Por: Brian Armstrong, gerente general de riesgo y cumplimiento.
La gestión del cumplimiento es un proceso complejo, que se complica cada vez más a medida que crece una organización. Microsoft lo sabe de primera mano, no solo por nuestra experiencia en brindar soluciones de seguridad y cumplimiento a los clientes, sino también por el alcance global y la responsabilidad de mantener el cumplimiento de una gran cantidad de regulaciones regionales y específicas de la industria. Otra cosa que Microsoft ha aprendido a lo largo de este recorrido es que la ruta es mucho más sencilla con una mentalidad inclusiva y herramientas digitales que faciliten el camino.
En el nuevo mundo del trabajo híbrido, el cumplimiento normativo se ha convertido en una directiva a nivel de directorio. Las regulaciones locales y globales dictan cómo administrar, almacenar y transmitir datos, lo que hace que el cumplimiento sea más crítico que nunca. Sin embargo, para cumplir con estos estándares regulatorios, los riesgos deben identificarse y mitigarse, y los datos deben regirse de acuerdo con la política. Embarcarse en esta jornada proporcionará valiosos resultados adicionales, como:
- Proporcionarles un acceso rápido a los datos solicitados en caso de una investigación externa o interna o una acción legal.
- Proteger los datos de la empresa a medida que evoluciona el lugar de trabajo es en especial importante, dado el uso creciente de dispositivos personales para el trabajo y el aumento de empleados que acceden a las redes de la empresa desde fuera de la oficina física durante parte o la mayor parte de la semana.
- Actuar como buenos administradores: los directores de seguridad de la información (CISO, por sus siglas en inglés) sienten el deber de proteger a sus empleados, socios y clientes lo mejor que puedan.
El recorrido en el cumplimiento de Microsoft nos ha brindado conocimientos y mejores prácticas que podemos compartir con otras organizaciones decididas a fortalecer sus prácticas de gestión de cumplimiento. Planificar para los eventos inesperados que de manera inevitable ocurren significa alinear a su gente, procesos y tecnología. Aquí hay cinco cosas que hemos aprendido a lo largo de nuestro camino en el cumplimiento e historias de lo que ha funcionado para los clientes.
Evalúen su postura de cumplimiento
Es difícil, si no imposible, saber si van en la dirección correcta sin conocer su posición actual. Entonces, ¿por dónde empezar? La gestión del cumplimiento ha pasado de ser agradable a convertirse en una obligación para las organizaciones, que tienen un gran incentivo para fortalecer sus prácticas de gestión del cumplimiento. Sin embargo, hacer un seguimiento de todas las regulaciones de las que son responsables puede ser un desafío, en especial para aquellas empresas en industrias reguladas, como servicios financieros o atención médica. Mantener una buena postura de cumplimiento puede ayudarlos a evitar sanciones, publicidad negativa, multas y pérdidas financieras. Dada la rapidez con que cambian las regulaciones, esto puede ser un gran desafío. Y el seguimiento manual de los problemas de cumplimiento en hojas de cálculo a menudo no es suficiente. Como primer paso, recomendamos evaluar el estado actual de su cumplimiento con una herramienta visual que ayuda a medir dónde se encuentran hoy y les permite realizar un seguimiento de su progreso colectivo a lo largo del tiempo.
Amplíen su idea de cumplimiento
Cuando las personas escuchan el término «cumplimiento», muchos de manera instantánea piensan en el cumplimiento normativo. Es comprensible, porque regulaciones como la Ley de Protección al Consumidor de California (CCPA, por sus siglas en inglés) y el Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) reciben mucha prensa y atención. Pero como se mencionó antes, el cumplimiento va mucho más allá de las regulaciones.
La gestión del cumplimiento puede incluso conducir a la innovación. Los clientes nos dicen que se sienten libres para adaptar la forma en que operan en respuesta a las tendencias de los clientes. Visionary Wealth Advisors, una empresa de gestión financiera de los Estados Unidos, quería permitir que los clientes se comunicaran con la empresa a través de mensajes de texto, pero necesitaba gestionar esos datos de forma segura por motivos de cumplimiento. Visionary Wealth Advisors pudo maximizar la seguridad y el cumplimiento con Microsoft Purview Data Lifecycle Management y CellTrust SL2.
“Un problema central es que el cliente no comprende el entorno regulatorio en el que operamos”, dijo Ryan Barke, director de cumplimiento y consejero general de Visionary Wealth Advsiors. “Solo quieren comunicarse con su asesor financiero, y el asesor financiero quiere comunicarse con el cliente. Podemos tener una política que diga, asesores, tienen prohibido enviar mensajes de texto a sus clientes, pero no podemos controlar el otro extremo de esa comunicación”.
