Artículo publicado en la Edición 22 de la Revista Digital ElderechoInformatico.com
El alcance del largo brazo de la ley
La problemática actual ¿No es la problemática de siempre?
Autor: Fabian Descalzo
Los riesgos siempre existieron, pero la forma en la cual se materializan fue cambiando en relación al avance de la tecnología. Hay una premisa básica que marca nuestra actualidad, necesito conocer más y cuanto más rápido procese lo que conozco, mejor. Nuestra necesidad de “velocidad” con la información fue creciendo de forma tal que nos ha creado una nueva dolencia que podríamos llamar “ansiedad de información”, que se traduce en la necesidad de resultados inmediatos. Pero lo que olvidamos es que la información que utilizamos debe proveernos resultados de calidad, para no arriesgar nuestra imagen pública, nuestra economía y hasta la exposición de nuestros clientes, proveedores y colaboradores, dependiendo sobre todo del tipo de industria en la que participa nuestra organización.
Siempre existieron datos confidenciales, siempre existieron secretos industriales que no debían ser conocidos por la competencia, siempre existieron datos de filiación y sensibles de salud relacionados con las personas, siempre existió información que debió protegerse de alguna forma que no fuera expuesta en su confidencialidad e integridad. Lo que en realidad fue cambiando fue la visión y mecanismos de cómo usar esta información para obtener réditos mediante actividades delictivas, cada vez más complejas de combatir debido a la inventiva y avances tecnológicos utilizados por delincuentes y defraudadores.
Este avance delictivo fue combatido desde siempre a partir de pautas provenientes y estipuladas desde los ámbitos legales, y respaldadas para su cumplimiento por quienes aplican lo reglamentado para el cumplimiento de la ley. Tengamos en cuenta que en el entorno empresario la “ansiedad de información” puede traducirse en la madre de todos los riesgos que puede exponerlo a las prácticas delictivas del momento o a sus propios errores traducidos en malas prácticas de directivos, empleados o terceros que utilizan, procesan o transmiten la información erróneamente.
¿Cómo entonces entender las necesidades de “cumplir con la ley” en los diferentes ámbitos de una organización? Los avances tecnológicos y la creatividad delictiva fueron fomentando, de una forma u otra, la necesidad de establecer pautas de comportamiento reflejadas tanto en leyes promulgadas desde los gobiernos (como las leyes Sarbanes-Oxley, HIPAA, de protección de datos personales, de firma digital) como en estándares de mercado (como las certificables Normas ISO, PCI-DSS, normativas bancarias). El primer entendimiento para saber qué cumplir es el de conocer aquello que nos regula y lo que nos da un aporte de seguridad y calidad a los objetivos de nuestra organización.
Las necesidades de cumplimiento, que conllevan un valor agregado hacia la protección de nuestro negocio, se establecen tanto en ámbitos estratégicos como operativos sean éstos tecnológicos o no. La “Open Compliance and Ethics Group” (OCEG) define GRC (Gobierno, Riesgo y Cumplimiento) como un sistema de personas, procesos y tecnología que permite a una organización:
- Entender y priorizar las expectativas de los interesados
- Establecer objetivos de negocio congruentes con los valores y riesgos
- Cumplir objetivos a la vez que se optimizan los perfiles de riesgo y se protegen los valores.
- Operar dentro de los límites legales, contractuales, sociales y éticos.
- Proveer información relevante, confiable y oportuna a los participantes.
- Poner en funcionamiento un sistema de medición de desempeño y eficacia.
Teniendo en cuenta esta definición, entonces no solo entenderemos lo que debemos cumplir si no también que debemos extender esta necesidad en cada una de las decisiones y operaciones de la organización. Los requisitos de control sobre la gestión de las compañías deben establecerse en cada uno de sus diferentes ámbitos productivos, ya que esta forma es la que nos permitirá asegurar que cada proceso funcional o tecnológico responde a los objetivos estratégicos establecidos por la Dirección.
