Un enfoque COBIT para el cumplimiento de normativas y Disposición de Defensa

El plan de gobierno de TI con éxito requiere un enfoque moderno y tranparente para la retención de datos y eliminación de rutina. Los directores de informática (CIOs de hoy) frente a una gama sin precedentes de desafíos:

• Big Data: El volumen de información que recopila y gestiona continúa a hincharse, a prueba constantemente los procesos y las herramientas que se utilizan para recopilar, analizar, almacenar datos, proceso y de archivo.
• Globalización: Es casi imposible hoy en día encontrar una gran empresa trabaja sólo en un área del mundo. A miles de kilómetros pueden separar la sede de una organización de investigación y desarrollo y la fabricación, mientras que los clientes, socios, proveedores y oficinas satélite pueden estar situadas en todo el mundo. Como resultado, debe apoyar la información almacenada en múltiples lugares a través de una infraestructura diversa de redes, servidores, equipos de escritorio, portátiles y dispositivos móviles.
• Complejos, cambiantes normas: más de 100.000 leyes y reglamentos internacionales son potencialmente relevantes para la información recopilada por Forbes Global 1000. Esta información incluye los registros financieros, datos de marketing, correos electrónicos, textos, mensajes de redes sociales, mensajes de twitter, registros telefónicos, registro de datos y más.Aún más difícil, muchas de estas regulaciones, incluyendo los requisitos y normas para la conservación de los datos y la privacidad de la situación financiera, están en constante evolución y con frecuencia puede variar o incluso se contradicen entre sí a través de las fronteras y las jurisdicciones.
• Los presupuestos ajustados: A pesar de todos estos desafíos-y las desastrosas consecuencias de no poder gestionar con éxito todos los datos y cumplir con las regulaciones en una escala global-que está bajo constante presión para reducir el gasto.

TI puede cumplir con todos estos retos con un programa de gobierno de la información completa, a nivel mundial consciente de que reduce los volúmenes de información, centraliza la gestión de los datos en todas las jurisdicciones y garantiza el cumplimiento normativo-al tiempo que reduce los costes. Muchos CIOs ya utilizan el marco COBIT para apoyar los objetivos de negocio, reducir los riesgos corporativos y optimizar el uso de recursos. Sin embargo, cuando se trata de prácticas de gobierno de la información relacionadas con las cuestiones de reglamentación, cumplimiento legal, la retención de registros y políticas de eliminación, los principios de COBIT a menudo no están siendo aprovechados manera más amplia y eficaz posible. Sin embargo, COBIT puede ser la clave para un programa de gobierno exitoso.

Sin valor Datos Corporativos

A falta de una idea de lo que hay información que debe conservarse ha llevado a muchas organizaciones a acumular montañas de escombros generados electrónicamente en forma de exceso de aplicaciones, servidores, almacenamiento y cintas de respaldo que ya no tienen ninguna utilidad.

Una reciente encuesta de un CIO corporativos y consejos generales llevado a cabo en una de Cumplimiento, de Gobierno y el Consejo de Supervisión (CGOC) ¹ cumbre encontró que por lo general sólo el 1 por ciento de la información corporativa se encuentra en espera de litigio, sólo el 5 por ciento está en una categoría de retención de registros y un mero el 25 por ciento tiene algún valor comercial actual. ² Esto significa que aproximadamente el 69 por ciento de todos los datos recopilados y mantenidos por la mayoría de las organizaciones tienen ningún negocio, legal o valor normativo en absoluto.

Un paso clave en la creación de un programa de gestión de la información se está desarrollando con éxito la capacidad de identificar y proteger la información que tiene del negocio, valor legal o reglamentaria, a fin de apoyar la eliminación legalmente defendible de todo lo demás. Disposición-el defendible efectiva capacidad de eliminar con regularidad y de forma automática la información que no tiene valor-puede regulatorio, legal o de negocios tienen un impacto dramático en la economía de la información. Menos presupuesto de TI gastado en almacenamiento, servidores y copias de seguridad significa que más puede ir a las inversiones estratégicas. Menos información para tamizar a través significa que la respuesta legal y regulatorio puede ser manejado de una manera ágil y eficiente y reducir al mínimo el riesgo asociado con el mantenimiento demasiado o muy pocos datos, incluyendo la retención de la información de que la evolución de las regulaciones de privacidad requieren ser eliminados y proporcionar innecesariamente el abogado contrario con acceso descubrimiento más amplia que la requerida. Gestión de la información que generen menos residuos en última instancia, permite que las empresas vuelvan más beneficios a los accionistas.

