jueves, 3 de julio de 2014

Cómo presentar las actualizaciones de cumplimiento a la junta directiva

Cómo presentar las actualizaciones de cumplimiento a la junta directiva

Fuente: Searchdatacenter
Es hora de que presente el informe anual de cumplimiento a la Junta Directiva, cuando debe reportar el estado del programa de cumplimiento corporativo ante los ejecutivos. Su equipo ha trabajado muchas horas y ha tapado tantos agujeros de cumplimiento como ha sido posible dentro del presupuesto. La única cosa es que, como en la mayoría de las organizaciones, está lejos de ser perfecto. ¿Cómo se debe manejar esta situación?
En este consejo, le ofrecemos tres reglas simples para relatar a una audiencia de ejecutivos no técnicos los retos del programa de cumplimiento empresarial.

Regla # 1: Manténgalo como algo sencillo


La primera cosa que debes recordar al presentar las cuestiones de cumplimiento, o cualquier tema técnico relacionado, es que es probable que el público no tenga idea de lo que usted está hablando –a menos que el negocio de su organización gire en torno a la tecnología. Los ejecutivos se centran normalmente en las actividades que están directamente relacionadas con la misión de la organización. La TI se agrupa en funciones para recursos humanos, cuentas por pagar y otras similares en el paquete de "servicios de soporte". Si bien todos ellos son fundamentales para el éxito de la organización, no inciden directamente en la misión. Tenga esto en mente a medida que se acerca a los ejecutivos.

Puede empezar a superar este reto mediante un lenguaje sencillo. Asegúrese de que usted está usando un vocabulario familiar para ejecutivos y elimine las barreras lingüísticas para facilitar el entendimiento. Por ejemplo, es muy probable que vea ojos distraídos si empieza a hablar de "servidores proxy mal configurados", pero recibirá gestos de comprensión si habla de la "tecnología que nos permite bloquear sitios web no deseados."

En algunos casos, puede que tenga que llevar cuestiones técnicamente complejas a niveles más altos dentro de la organización, sobre todo cuando se necesita conseguir fondos. Siga la regla del lenguaje sencillo, incluso en esas circunstancias, y asegúrese de proporcionar un modelo de negocio para cualquier inversión que pudiera realizar.Por ejemplo, ¿cuál de los siguientes argumentos le parece que tiene más probabilidades de obtener financiación?

• "Nuestro sistema de comercio electrónico backend sufre de una vulnerabilidad de inyección SQL que viola la disposición 6.5.1 del estándar de seguridad de pagos electrónicos PCI (Payment Card Industry Data Security Standard). Necesitamos $100,000 dólares para financiar un contratista que se encargará de validar correctamente las entradas en todos los campos de texto de libre entrada."

• "Nuestro sitio web tiene un fallo que permitiría a un usuario de internet manipular nuestro sistema y obtener información confidencial de nuestros clientes. Si esto sucede, podríamos estar sujetos a una multa de $500,000 dólares y daños significativos a la reputación. Traer ayuda para solucionar este problema rápidamente requerirá unos $100,000 dólares de inversión."

Usted puede ver cómo el segundo ejemplo es mucho más accesible a un público no técnico. Y si usted puede complementar su argumento con una demostración en vivo que muestre cómo se puede robar la información, mucho mejor.

Regla # 2: Enfrente los hechos brutales

La segunda regla la tomamos prestada de Jim Collins, autor del popular libro de negocios Good to Great (Bueno a Grandioso), el cual probablemente resulte familiar para un público ejecutivo. Collins insta a los ejecutivos a ser siempre diligente en la búsqueda de la línea de fondo sobre la verdadera situación actual de la organización.Esto ciertamente se aplica a un programa de cumplimiento corporativo. En lapresentación del estado actual a un público ejecutivo, siempre sea franco y tenga cuidado de evitar dos extremos: endulzar la situación en un esfuerzo por aliviar las preocupaciones, o generar alarma en un intento de obtener recursos adicionales.

Mantenga estos consejos en mente al pintar su cuadro de cumplimiento de TI ante un público ejecutivo: Si aún no es totalmente compatible o si sufrió un revés en una auditoría o evaluación durante el año anterior, confronte ese hecho y explíquelo a los ejecutivos utilizando lenguaje sencillo, como se sugiere en la primera regla.

Regla # 3: Proporcione una hoja de ruta realista

La regla final para presentar las cuestiones de cumplimiento de TI a los ejecutivos es siempre dar seguimiento a los hechos brutales con una hoja de ruta clara para llevar a su organización a un estado de cumplimiento. Una vez que usted ha esbozado los obstáculos para el cumplimiento, explique cómo va a superar los obstáculos y lograr el cumplimiento.

En muchos casos, el cumplimiento de la visión planteada en el plan requerirá inversión de tiempo y dinero. Es probable que también se requiera de la cooperación de las funciones de negocio fuera de TI. Indique claramente la inversión que necesita y no olvide incluir el modelo de negocio que justifique la inversión. Por ejemplo, si ustedtiene un hallazgo de auditoría que critica las prácticas de administración de contraseñas, es posible explicar a los ejecutivos que de no remediar este hallazgo se puede dar lugar a que los auditores soliciten la inserción de una nota al pie en la próxima declaración financiera anual que se audite, lo que puede significar una bandera roja para los posibles inversores. Este es el lenguaje que los ejecutivos entienden.

La presentación de los problemas de cumplimiento de TI a un público ejecutivo puede ser un desafío. Si coloca las cuestiones de cumplimiento en el idioma de su negocio, presenta una evaluación honesta de la situación y proporciona una hoja de ruta para resolver los temas pendientes, tiene una buena oportunidad de romper las barreras de la incomprensión y obtener los recursos necesarios para construir un sólidoprograma de cumplimiento.

Sobre el autor: Mike Chapple, Ph. D., CISA, CISSP, es gerente de seguridad de TI para la Universidad de Notre Dame. Anteriormente se desempeñó como investigador de seguridad de la información en la Agencia de Seguridad Nacional y la Fuerza Aérea de los E.U. Chapple es un colaborador frecuente de SearchSecurity, y funge como experto residente para la sección Pregunte a los Expertos de ese portal en materia de cumplimiento empresarial, marcos y normas. Anteriormente se desempeñó como experto en sitio de seguridad de redes; es editor técnico de la revista Information Security y autor de varios títulos de seguridad de la información, incluyendo la Guía de Preparación CISSP e Information Security Illuminated.