Herramientas de gestión del cumplimiento de la regulación: un mercado emergente
Sin duda, la facilidad del acceso y la distribución de la información soportada por medios electrónicos está fomentando a marchas forzadas una rigurosa regulación de su gestión. Las empresas se muestran preocupadas por su conformidad con las nuevas normas y los suministradores de software de gestión están haciendo suyas estas preocupaciones, desarrollando ofertas capaces de resolver las nuevas necesidades de los departamentos TI al respecto.
Así, los fabricantes comienzan a introducir una serie de herramientas que pueden desde emitir alertas cuando los sistemas violan alguna regla hasta remediar automáticamente y problemas y generar informes que pueden ser utilizados en procesos de auditoría. Por una parte, las compañías especializadas en el desarrollo de aplicaciones, como Oracle, PeopleSoft y SAP, están añadiendo funcionalidades para mejorar desde este punto de vista los procesos financieros y otros mecanismos de generación de informes sobre negocio. Por otra, los suministradores de gestión adecuan sus herramientas para ayudar a sus clientes a estar seguros de que sus sistemas, medidas de seguridad y procesos de gestión se encuentran en línea con las regulaciones, incluidas las normas estadounidenses Sarbanes-Oxley Act, Gramm-Leach Biley Act y Health Insurance Portability and Accountabiliy Act (HIPAA).
Entre los fabricantes de software de gestión que apuestan por este incipiente negocio se encuentran desde tradicionales suministradores, como Computer Associates, hasta compañías de nicho como Ecora. Y, probablemente, existirá mercado suficiente para ambos tipos de jugadores teniendo en cuenta que las empresas, ante el peligro de ser objeto de penalizaciones que pueden ir desde 100 dólares, en caso de violaciones involuntarias, hasta 250.000 dólares, si se trata de revelación deliberada de información sanitaria sobre algún paciente, preferirán invertir en software antes que correr el riesgo de tener que afrontar una auditoría.
De hecho, en Estados Unidos, donde la regulación sectorial está experimentando un incremento considerable, el 60% de 500 ejecutivos TI entrevistados en una encuesta realizada este año, aseguraron que el desarrollo de iniciativas que aseguren la conformidad con las regulaciones será “extremadamente importante” durante los próximos doce meses. Cerca de la mitad prevé actualizar sus aplicaciones existentes o comprar nuevas aplicaciones este año para estar en condiciones de asegurar esta conformidad.
Primero alcance la conformidad y, sólo después, automatice
Según Mike Neuenschwander, analista Senior de Burton Group, “los fabricantes de software de gestión pueden realmente proporcionar herramientas que permitirán automatizar el trabajo necesario para verificar la conformidad de las empresas con la regulación, pero no existe una única suite de productos cuya mera aplicación garantice por sí misma esta conformidad”.
Por otra parte, las funcionalidades proporcionadas por el software de gestión sólo pueden satisfacer lo relativo a políticas y procesos TI. Son por tanto los propios departamentos de TI los que deben alinear las políticas de conformidad a sus negocios específicos. “En Estados Unidos, cada industria cuenta ahora con su reglamentación y no existe un producto que proporcione reglas de conformidad para todas las regulaciones”, asegura Neuenschwander, de la consultora The Burton Group.
Por tanto, antes de nada, la empresa deberá determinar cómo convertirse en una organización cuyo tratamiento de la información cumpla las normas establecidas por las autoridades para su ámbito de actividad. A continuación, deberá definir e implementar las políticas correspondientes. Sólo después, el software de gestión podrá utilizarse como medio de automatizar los procesos necesarios para mantener esa conformidad con la regulación. Las herramientas disponibles pueden cubrir desde el seguimiento y la documentación de cambios, hasta la monitorización del acceso y el uso de los sistemas para la producción de informes específicos con los cuales demostrar el cumplimiento de las regulaciones.
Algunas de las herramientas en cuestión no son realmente algo nuevo, aunque sí lo es el enfoque de su uso se hace. Soluciones de gestión de sobremesas, configuración, e identidad y seguridad están siendo ahora impulsadas como herramientas de conformidad, y los expertos reconocen que realmente pueden ayudar a los equipos TI a monitorizar y documentar sus esfuerzos por mantenerse dentro de la legalidad.
Lo realmente valioso de estas herramientas es su capacidad para automatizar los procesos, algo que, aunque, como se ha dicho no es garantía de conformidad, sí es un paso imprescindible para al mantenimiento de la misma. “La generación de informes operacionales, la adecuada notificación de cambios y amenazas para la seguridad, y el seguimiento de qué personas tienen acceso a qué información son tareas que deben ser automatizadas si realmente se desea mantener en todo momento la conformidad con la regulación”, indica Mike West, director de programa senior de Saugatuck Technology Research.
