Krypton Solid

Krypton Solid
Krypton Solid

La última tecnología en raciones de 5 minutos

Preguntas frecuentes sobre auditorías de cumplimiento en TI

Cumplir con el creciente número de regulaciones ha hecho que el aprovechamiento de la TI sea esencial. Eso es particularmente cierto …

en la automatización de procesos para manejar la información en posesión de una organización.

A medida que crecen los requisitos, los sistemas que facilitan el cumplimiento y demuestran a un auditor de cumplimiento que se han cumplido los estándares de seguridad y protección de datos son un área cada vez más crítica de las operaciones de TI. Obtenga más información en estas preguntas frecuentes.

¿Qué es una auditoría de cumplimiento?

Según Krypton Solid, una auditoría de cumplimiento es una «revisión integral del cumplimiento de una organización con las pautas regulatorias». Los informes de auditoría de cumplimiento generalmente examinan los sistemas internos, como los controles de acceso de los usuarios y las políticas de seguridad, para probar si la organización está cumpliendo con sus obligaciones regulatorias. La mayoría de las revisiones son realizadas por partes externas independientes, como auditores gubernamentales o consultores con experiencia en TI. Se solicita a las organizaciones que demuestren que cuentan con políticas y procedimientos para lograr el cumplimiento. Algunas regulaciones, como la Ley Sarbanes-Oxley, también requieren que los auditores internos aseguren que los sistemas de control interno sean efectivos.

Algunas organizaciones también optan por implementar procesos de auditoría interna para probar los procedimientos de cumplimiento e identificar posibles infracciones y tomar medidas correctivas antes de que los reguladores realicen sus revisiones oficiales.

¿En qué se diferencian las auditorías de cumplimiento?

No todas las auditorías son iguales. Por ejemplo, una auditoría de cumplimiento de software será muy diferente a una auditoría financiera de los resultados trimestrales de una empresa pública. Tanto las auditorías de cumplimiento como las financieras implican revisiones de los sistemas de control interno por parte de partes independientes, pero el alcance y el tema de las revisiones difieren. Una lista de verificación de auditoría financiera se centra principalmente en los controles relacionados con los sistemas de informes financieros y contables para determinar si los estados financieros resultantes son precisos, justos y completos. Una auditoría de cumplimiento examina los sistemas internos y los controles de TI de una organización de manera más amplia para probar si se está cumpliendo un conjunto particular de requisitos regulatorios.

¿Qué regulaciones requieren auditorías de cumplimiento?

Hasta hace poco, el concepto de auditoría de cumplimiento evocaba típicamente la Ley Sarbanes-Oxley (SOX) de 2002. Con el título oficial de Ley de Protección al Inversionista y Reforma Contable de Empresas Públicas de EE. UU., SOX pertenece a todas las empresas que cotizan en bolsa. Sin embargo, un creciente cuerpo de leyes federales requiere auditorías de los sistemas de control interno para garantizar el cumplimiento de las regulaciones. Algunas leyes son específicas de la industria, como la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA) o la Ley Gramm-Leach-Bliley (GLBA), oficialmente titulada Ley de Modernización Financiera. Además, existen estándares establecidos por la industria que imponen requisitos de auditoría, como una auditoría de cumplimiento de PCI exigida por el Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS).

CONTENIDO RELACIONADO  La tendencia de atención remota destaca la seguridad de IoT en la atención médica

Las auditorías de cumplimiento se realizan de diferentes formas dependiendo de las regulaciones que se apliquen. La gran mayoría involucrará una evaluación de los sistemas de TI porque dichos sistemas se han convertido en parte integral de los procesos de cumplimiento. Los auditores generalmente se reúnen con los CIO, CTO y gerentes de TI para discutir cómo se protegen estos sistemas y quién tiene acceso a ellos. Los auditores también solicitan documentos que demuestren que una organización cumple con sus requisitos reglamentarios.

Sarbanes-Oxley: Una auditoría de cumplimiento que evalúa la conformidad con la Ley Sarbanes-Oxley requiere que una empresa explique el proceso mediante el cual generó las cifras en sus estados financieros y cómo se pueden validar esos números. Los procesos de informes financieros en las empresas públicas generalmente se basan en sistemas de TI. Como resultado, los controles para esos sistemas de TI estarán en el centro de una evaluación del cumplimiento de SOX. La ley requiere informes sobre qué tan efectivos son los controles y procedimientos para la presentación de informes financieros, lo que significa que las empresas deben documentar y poder demostrar cómo se aseguran los procesos y qué tan bien funcionan. Los sistemas no financieros, así como los sistemas financieros, pueden evaluarse en una auditoría de cumplimiento.

Obtenga más información en estas preguntas frecuentes de SOX.

