Mundo profesional | Artículos | 01 NOV 2008

La normativa EuroSOX como oportunidad empresarial

El desafío que para las multinacionales supondrá la entrada en vigor de la ley EuroSOX puede convertirse en una oportunidad para mejorar el negocio si se adopta una estrategia de conformidad y el socio tecnológico adecuados.

Encontrar directrices legales que indiquen con precisión en qué consiste la conformidad es difícil en un momento en el que los requisitos normativos están en constante evolución. Las leyes están sometidas, cada vez más, a diferencias muy sutiles en función del país que las interpreta, lo que supone una complicación adicional para las organizaciones con presencia paneuropea. Mucho antes de la llegada de EuroSOX, las normativas europeas eran estrictas, pero también fáciles de interpretar y estaban firmemente asentadas, lo que permitía a las organizaciones acatarlas sin mayores complicaciones.
A lo largo de los últimos 10 años se han producido cambios radicales en el panorama normativo europeo con la introducción de nuevos regímenes (como el Basilea II), que crean un entorno más estricto y complejo en el que se inspecciona cuidadosamente todo lo que uno hace, cómo lo hace y cómo lo justifica. Además, los CIO no sólo han tenido que lidiar con una legislación cambiante en lo referente a la conformidad, sino que también han visto amenazados los recursos de información dentro de sus organizaciones. Asimismo, la aparición de programas malignos y de virus que mutan con rapidez han puesto en evidencia las vulnerabilidades técnicas de los sistemas de TI. Por otro lado, las lagunas de procedimiento y la incompetencia o falta de formación de los empleados han puesto más que nunca la falibilidad humana en el punto de mira.
A la hora de diseñar una estrategia de conformidad, los CIO se enfrentan a las siguientes cuestiones y desafíos:

• Existe una gran confusión en torno a las directivas europeas EuroSOX de inminente aprobación, siendo sus diferentes traducciones e interpretaciones uno de los principales motivos de preocupación.

• La no conformidad con las normativas legales puede acarrear sanciones económicas y penas de prisión para los ejecutivos, que corren el peligro de ser imputados personalmente.

• Las organizaciones que no cumplan con las normativas podrían enfrentarse, no sólo a multas y costes legales, sino también a caídas de ingresos causadas por la pérdida de confianza de clientes e inversores.
• La marca puede verse dañada a largo plazo, pues la vulneración de la conformidad afecta negativamente a su imagen pública.

• Los medios de comunicación y las autoridades administrativas vienen prestando una gran atención al asunto de la conformidad tras una serie de debacles gubernamentales relacionadas con los datos, como la del Reino Unido y otros casos muy publicitados en el resto de Europa.

• Tanto los proveedores como las partes interesadas se apartan de las organizaciones que no cumplen la normativa por miedo a que se les considere «culpables por asociación».

• El número y naturaleza de las normativas no dejará de crecer y éstas serán cada vez más complejas.

El panorama de la conformidad
De todos los marcos regulatorios que afectan a los CIO hoy en día, EuroSOX es del que más se habla. Se trata de un conjunto de directivas europeas sobre gestión corporativa que comenzarán a aprobar los Estados miembros este verano. Las nuevas directivas exigen a las empresas que cotizan en las bolsas europeas publicar un capítulo independiente en sus informes anuales en el que se especifique las responsabilidades del equipo directivo. Dicho documento debe contener información y métodos relativos a los principios del sistema de gestión de riesgos y de implementación de iniciativas de control interno, exenciones derivadas de las normativas nacionales y descripción del código de gestión corporativo. Asimismo, EuroSOX exige que toda nueva empresa que surja como resultado de una adquisición o fusión deba mostrar sus cuentas consolidadas a los auditores al mes de que se haya producido dicha adquisición o fusión.
Los expertos del sector ya han dado señales de alarma ante el desafío adicional que la ley EuroSOX supondrá para las compañías multinacionales. Un reto que se agrava teniendo en cuenta que las directivas todavía no han sido implementadas, por lo que aún no hay precedentes legales ni métodos de conformidad acreditados que los CIO puedan adoptar en sus esfuerzos por cumplirlas.
Sin embargo, a pesar de los desafíos antes señalados y de la incertidumbre que rodea las nuevas directivas, no todo está perdido. El primer paso hacia una conformidad efectiva consiste en adoptar una estrategia que combine el socio tecnológico adecuado y unos controles de seguridad que garanticen la implementación de un procedimiento correcto que dé cuenta del comportamiento humano. Las seis pautas siguientes pueden ayudar a que la conformidad se lleve a cabo con éxito:

• Personas y procesos: Los productos y tecnologías líderes del sector pueden proporcionar una base esencial para la reducción de riesgos, pero no serán efectivos sin la implementación de procedimientos rigurosos por parte de un personal formado adecuadamente.

• Formación continua: Los empleados tienen que saber quién y cómo debe manejar determinada tecnología, qué hacer en caso de que falle algún aspecto del plan y a dónde acudir en caso de necesitar información adicional.

• Clasificación de datos: El primer paso a la hora de salvaguardar la integridad de los datos de sus clientes es clasificarlos en función de su grado de sensibilidad y aplicar unos sistemas de control adecuados.

• Autorizaciones basadas en roles: Diseñar una política de autorizaciones basadas en el rol de cada cual sirve para garantizar que los usuarios accedan únicamente a los datos que necesiten para su trabajo.

• Registro de ataques y amenazas: ¿Alguna vez han pirateado sus sistemas o han intentado hacerlo? Tenga en cuenta que es posible que deba revelar incluso los ataques frustrados, por lo que sus sistemas de prevención y detección de intrusiones tienen que ser capaces de producir registros fiables que prueben su efectividad y la de usted.

• Nombre un responsable encargado de la protección de datos privados: La función de este responsable es crear y supervisar políticas de protección de datos con el fin de salvaguardar los datos de los clientes y empleados.


En busca del socio correcto
---------------------------------------
La seguridad de la información es una pieza esencial del proceso de conformidad de TI. Ésta es la razón por la que deberá buscar un socio que pueda proporcionarle lo siguiente:
• Una política de segmentación para la seguridad de redes que proporcione una protección completa.
• Políticas con base tecnológica que cubran cuestiones como el uso de la encriptación o de redes inalámbricas.
• Una política de seguridad en el desarrollo de sistemas que garantice que los nuevos sistemas se diseñan, desarrollan, comprueban y aplican de forma segura.
• Políticas y estándares que cubran por separado cuestiones como análisis de riesgos, clasificación de información, estándares mínimos para la protección de informac

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información