Una idea en la que los propios gestores de TI empresariales coinciden. Así, por ejemplo, Jim Vellella, director asociado de ISD Technical Services del centro medico de la Universidad de Pittsburgh explica cómo la regulación sectorial HIPAA exige que “los departamentos de TI sean capaces de proveer documentación y monitorización concisa y claramente, y siguiendo determinadas normas, sobre las medidas de seguridad en funcionamiento. Además, debemos estar en condiciones de garantizar la generación de alertas e información ante cualquier deficiencia”.
Este centro médico utiliza software Ecora para poder proporcionar la monitorización y la generación de informes requerida por HIPAA. “Sencillamente no tenemos el tiempo y la plantilla suficiente para proveer el tipo y la cantidad de informes y análisis sobre cientos de sistemas que un producto automatizado como Ecora proporciona”, explica Vellella. El software de configuración y cambios Ecora puede ser instado en una estación de trabajo de administración para colectar datos de múltiples sistemas operativos, incluidos Microsoft, Unix y Linux, y dispositivos de red tipo Cisco. También puede recuperar datos de Active Directory, Exchange, NetWare, Citrix, Oracle y otros sistemas. Una vez obtenida la información, el sistema compara los datos contra un modelo predefinido de configuración de conformidad con la regulación y alerta a la plantilla de las excepciones y de los cambios “inaceptables” que hayan podido producirse.
Carles Revei, director de operaciones informáticas de Maryland General Hospital (Baltimore), se ve obligado por HIPAA a asegurar la privacidad de los datos de los pacientes de la organización, que incluyen información almacenada en múltiples sistemas TI. Revei utiliza las funcionalidades de Desktop Authority de ScriptLogic para la aplicación de políticas de seguridad conformes a HIPAA, y parches de software para las máquinas cliente sobre una base de uno a muchos. “Mediante este sistema, cuando realizo algún cambio en nuestro modelo global de seguridad, el software se encarga de desplegar las políticas a la totalidad de la infraestructura, de manera que la conformidad se mantiene de manera automatizada”. El software ScriptLogic también brinda la posibilidad de bloquear clientes de manera remota cuando existen sospechas de alguna brecha de seguridad.
Control de procesos
Las nuevas herramientas de los suministradores de gestión también pueden ayudar a que las TI respondan a nuevos requerimientos sobre los procesos. Por ejemplo, el marco regulativo Sarbanes-Oxley exige que las empresas establezcan y certifiquen un sistema de los controles y procesos internos utilizados para obtener sus resultados financieros. Esto implica recursos de TI que permitan probar que los datos finan
Así, los fabricantes comienzan a introducir una serie de herramientas que pueden desde emitir alertas cuando los sistemas violan alguna regla hasta remediar automáticamente y problemas y generar informes que pueden ser utilizados en procesos de auditoría. Por una parte, las compañías especializadas en el desarrollo de aplicaciones, como Oracle, PeopleSoft y SAP, están añadiendo funcionalidades para mejorar desde este punto de vista los procesos financieros y otros mecanismos de generación de informes sobre negocio. Por otra, los suministradores de gestión adecuan sus herramientas para ayudar a sus clientes a estar seguros de que sus sistemas, medidas de seguridad y procesos de gestión se encuentran en línea con las regulaciones, incluidas las normas estadounidenses Sarbanes-Oxley Act, Gramm-Leach Biley Act y Health Insurance Portability and Accountabiliy Act (HIPAA).
Entre los fabricantes de software de gestión que apuestan por este incipiente negocio se encuentran desde tradicionales suministradores, como Computer Associates, hasta compañías de nicho como Ecora. Y, probablemente, existirá mercado suficiente para ambos tipos de jugadores teniendo en cuenta que las empresas, ante el peligro de ser objeto de penalizaciones que pueden ir desde 100 dólares, en caso de violaciones involuntarias, hasta 250.000 dólares, si se trata de revelación deliberada de información sanitaria sobre algún paciente, preferirán invertir en software antes que correr el riesgo de tener que afrontar una auditoría.
De hecho, en Estados Unidos, donde la regulación sectorial está experimentando un incremento considerable, el 60% de 500 ejecutivos TI entrevistados en una encuesta realizada este año, aseguraron que el desarrollo de iniciativas que aseguren la conformidad con las regulaciones será “extremadamente importante” durante los próximos doce meses. Cerca de la mitad prevé actualizar sus aplicaciones existentes o comprar nuevas aplicaciones este año para estar en condiciones de asegurar esta conformidad.
Primero alcance la conformidad y, sólo después, automatice
Según Mike Neuenschwander, analista Senior de Burton Group, “los fabricantes de software de gestión pueden realmente proporcionar herramientas que permitirán automatizar el trabajo necesario para verificar la conformidad de las empresas con la regulación, pero no existe una única suite de productos cuya mera aplicación garantice por sí misma esta conformidad”.