El “largo brazo de la ley” se traduce en sectores asociados con el control y el cumplimiento que llega a diferentes áreas dentro de las empresas, y particularmente en la realidad que nos toca deben estar tecnológicamente mucho más preparados para proteger cada proceso de negocio. Dentro de las organizaciones podemos ver sectores de Cumplimiento (Compliance) que pueden estar asociados a un proceso de negocio en particular o bien a revisar procesos tecnológicos (Compliance de IT) en concordancia con actividades desarrolladas por los sectores de Auditoría Interna y Riesgos Operacionales.
Formalizar estos sectores dentro de la estructura de una organización es la forma de cristalizar el entendimiento sobre el concepto de “cumplir con la ley”, lo que no quiere decir que los mismos crean que su objetivo es cumplir con un rol de “policía”. Su principal virtud es y debe ser siempre la de guiar a las organizaciones como un valor agregado a sus actividades de control, mediante la práctica de recomendaciones orientadas al cumplimiento. Uno de los factores más importantes a tener en cuenta es que estos sectores deben ser para la organización un medio para el entendimiento de aquello que deban cumplir.
Antiguamente la información que describimos al principio de este artículo se contenía en papeles que guardábamos en cajones o cajas fuertes dependiendo de su importancia, o sea que ya clasificábamos que guardar y en donde, y a su vez definíamos a quien darle acceso a esa información. Actualmente, la cantidad de información que utilizamos y la necesidad de procesarla, nos ha llevado a ampliar nuestros medios a nuevas tecnologías las que nos han ido dejando desprotegidos en la medida que avanzábamos en el tiempo.
La problemática actual es la problemática de siempre, pero en la medida en que el mundo avanzó y se globalizó, hemos necesitado protegernos con políticas comprensibles y claras acorde a la actualidad y los nuevos riesgos, ya que las responsabilidades de cumplimiento de cualquier organización con la comunidad y con sus accionistas también es la de siempre, sumado a esto la necesidad de cumplir con los estándares adoptados estratégicamente para una mejora en sus réditos a través de procesos certificados. Cumplimiento no sólo significa abarcar lo normativo y regulatorio sobre lo cual podemos ser penalizados, también deben contemplarse las mejores prácticas de la industria en la cual participemos con nuestras actividades de negocio.
Las exigencias internas y externas de un alto rendimiento y transparencia en las operaciones comerciales, los cambios rápidos y la variedad de información, las nuevas regulaciones, decisiones de negocio, y las tecnologías en evolución que abruman a las organizaciones hacen que su mejor respuesta sea alinear a todas sus áreas con las actividades necesarias de cumplimiento, para que las mismas se vean protegidas de la “ansiedad de información” y puedan convertir este “tratamiento” en un medio para mejorar la calidad de sus procesos y hacer sus negocios más redituables.
Fabián Descalzo
Gerente de Governance, Risk & Compliance
Cybsec S.A. – Security Systems
Gerente de Servicios y Soluciones en el área de Gobierno, Riesgo y Cumplimiento (GRC) en Cybsec Security Systems S.A., con amplia experiencia en la implementación y cumplimiento de Leyes y Normativas Nacionales e Internacionales en compañías de primer nivel de diferentes áreas de negocio en la optimización y cumplimiento de la seguridad en sistemas de información, Gobierno de TI y Gobierno de Seguridad de la Información.
Miembro del Comité Científico ARGENCON del IEEE (Institute of Electrical and Electronics Engineers) y miembro del Comité Organizador CYBER 2015 de ADACSI/ISACA, certificado en Dirección de Seguridad de la Información (Universidad CAECE), instructor certificado ITIL Fundation v3-2011 (EXIN) y auditor ISO 20000 (LSQA-Latu).
Columnista especializado en áreas de Gobierno, Seguridad y Auditoría, Informática en Salud y Compliance en las revistas CISALUD, PERCEPCIONES (ISACA Montevideo Chapter), El Derecho Informático, CXO-Community y MAGAZCITUM; y disertante para CXO-COMMUNITY, Consejo Profesional de Ciencias Informáticas, ISACA Buenos Aires Chapter, ISACA Montevideo Chapter.
Profesor del módulo 27001 del curso de IT Governance, Uso eficiente de Frameworks y la Diplomatura en Gobierno y Gestión de Servicios de IT del Instituto Tecnológico Buenos Aires (ITBA)
No se han encontrado comentarios