Cumplimiento y datos: ¿aliados o enemigos? / Duff y Phelps

Cumplimiento y datos: ¿aliados o enemigos?

Los datos están en el corazón de las actividades comerciales porque representan la base de todas las funciones. Ya sean datos de la fuerza laboral en el departamento de recursos humanos, cifras de ventas para fines contables, datos de mercado para la gestión de carteras de inversores o planes de fabricación en fábricas. Asimismo, su integridad, su exhaustividad, su disponibilidad y su confidencialidad son, por tanto, elementos estructurantes para las empresas. Entonces, ¿cómo podemos asegurarnos de que el procesamiento de datos, independientemente de su naturaleza, siga siendo un motor del desempeño empresarial sin arriesgarnos a dañar su actividad?

Calidad y cumplimiento de los datos

La función de cumplimiento no se escatima y permanece en el centro de un sistema que garantiza la calidad de los datos. Primero, tenga en cuenta que cada nivel de control generalmente definido en las organizaciones solo puede ejercerse mediante, al menos parcialmente, el análisis de datos. Ya sea que se trate de personal operativo que lleva a cabo sus controles de primer nivel, control de gestión a través del desempeño de controles de segundo nivel o incluso auditoría interna para controles de tercer nivel. Por tanto, la "calidad" de los datos es fundamental para asegurar que los controles realizados sean relevantes y permitan alcanzar sus objetivos. 

Tomemos el ejemplo de los procedimientos de control contable exigidos por el artículo 17 de la ley Sapin 2. Si durante los controles se utilizan datos incompletos o incompletos, se tomarán malas decisiones, tanto por parte del personal operativo como de los directivos. oyentes. La calidad de los controles también radica en la materia prima utilizada, es decir, los datos, además de la calidad de los procedimientos de control, por supuesto.

Además, no olvidemos que los propios datos también pueden estar sujetos a normativas específicas. Tome el Reglamento general de protección de datos (GDPR), por ejemplo. La protección de los datos personales, es decir, la confidencialidad, integridad, integridad y disponibilidad de los datos, está en el centro de la regulación y requiere que quienes los procesan tomen precauciones especiales. Aquí nuevamente, el papel del cumplimiento es asegurar que su empresa cumpla con las reglas que se les imponen en esta área.

Finalmente, los datos específicos de su empresa y sus empleados, como correos electrónicos, datos financieros, podrían ser ingresados por autoridades reguladoras, como la Autorité des marchés financiers, durante una investigación. La famosa pista de auditoría, promocionada por tantos editores de soluciones de soporte de cumplimiento, que puede cumplir con los requisitos de trazabilidad de las acciones solicitadas por los reguladores, es también, al final, un conjunto de datos.

En estas tres situaciones, el tema de la calidad de los datos para las empresas es omnipresente. Una de las soluciones para dar respuesta a esto se basa en la implementación de un adecuado sistema de control interno de los sistemas de información (SI). Lo que proporcionará una garantía razonable sobre la integridad, integridad, confidencialidad y disponibilidad de sus datos.

ES Seguridad

En primer lugar, será necesario configurar un sistema de control interno sobre la gestión de acceso a su SI. Este es el principio de confidencialidad. O restringir el acceso a los sistemas solo a los empleados que lo soliciten en el marco de sus responsabilidades.

Para ello, será necesario configurar un proceso de gestión de acceso, que comprenda, como mínimo, una separación de tareas entre el aprobador de la solicitud y el que concede el acceso. Por ejemplo el superior jerárquico y el colaborador del departamento de TI. Estos mismos controles deberán realizarse de forma igualmente rigurosa para los administradores de los sistemas. Incluso si son parte del DSI. De hecho, al ser su acceso particularmente extenso y, por tanto, más riesgoso para el SI y por extensión para la empresa, es necesario controlarlos bien. El objetivo aquí es garantizar que los datos estén completos y completos protegiendo al SI de accesos intencionales maliciosos o errores de manejo. Eso daría como resultado cambios o eliminaciones de datos inesperados.

IS Security también abarca la implementación de la separación adecuada de tareas "comerciales". El ISD es la función que gestiona el acceso al IS. Esta matriz de segregación de funciones, que distingue los accesos autorizados según los puestos y empleados, debe ser definida por las líneas de negocio. Esta matriz será valiosa durante una revisión de acceso periódica (por ejemplo, anualmente) para garantizar que los privilegios de acceso de los usuarios se mantengan en línea con sus responsabilidades. De hecho, durante la movilidad interna, los privilegios de acceso no siempre se ajustan correctamente, lo que genera conflictos de separación de funciones.