Históricamente, los programas de retención se han incluido sólo los registros, ya sea en papel o electrónico-que son distintos del resto de la información en la organización. Para lograr la eliminación defendible, IT interesados ​​deben ser capaces de colaborar estrecha y transparente con los registros y la gestión de la información (RIM), unidades jurídicas y empresariales para crear retención horarios horarios ejecutables modernas que van más allá del alcance de establecer periodos de retención. Lo que se considera un "registro" debe incluir toda la información en la organización e incorporar criterios de retención relacionados con retenciones legales y el valor del negocio.

Horarios de retención en un mundo Digitalizado

Un programa de retención proporciona la base legal para la gestión de documentos y los departamentos legales para organizar los registros corporativos y de información y, a continuación detalle de la longitud de tiempo que esos registros deben ser conservados por el cumplimiento y las necesidades del negocio. El problema es que los programas de retención utilizados por muchas organizaciones hoy en día han sido concebidos cuando los registros en papel eran la norma. Por lo tanto, simplemente no funcionan en las empresas de hoy en día, porque una gran cantidad de la información que debe ser retenido o eliminado se genera electrónicamente e incluye información no definido históricamente como un registro, por ejemplo, los mensajes de los medios sociales y tweets. Esto crea una desconexión fundamental porque la información ahora está bajo el dominio de la informática y tendrá las obligaciones de cumplimiento de la compañía para estar vinculado a las miles de aplicaciones, bases de datos y otros depósitos que gestiona.

Mientras tanto, los profesionales del derecho y RIM poseer los conocimientos necesarios para establecer programas de retención y las políticas de eliminación de acuerdo con las leyes y reglamentos pertinentes, pero puede que no tengan una visión integral de la infraestructura de TI o de cualquier comprensión del valor empresarial de la información existente. Los datos pertinentes deben ser identificados y debe haber un mecanismo para disponer de la información.

Esta desconexión se pone de relieve en la encuesta CGOC, que informó de que:

• Setenta y siete por ciento de los encuestados dijo que sus programas de retención no eran recurribles para los negocios y el personal de TI
• El cincuenta por ciento dijo que sus departamentos de TI no usaron el programa de retención
• El setenta y cinco por ciento citó la incapacidad de disponer de datos defendible como uno de sus mayores desafíos, y muchos destacó volúmenes masivos de datos heredados como lastres financieros sobre los riesgos de negocio y de cumplimiento.

El objetivo de la creación de un programa de retención moderna, transparente y ejecutable es superar estos desafíos, facilitando la identificación de la información sin valor y automatizando su disposición de manera jurídicamente defendible.

La construcción de un Anexo mejor retención con COBIT.

Debido a que un programa de retención moderna, ejecutable reconoce la naturaleza dinámica de los datos electrónicos y la responsabilidad compartida para la gestión y eliminación de la información, los principios de COBIT proporcionan una base sólida para la creación de uno.

COBIT 5 se basa en cinco principios clave para la gobernanza y la gestión de TI de la empresa:

1. Satisfacer las necesidades de las partes interesadas.
2. Cubra el empresarial de extremo a extremo.
3. Aplicar un marco único e integrado.
4. Habilitar un enfoque holístico.
5. Gobierno independiente de la dirección.