Involucren a todos
Las filtraciones de datos han comenzado a acelerarse, han aumentado un 68% en 2021, con un costo promedio de USD 4.24 millones cada una.1 Las fugas internas de datos confidenciales, el robo de propiedad intelectual (IP, por sus siglas en inglés) y el fraude pueden afectar de manera negativa a una empresa. También lo pueden hacer las infracciones reglamentarias, pero los CISO pueden estar tan centrados en la protección de datos que el cumplimiento de los datos no recibe tanta atención. Lo que hemos aprendido en nuestro recorrido es que el cumplimiento no es una carga que el CISO debe soportar solo. Múltiples ejecutivos de Microsoft participaron en el cumplimiento de las normas y obligaciones de cumplimiento. Las personas en Microsoft tenían que participar en el cumplimiento para impulsar el proceso.
Involucrar a varios líderes tiene sentido dado que las personas de una organización se beneficiarán de lo que hace posible una sólida gestión del cumplimiento. La ciudad de Marion en Australia implementó Microsoft Purview Records Management para administrar mejor los datos recopilados de los 90 servicios que brinda. Como resultado, el personal de la ciudad se ha comprometido más con el proceso de creación y manejo de información. Pueden organizarse ellos mismos y sus flujos de trabajo en Microsoft Teams, configurar sitios de SharePoint, crear y vincular información, crear sus propios informes de Power BI, configurar flujos de trabajo y conectar información variada mucho más fácil.
“Ayuda a nuestro pequeño equipo a hacer muchas cosas y ya no tenemos que preocuparnos tanto por el cumplimiento”, dijo Karlheins Sohl, líder del equipo de gestión de la información de la ciudad de Marion. “Podemos confiar en que el sistema ayudará a resolver eso, mientras somos libres para concentrarnos en la calidad de la información y el servicio que brindamos al personal de la Ciudad de Marion”.
Descubran datos e identifiquen riesgos
En el caso de una acción legal, una fusión o adquisición, o una investigación interna o externa, las soluciones tecnológicas pueden ayudarlos a encontrar de manera más eficiente los datos relevantes que necesitan. Con la proliferación de datos, eso es más importante que nunca.
El gran volumen de datos puede hacer que esto sea un desafío. Las soluciones tecnológicas como Microsoft Purview eDiscovery pueden ayudarlos a ahorrar tiempo y dinero en el rastreo de datos.
A través de una solución como Microsoft Purview Communication Compliance, las organizaciones pueden reducir los riesgos relacionados con las obligaciones de cumplimiento normativo.
Simplifiquen y automaticen el cumplimiento
Las soluciones tecnológicas efectivas tienen una manera maravillosa de simplificar procesos complejos y, a menudo, los días de trabajo de los responsables de administrar esos procesos. Múltiples proveedores de soluciones pueden complicar los procesos de cumplimiento ya desafiantes y dar como resultado un enfoque fragmentado e ineficiente. Elegir una solución integral, como Microsoft Purview, puede ayudar al monitorear de manera continua los cambios de cumplimiento y automatizar el proceso de actualización.
Frost Bank, con sede en Texas, debe seguir numerosas regulaciones bancarias y los empleados reconocen la importancia de cumplirlas: «El cumplimiento es como tomar café por la mañana», dice Edward Contreras, CISO de Frost Bank. Mantenerse al día con todas esas regulaciones resultó ser un desafío antes de adoptar Microsoft Purview Compliance Manager, que se actualiza a diario, al agregar al menos 200 actualizaciones de más de mil organismos reguladores y permitir que el banco cree informes detallados para reguladores y auditores.
“Compliance Manager nos quitó el misterio del cumplimiento normativo”, dijo Glenn McClellan, Endpoint Architect, Frost Bank. “La solución proporciona acciones de mejora, extractos de las reglamentaciones relevantes y, en general, hace que la gestión del cumplimiento sea en verdad fácil y procesable”.
Exploren Microsoft Purview
El cumplimiento efectivo y la gestión de riesgos son en extremo importantes y posibles. Microsoft está aquí para ayudarlos si buscan simplificar su administración de cumplimiento con soluciones tecnológicas.
Microsoft Purview es un conjunto completo de soluciones de cumplimiento y administración de riesgos que ayudan a las organizaciones a controlar, proteger y administrar datos, y mejorar la postura de cumplimiento y riesgo de su empresa. Estas soluciones incluyen Microsoft Purview eDiscovery, que lo ayuda a descubrir, preservar, recopilar, procesar, seleccionar y analizar sus datos en un solo lugar; Microsoft Purview Compliance Manager, que los ayuda a simplificar el cumplimiento y reducir el riesgo; y Microsoft Purview Communication Compliance, que ayuda a fomentar comunicaciones compatibles en todos los medios corporativos. Nos encantaría ofrecerles apoyo en su jornada.
Para obtener más información sobre las soluciones de seguridad de Microsoft, visiten nuestro sitio web. Agreguen a Favoritos el blog de Seguridad para mantenerse al día con nuestra cobertura experta en asuntos de seguridad. Además, síganos en @MSFTSecurity para conocer las últimas noticias y actualizaciones sobre ciberseguridad.
1Reporte Cost of a Data Breach 2021, Ponemon Institute, IBM. 2021.