Por otra parte, las funcionalidades proporcionadas por el software de gestión sólo pueden satisfacer lo relativo a políticas y procesos TI. Son por tanto los propios departamentos de TI los que deben alinear las políticas de conformidad a sus negocios específicos. “En Estados Unidos, cada industria cuenta ahora con su reglamentación y no existe un producto que proporcione reglas de conformidad para todas las regulaciones”, asegura Neuenschwander, de la consultora The Burton Group.
Por tanto, antes de nada, la empresa deberá determinar cómo convertirse en una organización cuyo tratamiento de la información cumpla las normas establecidas por las autoridades para su ámbito de actividad. A continuación, deberá definir e implementar las políticas correspondientes. Sólo después, el software de gestión podrá utilizarse como medio de automatizar los procesos necesarios para mantener esa conformidad con la regulación. Las herramientas disponibles pueden cubrir desde el seguimiento y la documentación de cambios, hasta la monitorización del acceso y el uso de los sistemas para la producción de informes específicos con los cuales demostrar el cumplimiento de las regulaciones.
Algunas de las herramientas en cuestión no son realmente algo nuevo, aunque sí lo es el enfoque de su uso se hace. Soluciones de gestión de sobremesas, configuración, e identidad y seguridad están siendo ahora impulsadas como herramientas de conformidad, y los expertos reconocen que realmente pueden ayudar a los equipos TI a monitorizar y documentar sus esfuerzos por mantenerse dentro de la legalidad.
Lo realmente valioso de estas herramientas es su capacidad para automatizar los procesos, algo que, aunque, como se ha dicho no es garantía de conformidad, sí es un paso imprescindible para al mantenimiento de la misma. “La generación de informes operacionales, la adecuada notificación de cambios y amenazas para la seguridad, y el seguimiento de qué personas tienen acceso a qué información son tareas que deben ser automatizadas si realmente se desea mantener en todo momento la conformidad con la regulación”, indica Mike West, director de programa senior de Saugatuck Technology Research.
Una idea en la que los propios gestores de TI empresariales coinciden. Así, por ejemplo, Jim Vellella, director asociado de ISD Technical Services del centro medico de la Universidad de Pittsburgh explica cómo la regulación sectorial HIPAA exige que “los departamentos de TI sean capaces de proveer documentación y monitorización concisa y claramente, y siguiendo determinadas normas, sobre las medidas de seguridad en funcionamiento. Además, debemos estar en condiciones de garantizar la generación de alertas e información ante cualquier deficiencia”.
Este centro médico utiliza software Ecora para poder proporcionar la monitorización y la generación de informes requerida por HIPAA. “Sencillamente no tenemos el tiempo y la plantilla suficiente para proveer el tipo y la cantidad de informes y análisis sobre cientos de sistemas que un producto automatizado como Ecora proporciona”, explica Vellella. El software de configuración y cambios Ecora puede ser instado en una estación de trabajo de administración para colectar datos de múltiples sistemas operativos, incluidos Microsoft, Unix y Linux, y dispositivos de red tipo Cisco. También puede recuperar datos de Active Directory, Exchange, NetWare, Citrix, Oracle y otros sistemas. Una vez obtenida la información, el sistema compara los datos contra un modelo predefinido de configuración de conformidad con la regulación y alerta a la plantilla de las excepciones y de los cambios “inaceptables” que hayan podido producirse.
Carles Revei, director de operaciones informáticas de Maryland General Hospital (Baltimore), se ve obligado por HIPAA a asegurar la privacidad de los datos de los pacientes de la organización, que incluyen información almacenada en múltiples sistemas TI. Revei utiliza las funcionalidades de Desktop Authority de ScriptLogic para la aplicación de políticas de seguridad conformes a HIPAA, y parches de software para las máquinas cliente sobre una base de uno a muchos. “Mediante este sistema, cuando realizo algún cambio en nuestro modelo global de seguridad, el software se encarga de desplegar las políticas a la totalidad de la infraestructura, de manera que la conformidad se mantiene de manera automatizada”. El software ScriptLogic también brinda la posibilidad de bloquear clientes de manera remota cuando existen sospechas de alguna brecha de seguridad.
Control de procesos
Las nuevas herramientas de los suministradores de gestión también pueden ayudar a que las TI respondan a nuevos requerimientos sobre los procesos. Por ejemplo, el marco regulativo Sarbanes-Oxley exige que las empresas establezcan y certifiquen un sistema de los controles y procesos internos utilizados para obtener sus resultados financieros. Esto implica recursos de TI que permitan probar que los datos finan