Todos estos principios son de aplicación directa a la creación de un programa moderno y ejecutable de retención que soporta un marco jurídico para la eliminación de datos innecesarios defendible y tiene en cuenta las necesidades y funciones de legal, RIM, la empresa y las partes interesadas de TI a través de:

• Entender el flujo de información a través de la empresa desde su creación hasta la eliminación-y permitiendo un enfoque holístico a la gestión de la información
• Reconociendo la naturaleza multidimensional de la retención y eliminación de datos, y el apoyo a las interdependencias y la colaboración entre las principales partes interesadas para cumplir con todos los requisitos legales, reglamentarios y de negocios
• Tener políticas y los procesos de gobernanza integrados en lugar de satisfacer las variadas y diversas necesidades de los interesados, lograr el cumplimiento global, y permitir actualizaciones periódicas para mantenerse al tanto de los cambios en la ley y el negocio
• Hacer de la gestión del día a día de la información más eficiente y compatible con las políticas y los procesos transparentes y claramente definidos de gobierno.

En ese entorno, los usuarios podrían tener el conocimiento y las herramientas que necesitan para clasificar la información, y tendría la legal y registros apoyo que necesita para poner en práctica un programa de retención viable y apropiado disponer de información sin valor en el momento adecuado.

Los siguientes son los elementos clave que deben ser incorporados en un programa de retención para que funcione en la era moderna de la información:

