4 formas de prepararse para auditorías de cumplimiento y seguridad

Una parte importante de la salud y gobierno corporativo es el cumplimiento y la seguridad a prueba de amenazas más rigurosas, no obstante, aún hay muchas empresas que no están preparadas.

"Seguimos viendo a muchas organizaciones que ven el cumplimiento de PCI (Industria de Tarjetas de Pago) como un evento anual único, sin darse cuenta de que el cumplimiento debe ser un enfoque durante los 365 días del año", dijo Rodolphe Simonetti, director gerente de la práctica de PCI en Verizon Enterprise Solutions. Simonetti bien podría estar hablando de cualquier otro tipo de cumplimiento corporativo.

La realidad es que el departamento de TI (al cual finalmente le corresponden la mayoría de estas auditorías de cumplimiento y seguridad, ya que se refieren a sistemas) considera que prepararse para el cumplimiento es tiempo que podría dedicarse a otros proyectos que el departamento considera más importantes. Además, los departamentos de TI suelen tener una cierta "humor negro" con respecto a las auditorías, es decir, los auditores de cumplimiento deben encontrar al menos varios errores cada vez que auditan para "seguir en el negocio".

Por lo tanto, enfrentar una auditoría de seguridad o cumplimiento de TI tiene el mismo atractivo que visitar a su médico para un chequeo físico anual. Las auditorías son temidas y casi siempre se presentan en momentos inoportunos, pero los directores de TI y otros gerentes clave de TI aprenden a vivir con ellas. Esto es lo que hace que la observación de Simonetti sea muy acertada.

Si TI puede encontrar formas de administrar verificaciones de auditoría de sistemas como un proceso continuo que a su vez reduce el impacto de una visita anual de un auditor o examinador, el proceso de revisión de auditoría formal podría ser mucho más fluido y menos intimidante. Lo más importante, estas medidas preventivas pueden mejorar el bienestar corporativo en general en términos de seguridad y cumplimiento. Aquí hay cuatro formas de lograrlo sin dejar de ocuparse de una carga de proyectos de TI.

Índice de Contenido
  1. 1: Enfocar los esfuerzos de cumplimiento en un único punto de control.
  2. 2: Planificar y presupuestar el trabajo de TI en cumplimiento de forma regular cada año.
  3. 3: Realizar auditorías regulares con auditores internos o un equipo externo que sea diferente de sus reguladores.
  4. 4: Preparar su documentación en una carpeta única o en un archivo electrónico antes de la visita de su equipo de auditoría externa y/o regulador de la industria.
  5. Comparta cómo se prepara para las auditorías

1: Enfocar los esfuerzos de cumplimiento en un único punto de control.

En la mayoría de los casos, enfocar los esfuerzos de cumplimiento en un único punto implica designar a alguien del personal de TI como el "comandante central" de auditoría. Esta persona (si su industria está altamente regulada) puede interactuar con una función reguladora corporativa existente en el negocio. Algunas de las responsabilidades de esta persona incluyen leer las últimas publicaciones y asistir a conferencias regulares sobre medidas de seguridad y regulación cambiantes que afectarán a la empresa, y programar el trabajo de TI para asegurar el cumplimiento continuo.

Cómo la tecnología está impulsando cambios en el sector de la salud

2: Planificar y presupuestar el trabajo de TI en cumplimiento de forma regular cada año.

El cumplimiento está cambiando continuamente, por lo que se debe trabajar en el cumplimiento todos los años. Las organizaciones que mejor se adaptan a esta realidad planifican proactivamente presupuestos e implementan medidas de cumplimiento cuando se conocen, y no cuando los auditores descubren que faltan.

3: Realizar auditorías regulares con auditores internos o un equipo externo que sea diferente de sus reguladores.

Desarrollar un cronograma de auditoría regular para sistemas internos, políticas y verificaciones de procedimientos es una forma de asegurarse de que está listo para los auditores y examinadores. Estas pruebas en seco también lo posicionan en la vanguardia de los requisitos de seguridad y gobierno para su empresa.

4: Preparar su documentación en una carpeta única o en un archivo electrónico antes de la visita de su equipo de auditoría externa y/o regulador de la industria.

En mis primeros días como CIO, pensaba que colocar ordenadamente todas las políticas, procedimientos, diagramas de flujo de sistemas, etc. en una carpeta o archivo electrónico para un equipo de auditoría o examinadores entrantes era exagerado, pero pronto aprendí que no lo era. Nadie quiere terminar con una serie de hallazgos en una auditoría que el CEO, la junta directiva y las partes interesadas pueden ver. Si bien un auditor o examinador le informará sobre sus vulnerabilidades, presentarles un archivo organizado de su gobierno, seguridad y cumplimiento les dará una primera impresión inicial sobre la preparación de su empresa, y eso puede marcar la diferencia en su evaluación final.

Comparta cómo se prepara para las auditorías

¿Cómo se prepara el departamento de TI para las auditorías de cumplimiento y seguridad? Si ya lleva a cabo verificaciones de auditoría de sistemas de manera continua, ¿hay consejos adicionales que agregaría a nuestra lista? Comparta sus experiencias y comentarios en la discusión.

Cómo gestionar a los usuarios difíciles en proyectos de TI

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre CXO, allí encontraras muchos artículos similares a 4 formas de prepararse para auditorías de cumplimiento y seguridad , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.