déjeme ser claro: tengo el mayor respeto por los abogados, tanto en lo que se necesita para tener éxito en el campo legal como en cómo su experiencia a nivel ejecutivo es integral para administrar un negocio. Trabajo muy de cerca con abogados como testigo experto y con bastante frecuencia en mi trabajo de consultoría. También tengo amigos que son excelentes abogados corporativos. El problema que veo en mi trabajo y en la industria en general es que los abogados están a cargo del cumplimiento de principio a fin cuando a menudo no son la mejor persona para el trabajo.

El cumplimiento es un tema comercial muy complejo, con componentes que incluyen operaciones de TI, administración de seguridad de la información, administración de privacidad, auditoría externa e interna, supervisión contractual y regulatoria, etc.

Muchos abogados en posiciones de oficiales de cumplimiento se enfocan en los componentes legales y regulatorios del cumplimiento y nada más. Quieren saber simplemente: «¿Cumplimos?» para transmitir ese mensaje a la gerencia. En muchas situaciones, crean documentación de clasificación de datos, revisan las políticas de seguridad y se aseguran de que los auditores internos mantengan bajo control los controles de TI, pero ahí termina. A veces se pasan por alto las evaluaciones de riesgos de la información, la gestión de vulnerabilidades, la respuesta a incidentes, la recuperación ante desastres, los controles de acceso y el cifrado de datos en tránsito y en reposo, todos los cuales son componentes clave del cumplimiento legal y normativo. Las brechas en la cobertura de cumplimiento son uno de los principales factores que contribuyen al problema de la violación de datos que crece día a día.

CONTENIDO RELACIONADO  ¿Qué es una YubiKey? Definición de Krypton Solid

No me malinterpretes: tampoco creo que sea ideal tener un administrador de red o un gerente de seguridad de la información como oficial de cumplimiento. Muchas personas que entran en esta categoría también ven el cumplimiento con sus anteojeras. A menudo ven el cumplimiento simplemente como un problema técnico: parchear, realizar análisis de seguridad, garantizar que los servidores y las aplicaciones estén disponibles, etc.

Tampoco es ideal tener un director comercial general o un auditor que no tenga conocimientos técnicos a cargo del cumplimiento. Estas personas pueden comprender las políticas y los controles y, a menudo, son buenas con la educación del usuario, pero existe un gran componente técnico que puede pasarse por alto.

La realidad es que muchos gerentes de cumplimiento (abogados, personal de TI, lo que sea) están perdiendo el camino con el cumplimiento. No puedo decirles cuántas veces he visto empresas con «gerentes de cumplimiento» que estaban completamente al margen de la notificación de violación de datos estatales, PCI DSS e incluso el trabajo de evaluación de seguridad de la información que puedo estar realizando para sus negocios.

La realidad es que la mayoría de los abogados son muy buenos en lo que hacen, pero no necesariamente son expertos en seguridad y privacidad de la información. Del mismo modo, los expertos en seguridad de la información suelen ser muy buenos en lo que hacen, pero a menudo no comprenden el aspecto regulatorio y legal del negocio. Tenemos que encontrar un equilibrio. Vale la pena tener un comité de gobernanza / cumplimiento con varios actores clave a bordo y que toman decisiones. Tiene que haber una persona a cargo de la gestión del cumplimiento, pero debe ser una persona con las herramientas y la sabiduría adecuadas.

CONTENIDO RELACIONADO  Ahora, ¿el mejor cliente ligero barato?

Creo que el oficial de cumplimiento debe ser alguien con experiencia técnica que comprenda el valor de un marco de control sólido, una sólida documentación relacionada con la seguridad y la privacidad; se comunica bien con la administración y los usuarios; y está ansioso por mantenerse al tanto del panorama de cumplimiento. Puede parecer demasiado ideal para encontrarlo en un empleado, pero sé que estas personas existen. Tengo un buen amigo que encaja en este molde y también conozco a otros como este, así que sé que están ahí fuera. Es realmente una cuestión de comprender las necesidades generales de cumplimiento de su negocio y los conjuntos de habilidades requeridos.

Líderes empresariales del mundo, piensen bien en esto. Concéntrese en minimizar su inversión en cumplimiento mientras maximiza su efectividad, en lugar de ser una empresa más que contribuya al desequilibrio de cumplimiento. Encuentre a la persona adecuada, independientemente del título o licencia profesional que posea.

Kevin Beaver es consultor de seguridad de la información, testigo experto, líder de seminarios y orador principal en Principle Logic LLC, con sede en Atlanta. Se puede contactar a Beaver en [email protected].

¡Haz clic para puntuar esta entrada!
(Votos: Promedio: )

También te puede interesar...