1. Aplicar programas de retención a toda la información, no sólo a los registros. El programa de retención debe reflejar la convergencia continua de la gestión y los datos de gestión de registros y se aplican a todos los datos que obran en poder de la organización. Que dices toda la información, incluyendo datos estructurados y no estructurados fuentes-como tampoco tiene valor legal, reglamentario o de negocios o como desechos.
2. Conecte obligaciones específicas de retención legal, privacidad y reglamentarias directamente a la información pertinente. El programa de retención debe estar respaldada por un marco global transparente que define claramente cómo las obligaciones legales y reglamentarias aplicables a todos los tipos de información y los usuarios de negocios, incluyendo lo que está cubierto, que es obligados a cumplir, y cómo se activan la retención y eliminación. Este marco debe incluir también la evolución de las obligaciones de privacidad. Las soluciones tecnológicas, como los que el índice y realizar análisis de texto para clasificar los datos, ya están disponibles para conectar automáticamente la información de los requisitos de retención y eliminación, mientras que la aplicación de la mayoría legal, privacidad y reglamentarios directivas hasta a la fecha a toda la información.
3. Tome en cuenta el valor comercial de la información. Este valor debe ser determinado de forma explícita por los interesados ​​del negocio y transparente para legal, RIM y TI. Una vez más, ahora existen soluciones de tecnología que puede solucionar este problema de larga data de los gestores de datos empresariales, ayudando a los usuarios más fácilmente asociado los tipos de información (por ejemplo, órdenes de compra o acuerdos con los empleados) con fuentes de datos específicos (sistemas por ejemplo, ECM y de recursos humanos o de aplicaciones como Microsoft SharePoint) e incluyen detalles sobre por qué la información es de valor para el negocio y por cuánto tiempo.
4. Identificar dónde se encuentra la información. El programa de retención debe incluir inventarios de información que describen donde se almacena la información, qué registro se aplican a las clases de repositorios específicos, que fue y es responsable por el contenido, y que lo gestiona. Con la ayuda de un mapa fiable de datos, administradores de datos pueden identificar más fácilmente la información y comprender el valor y las obligaciones relacionadas con la información de acuerdo con, por ejemplo, líneas de negocio o departamentos.
5. Comunicar las obligaciones de retención y eliminación en un idioma que las partes interesadas puedan entender. Esto implica dos elementos. En primer lugar, los usuarios de datos deben saber lo que se espera de ellos al crear e identificar información. En segundo lugar, los administradores de datos deben comprender sus responsabilidades relacionadas con la disposición de la información. Por ejemplo, el personal no podría tener sentido de una directiva la disposición que dice: Una traducción útil podría ser: "Cumplir con clase de registro HUM100.": Solicitudes de empleo creados por los recursos humanos (RRHH) usuarios "y se almacena en la unidad de recursos humanos debe ser compartida suprimido definitivamente 10 años después de la terminación del empleado. "Claridad alienta el cumplimiento.
6. Construir en la flexibilidad para adaptarse a las leyes locales, obligaciones y limitaciones. Los usuarios de negocio en cada área funcional y la jurisdicción son los que mejor conocen el valor y el propósito de la información que generan. El programa de retención debe tener la flexibilidad necesaria para incorporar este conocimiento local. Además, las soluciones de tecnología de programación de retención se pueden utilizar para catalogar todas las leyes y regulaciones específicas de las regiones y jurisdicciones aplicables de manera que diversas excepciones y cambios se pueden incorporar en el programa de retención y comunicados a las partes interesadas pertinentes para asegurar el cumplimiento a escala global.
7. Incluir un mecanismo accionable que permite legal y de TI para colaborar en la ejecución y terminación de retenciones legales. No hay horario de retención puede alcanzar la meta de la eliminación defendible sin una comprensión clara de lo que la información está sujeta a las retenciones legales y cuando la bodega ha sido puesto en libertad. La comprensión de la ubicación física de la información es esencial, sobre todo para los protocolos rigurosos, como el mandato de trituración grabadas en vídeo de los discos duros. Con vínculos claramente establecidos entre el valor de la información y los sistemas de TI, los departamentos jurídicos pueden jurídico sindicato tiene de todo el mundo e identificar los registros y la información pertinentes con los horarios locales y registros individuales marcados y mantenidos.
8. Identificar y eliminar la información duplicada. Confusión sobre qué es exactamente lo que deben conservarse y por cuánto tiempo se puede invitar a una tendencia a "salvar todo, por si acaso." Además de entrar en conflicto con el creciente número de leyes de privacidad (por ejemplo, el Seguro de Salud de EE.UU. Ley de Portabilidad y Responsabilidad, la Directiva Europea sobre Protección de Datos Personales) que requieren la eliminación de ciertos tipos de información después de un período de tiempo, el ahorro de todo lo que significa que están siendo retenidos decenas o incluso cientos de copias del mismo archivo. A través de una gestión transparente y el marco de gestión, las empresas pueden estar seguros de que han conservado la información requerida y eliminarse todas las copias innecesarias.
9. Actualización en tiempo real para dar cuenta de los cambios en las leyes para el negocio y en la tecnología. Con la constante evolución de los requisitos legales, reglamentarios y de privacidad a nivel mundial, es vital para mantenerse a la vanguardia de los cambios e incorporar nuevos requisitos en el programa de retención de inmediato. Las soluciones tecnológicas pueden actualizar automáticamente los sistemas y administradores de datos de alerta a los cambios pertinentes. Varios importantes proveedores de bases de datos de investigación jurídica también ofrecen herramientas que permiten a los usuarios realizar un seguimiento de las leyes cambiantes.
10. Aplica automáticamente los calendarios de conservación y retenciones legales a las fuentes de datos que ahora son capaces de recibir instrucciones de las herramientas de política automatizados, y el instrumento de todos los procesos de retención y eliminación. Esto asegura la disposición coherente de datos innecesarios, permite legal y RIM para validar solicitudes de reserva y los esfuerzos de cumplimiento , y permite a los líderes de información de gobierno para supervisar y mejorar el programa de eliminación de defendible.

Buen Gobierno en todo el Ciclo de Vida de la Información

El crecimiento sin precedentes de datos, operaciones de negocios globales, las preocupaciones de costos y un entorno regulatorio complejo y en constante cambio han creado enormes desafíos gobierno de la información para los CIOs. Sin embargo, el marco COBIT hace posible la aplicación de los principios de gobierno probadas para superar estos desafíos de manera eficiente y rentable pastorear el flujo de información corporativa a través de su ciclo de vida útil y automáticamente eliminar las informaciones que ya no tiene ningún valor legal, reglamentario o de negocios. Al colaborar con legal, RIM y empresariales interesados, sino que también puede ayudar a crear una programación moderna, transparente y ejecutable retención que puede garantizar el cumplimiento al tiempo que aumenta la agilidad del negocio, reducir los riesgos y reducir los costos mediante la eliminación defendible de la información sin valor.