Sin embargo, estos accesos no serán suficientes para proteger su SI cuando la puerta de entrada no esté cerrada con llave o no esté mal protegida. El estándar requiere la creación de cuentas únicas para cada usuario. Para garantizar la responsabilidad de las acciones en los sistemas, que combinada con una configuración de contraseña de acuerdo con los estándares del mercado, o más restrictiva, bloqueará parcialmente las infracciones. Asimismo, se deben implementar dispositivos de autenticación fuerte, con 3 factores, para los administradores.

Finalmente, cuando sea técnicamente posible, será necesario activar el registro de eventos de seguridad. Sin embargo, para no verse ahogado en un tsunami de eventos a revisar, el CISO deberá realizar un ejercicio para identificar los eventos críticos de seguridad para los cuales será necesaria una investigación proactiva, y distinguirlos de aquellos que puede permitirse. revisar periódicamente.

Tome el ejemplo de la creación de una cuenta de administrador. Este tipo de evento considerado crítico, si está bien trazado en el proceso de gestión de acceso, dará lugar a una revisión inmediata y reactiva, posibilitada por su baja probabilidad de ocurrencia. 

Gestión del cambio

Las instalaciones de parches, las actualizaciones de software a versiones posteriores o los cambios del sistema también deben estar sujetos a procesos limitados por controles. De hecho, los cambios en las aplicaciones implican cambios en las reglas de procesamiento de datos. Por tanto, es importante asegurarse de que los cambios propuestos por los editores sean necesarios. Y que estos cambios no alteren lo que ya existe y no provoquen efectos secundarios, lo que se llama “regresión”.

Para hacer esto, hay varios niveles de prueba. (pruebas unitarias, de integración, no regresión, SSI y aceptación de usuarios). Asegurar que el cambio que se implementará en el entorno de producción corresponda a las expectativas. Cada decisión crítica en el proceso de gestión de cambios requerirá una aprobación formal para garantizar que cada hito en el proceso se haya estudiado y tenido en cuenta. Desarrollo, migración al entorno de producción, etc.

También se deben respetar los principios de segregación de funciones, entre quienes solicitan el cambio. (por ejemplo, intercambios). Aquellos que desarrollan (por ejemplo, estudios en ISD / proveedores de servicios, editoriales). Y los que aprueban el lanzamiento (el comité de gestión del cambio).

Manejo de datos

Finalmente, otro aspecto de la gestión de datos es su disponibilidad. Hablamos de copias de seguridad, o la replicación de entornos de producción en tiempo real, por ejemplo. Estos dispositivos ayudan a garantizar que los datos estén disponibles de manera oportuna y que los datos se puedan restaurar cuando sea necesario. Los controles que se implementarán pueden corresponder a la monitorización de las copias de seguridad, para garantizar su correcto funcionamiento. Además de pruebas de recuperación de fallos o de restauración de datos, para garantizar que el entorno de producción se pueda volver a montar en caso de un incidente.

Enfoque basado en el riesgo

Obviamente, la naturaleza y el alcance de los controles que se implementarán dentro del sistema deben depender de la criticidad de los sistemas y datos en cuestión y deben implementarse tanto en las aplicaciones como en las bases de datos y sistemas. operando. Este sistema de controles para el SI participará no solo en la consecución de los objetivos de cumplimiento de la empresa, sino también en sus objetivos de eficiencia operativa al proteger sus sistemas y datos.

Este mundo ultradigital en el que operamos, donde los datos son omnipresentes y SI críticos, aún no ha terminado su transformación: se espera que en 2022 el 5G revolucione el desempeño del mundo digital, respondiendo a la Las tecnologías de máquina a máquina desafían conectando fábricas, potenciando la conducción de automóviles o generalizando la telecirugía. En los albores de su advenimiento, que es también objeto de un apasionado debate dentro de nuestra clase política, es imperativo poner en marcha las medidas y elementos que nos permitan tomar la buenas decisiones sobre la gestión de nuestros datos dada su omnipresencia.

¡Comparte el artículo en las redes!

Artículos reciente:

Nombramiento - Elena Sokolovskaya

Riesgo y fraude | Pagos | Fintech LinkedIn Presenta una oferta de trabajo: https://graces.community/recruters/ Consulta las ofertas que más te convengan: https://job.graces.community/login

FMI: Perspectivas económicas regionales en Europa

Este informe describe los desarrollos recientes y las perspectivas económicas de los países de varias regiones. También se ocupa de las políticas que conducen a resultados económicos regionales y especifica los problemas a los que se enfrentan los responsables de la toma de decisiones.

FMI: Monitor Fiscal

Acción presupuestaria para combatir la pandemia COVID-19
Una hoja de ruta para las medidas presupuestarias a tomar durante las diferentes fases de la pandemia
Inversiones públicas para la recuperación

es_ESEspañol
es_ESEspañol fr_FRFrançais en_USEnglish