PCI DSS: Los desafíos asociados con el cumplimiento y las auditorías de PCI son bastante diferentes de los asociados con la Ley Sarbanes-Oxley. PCI DSS establece medidas de cumplimiento muy específicas, dejando poco espacio para diferentes interpretaciones. El autor Greg Nolann señaló las dificultades que una organización puede enfrentar para abordar ambos tipos de desafíos de cumplimiento en «Buscando el nirvana de cumplimiento», un artículo para la Asociación de Maquinaria de Computación. «SOX y PCI abordan objetivos similares, pero adoptan enfoques que están separados 180 grados», escribió. «SOX no especifica un estándar; en su lugar, dice usar alguna otra metodología establecida o conjunto de prácticas. PCI, por otro lado, especifica exactamente lo que debe hacer, quién puede hacerlo, dónde se aplica y cómo determinar si cumple «.

CONTENIDO RELACIONADO  Qué esperar cuando espera valor de IoT

Obtenga más información en estas preguntas frecuentes sobre PCI DSS.

HIPAA: Los proveedores de atención médica que almacenan o transmiten registros médicos electrónicos están sujetos a los requisitos de HIPAA. El Centro de Servicios de Medicare y Medicaid, una división del Departamento de Salud y Servicios Humanos (HHS) de los EE. UU., Proporciona una lista de verificación de los tipos de información que solicita un auditor de las regulaciones de HIPAA. Los expertos recomiendan que una organización averigüe qué elementos de la lista de verificación se han abordado y luego prepare una declaración que explique por qué se implementaron o no para prepararse para una auditoría de cumplimiento de HIPAA. También es importante que ponga a disposición para su revisión una política escrita para la gestión y retención de registros y que tenga la capacitación del personal actualizada.

Obtenga más información en estas preguntas frecuentes de HIPAA.

¿Quién realiza las auditorías de cumplimiento?

Los auditores de cumplimiento son generalmente contratistas o auditores gubernamentales, por lo que existe una certificación de terceros independiente para garantizar que las organizaciones eviten las violaciones de los estándares de auditoría. Algunas regulaciones, sin embargo, requieren auditorías tanto internas como externas. Bajo la Ley Sarbanes-Oxley, por ejemplo, los auditores internos aseguran que los sistemas de control interno sean efectivos. Las regulaciones establecidas por la industria también pueden requerir auditorías internas. Según PCI DSS, la mayoría de los comerciantes deben traer un asesor de seguridad calificado externo para una auditoría de cumplimiento. En un conjunto particular de circunstancias, algunos comerciantes pueden utilizar un auditor interno en su lugar.

En ocasiones, las auditorías internas se llevan a cabo como preparación para las auditorías de cumplimiento externas. Es importante asegurarse de que las políticas y prácticas estén actualizadas, aplicadas y documentadas. Dado que las organizaciones deben estar preparadas para entregar los documentos a solicitud de los auditores, deben almacenarse en formatos que no se puedan borrar ni escribir y ubicarse en un lugar donde se pueda acceder a ellos fácilmente y recuperarlos rápidamente.

Los administradores de TI pueden prepararse para las auditorías implementando herramientas de administración de información, como administradores de registros de eventos y programas de administración de cambios, para facilitar el seguimiento y documentación de los controles internos y demostrar el cumplimiento a los auditores.

Prepararse para una auditoría SOX puede llevar cientos de horas. La preparación requiere revisar la información sobre los controles internos de los datos financieros, como la seguridad, la implementación, la recuperación ante desastres y la gestión de cambios, y verificar los controles y los datos.

CONTENIDO RELACIONADO  Principales razones por las que los proveedores optan por la ruta de reemplazo de EHR

¿Cuál es el papel de TI en una auditoría de cumplimiento?

Después de la introducción de numerosas leyes estatales de protección y violación de datos, una responsabilidad central de TI ahora es proteger los datos confidenciales dentro de una organización. Esta responsabilidad incluye realizar un seguimiento de quién puede acceder a los datos y cómo. Dado que los sistemas de TI son parte integral de los informes financieros y otros requisitos reglamentarios, una evaluación de los controles internos del sistema de TI también es fundamental para un proceso de auditoría de cumplimiento. Esto se aplica no solo a las auditorías de cumplimiento que involucran la Ley Sarbanes-Oxley, sino también a la Ley Gramm-Leach-Bliley, HIPAA, regulaciones del HHS y más.

Los marcos de cumplimiento efectivos deben estar respaldados por sistemas de TI que se adapten a una organización en particular y las regulaciones relevantes. La gestión de documentos, el software de gestión de registros de eventos, el software de gestión de cambios y otras herramientas pueden ayudar a lograr el cumplimiento de las regulaciones y facilitar las auditorías de cumplimiento.

Los profesionales de TI de una organización ahora trabajan en estrecha colaboración con otros lados del negocio, como finanzas, auditoría legal y interna, para cumplir con los objetivos de cumplimiento. Los profesionales de TI también deben colaborar con estos departamentos en la preparación para una validación de cumplimiento y luego ayudar durante el proceso de auditoría.

¿Cuáles son las sanciones por incumplimiento?