Leer un plan de ejecución de consultas de SQL Server

Como sin duda sabrá, uno de los trabajos más importantes de SQL Server en términos del trabajo diario es analizar las consultas enviadas al servidor y averiguar cómo ejecutarlas. ¿Qué índices se utilizarán? ¿Qué tablas

¿Qué es un módulo de finanzas ERP?

El módulo de finanzas ERP es el componente de software que maneja las principales funciones de gestión contable y financiera de un sistema de planificación de recursos empresariales. Contiene registros contables estándar, como el libro

Cómo se comparan Hadoop y MapReduce

Escucho mucho sobre Hadoop y MapReduce, pero todavía no tengo claro cómo se relacionan entre sí esas dos tecnologías de bases de datos emergentes. ¿Puedes aclarar? Hadoop es un marco para la informática y los

Cómo elegir el hipervisor VMware tipo 2 correcto

Nota del editor La virtualización de tipo 2 sigue evolucionando para mantenerse al día a medida que se amplían los roles de TI y maduran las tecnologías de vanguardia. VMware tiene varias de estas herramientas

¿Qué es la basura electrónica? – Definición de Krypton Solid

Los desechos electrónicos son cualquier desperdicio creado por dispositivos y componentes electrónicos desechados, así como sustancias involucradas en su fabricación o uso. La eliminación de productos electrónicos es un problema creciente porque los equipos electrónicos

CRM AI es el tema principal de PegaWorld 2017

Escuche este podcast Los clientes de grandes empresas demuestran usos novedosos de la plataforma CRM de Pegasystems para la gestión de procesos comerciales mientras los usuarios de Pega, líderes de Pega, reflexionan sobre el potencial

El canal debe educar a los clientes de EE. UU.

Con el lanzamiento del Reglamento general de protección de datos dentro de un año, los socios de canal tienen la oportunidad de ayudar a las organizaciones estadounidenses a prepararse para el cumplimiento. Programado para entrar

¿Qué es COLD (salida de computadora a disco láser)?

COLD (Salida de computadora a disco láser) es un sistema para archivar datos como registros e informes comerciales en uno o más discos ópticos en un formato comprimido pero fácilmente recuperable. Los sistemas COLD hacen

Hasura Cloud lanza la plataforma GraphQL-as-a-service

El jueves, Hasura puso a disposición general su servicio Hasura Cloud GraphQL, con capacidades de federación y seguridad para permitir que las organizaciones se conecten y consulten diferentes fuentes de datos. GraphQL es un lenguaje

Introducción al modelado de amenazas de aplicaciones web

Para los adversarios, analizar las aplicaciones web empresariales se ha convertido en algo natural. A menudo conocen las debilidades de varios tipos de aplicaciones web mejor que las empresas que intentan protegerlas. Según Tony UcedaVelez,

¿Cómo se mejora la escalabilidad del almacenamiento?

El almacenamiento puede imponer limitaciones significativas a la escalabilidad porque las máquinas virtuales dependen del almacenamiento para muchas funciones esenciales. Considere los límites de la escalabilidad del almacenamiento en su entorno antes de escalar y

Cómo una migración de VDI cambió mi vida

Ahora que he completado mi transición del escritorio físico al virtual, quiero echar un vistazo al proceso y reflexionar sobre cómo VDI afectó mi vida, además de lo que habría hecho de otra manera. En

El HHS publica una guía sobre prácticas de ciberseguridad

El Departamento de Salud y Servicios Humanos publicó una guía de prácticas de ciberseguridad con el objetivo de reducir el creciente riesgo de ciberataques. Las recomendaciones son solo eso: sugerencias que deben instituirse voluntariamente. “Prácticas

HPE presenta Nimble dHCI, InfoSight en SimpliVity HCI

LAS VEGAS — Hewlett Packard Enterprise está ampliando la tecnología Nimble Storage hacia la hiperconvergencia. HPE planea llevar el análisis predictivo InfoSight de Nimble a su plataforma de infraestructura hiperconvergente (HCI) SimpliVity en agosto y

¿Qué es OpenStack Block Storage (Cinder)?

OpenStack Block Storage (Cinder) es un software de código abierto diseñado para crear y administrar un servicio que proporciona almacenamiento de datos persistente a aplicaciones de computación en la nube. Cinder es el nombre en

¿Qué es BranchCache de Microsoft Windows?

Microsoft BranchCache es una tecnología destinada a almacenar en caché datos centrales en oficinas remotas o sucursales con el fin de reducir el tráfico de red y optimizar la utilización de la red de área

¿Qué es SAP NetWeaver? – Definición de Krypton Solid

SAP NetWeaver es una plataforma tecnológica que permite a las organizaciones integrar datos, procesos comerciales, elementos y más de una variedad de fuentes en entornos SAP unificados. SAP NetWeaver constituye la base técnica para una

Deja un comentario