El incumplimiento de las obligaciones reglamentarias, que incluyen auditorías de cumplimiento, puede resultar en multas y penas de prisión, según el área de incumplimiento. Bajo la Ley Sarbanes-Oxley, por ejemplo, la destrucción de correo electrónico relevante puede resultar en multas de hasta $ 5 millones y 20 años de prisión. El incumplimiento de la GLBA puede resultar en cinco años de prisión, así como multas.

Las regulaciones establecidas por los organismos de la industria, como la Bolsa de Valores de Nueva York o el Consejo de Normas de Seguridad de PCI, no incluyen el encarcelamiento por incumplimiento, pero imponen multas.

Para obtener más información sobre las multas específicas de la regulación, revise nuestras recientes secciones de preguntas frecuentes sobre sanciones HIPAA, sanciones HITECH, sanciones PCI DSS y sanciones SOX.

Háganos saber lo que piensa sobre la historia; Email [email protected].

¡Haz clic para puntuar esta entrada!
(Votos: Promedio: )

También te puede interesar...

Guía de licencias de escritorio virtual de Microsoft

Las reglas de licencia de Microsoft son notoriamente difíciles de entender, particularmente cuando se habla de virtual… entornos de escritorio. Existen diferentes reglas para ejecutar Windows en un escritorio virtual que en una PC física,

3D suave, vSGA y vDGA

Los avances técnicos recientes en el hardware de la unidad de procesamiento gráfico (GPU) han creado un mayor interés en la virtualización de programas con uso intensivo de gráficos. Con Soft 3D, vSGA y vDGA,

Se necesita más que dinero

WavebreakmediaMicro – Fotolia ¿Cómo puede mantener felices y productivos a los ingenieros de software? La clave está en comprender cómo piensan y qué esperan desde una perspectiva cultural. Los ingenieros que han adoptado la mentalidad

Elija la plataforma ERP adecuada para su PYME

¡Gracias por unirte! Accede a tu Pro + Contenido a continuación. Noviembre de 2015 Grandes decisiones: elija la plataforma ERP adecuada para su pyme ERP, por su propio nombre, está dirigido más a los grandes.

¿Qué son los servicios empresariales?

Servicios empresariales es un término general que describe el trabajo que respalda una empresa pero que no produce un bien tangible. La tecnología de la información (TI) es un servicio comercial importante que respalda muchos

VMware mejora NSX-T 3.0 para facilitar las redes

VMware lanzó la versión 3 de NSX-T este año. Las principales funciones nuevas de esta versión incluyen nuevas herramientas de administrador, alarmas y funciones de seguridad y dos nuevas funciones llamadas VRF Lite y Federation.

¿Puedo acceder al portapapeles en PowerShell 5.0?

Ha sido posible interactuar con el portapapeles de Windows desde PowerShell durante bastante tiempo, pero Microsoft facilitó mucho el proceso en PowerShell 5.0. En PowerShell 4.0, la forma más fácil de interactuar con el portapapeles

Resolución de problemas del proceso ALE

Introducción:Este consejo se centrará en resolución de problemas de procesos ALE. Cubre las siguientes matrices: Cómo determinar qué código está ejecutando el IDoc Saliente Entrante Resolución de errores de alto nivel para IDOCs salientes /

Los desafíos de un centro de contacto global

recibir capacitación en múltiples líneas de productos o atender a clientes en una variedad de países. Enrutar las llamadas al agente adecuado con la disponibilidad y las habilidades para manejar la llamada se convierte en

Win10 AU se acerca al estado de mayoría

Paul Thurrott informa esta mañana que la Actualización de aniversario de Windows 10 (AU) ahora se está ejecutando en una mayoría considerable para los usuarios activos de la última versión insignia. De hecho, Win10 AU

¿Qué es Red Hat Enterprise Linux (RHEL)?

Red Hat Enterprise Linux (RHEL) es una distribución del sistema operativo Linux desarrollada para el mercado empresarial. RHEL se conocía anteriormente como Red Hat Linux Advanced Server. RHEL se basa en un código fuente abierto

Los cinco mejores consejos de Snort

Nuestra serie de consejos Snort Report ayuda a los revendedores e integradores de sistemas de valor agregado a solucionar problemas y configurar el sistema de detección de intrusiones de código abierto en las redes de

Splunk impulsa la iniciativa Data-to-Everything

Splunk avanzó en su plataforma Data-to-Everything con lanzamientos de productos y una nueva adquisición. Los desarrollos se produjeron cuando el proveedor de operaciones de ciberseguridad y TI organizó su anual.conf19 conferencia de usuarios en Las

Más energía para vSphere 6 Web Client optimizado

La pesadilla de muchos administradores encargados de administrar un entorno de VMware también es el portal que utilizan para acceder a vCenter Server para manejar las instalaciones y trabajar con objetos de inventario. vSphere Web

Consolide servidores con estas mejoras de rendimiento

La virtualización ayudó a consolidar drásticamente los servidores, ya que las organizaciones pusieron en marcha máquinas virtuales en lugar de comprar hardware adicional. La próxima ola de consolidación provino de los avances en el rendimiento

Deja un comentario