Guía Esencial

Navegue en las secciones

BACKGROUND IMAGE: iSTOCK/GETTY IMAGES

Este contenido es parte de Guía Esencial: Retos de la privacidad de los datos y el cumplimiento normativo
Resolver Problemas Consiga ayuda para problemas específicos con sus proyectos, procesos y tecnologías.

Los tres vínculos que faltan para asegurar el cumplimiento de la gestión de registros

En la era digital, hay tres aspectos importantes que se debe reforzar para lograr el cumplimiento en la gestión de registros (RM). Conózcalos aquí.

El concepto del siglo 20 para la gestión de registros era simple: Preservar ciertas categorías de registros en papel por períodos de tiempo de acuerdo con un programa de retención determinado por las normas legales aplicables. En esencia, preservar registros significaba hacer precisamente eso: preservar el activo de información definitivo, impreso, por un período de tiempo determinado.

Esto permitió a los reguladores, si era necesario, acceder y confiar en esos registros para evaluar el desempeño de una empresa frente a otras normas aplicables que regulaban el comportamiento corporativo. Estas normas podían incluir una amplia gama de procesos de negocio, incluyendo el cálculo correcto de los ingresos y gastos, la seguridad en la producción y la distribución de los productos fabricados o la buena administración de los procedimientos médicos. Lograr el cumplimiento de la gestión de registros, en su esencia, involucraba preservar los registros que pudieran demostrar los esfuerzos de la empresa para adherirse a las leyes aplicables a sus operaciones.

En el siglo 21, el panorama de la regulación global está cambiando rápidamente, y la mayoría de las empresas omiten elementos vitales cada vez más necesarios para lograr el cumplimiento de la gestión de registros. Con la introducción del procesamiento de datos, el comercio electrónico y las comunicaciones digitales, los registros de una empresa y los procesos de gestión de la información han cambiado en tres aspectos importantes. Perder de vista estos "eslabones perdidos" eleva los costos de cumplimiento y hace que sea más probable que los registros de la empresa no satisfagan las cada vez más rigurosas inspecciones y exámenes:

  • En primer lugar, los organismos reguladores ya no están únicamente interesados ​​en la versión impresa de un registro de información. Después de todo, algunas estimaciones sugieren que más del 80% de la información corporativa no se produce como documentos tangibles en papel. Las agencias reguladorasexigen que las empresas preserven el "original electrónico", así como las versiones anteriores o bocetos que pueden indicar los cambios o modificaciones que se hayan producido. En otras palabras, como con el arte fino o el vino caro, las agencias quieren saber la procedencia de la información y ver los registros que lo prueban.

  • En segundo lugar, los organismos reguladores ya no pueden confiar en lo "finales" que son los documentos en papel. Los reguladores son plenamente conscientes de que incluso lo que se considera como las versiones finales de los documentos digitales son objeto de manipulación, sobre todo si esos registros contienen datos adversos a los requisitos de cumplimiento de una empresa. Cada vez más, los organismos reguladores buscan controles de seguridad de la información que mantengan la autenticidad e integridad de los documentos digitales después de que las versiones "finales" son determinadas y distribuidas.

  • En tercer lugar, el aumento del uso de servicios de terceros basados ​​en la nube está obligando a los organismos reguladores a asegurar que los procesos de gestión de registros obligatorios legalmente se están llevando a cabo, de hecho, bajo el control de la empresa sujeta a la jurisdicción de regulación, a pesar de que los datos puedan estar bajo el control de un proveedor de almacenamiento.

Estos son los tres eslabones que faltan para lograr el cumplimiento de la gestión de registros: Mostrar la procedencia de la información, demostrar su autenticidad/integridad y preservar el control de los registros sensibles almacenados a través de redes de amplia distribución, a veces globales. Para llenar estas áreas faltantes, las empresas deben mantener los documentos y datos que demuestran la historia de los activos de información y tratar estos datos históricos como "registros" de la compañía para ayudar a probar su cumplimiento. Piense en ello utilizando esta comparación: El camino de la auditoría para los activos de información se debe diseñar igual que los caminos de la auditoría que delinean la seguridad del producto o prueban la exactitud de su información financiera.

Para que este proyecto sea un éxito –y asequible– una empresa debe tener en cuenta tres cambios en la forma en que construyen nuevos sistemas, aplicaciones y recursos de información:

1. En primer lugar, los nuevos sistemas, aplicaciones y procesos deben ser diseñados, construidos y lanzados con los requisitos de cumplimiento de la gestión de registros horneados en su diseño. Esto significa nuevos asientos en la mesa de diseño arquitectura de TI empresarial para gobierno de la información, seguridad de la información y la función jurídica.

Hacer eso permite a todas las partes interesadas en el cumplimiento de la compañía identificar qué tipos de registros acerca de los activos de información será necesario reportar a las agencias federales. Esto también impone responsabilidad a esos grupos de interés para investigar y determinar exactamente cuáles son los activos de información de la organización.

2. En segundo lugar, la información histórica sobre un registro debería ser accesible desde el propio registro. Los abogados llaman a esto “auto-autenticación”. Esto permite que cualquier persona que acceda al registro, incluyendo los examinadores reguladores, adquieran una visión holística de la procedencia del activo de información sin una investigación excesiva.

Este es un elemento que muchos desarrolladores de aplicaciones y arquitectos de TI no incluyen durante el diseño. Construir bloques tales como registros de acceso que ayudan a los registros a auto-autenticarse deben crearse dentro de una aplicación, pero a menudo se pasan por alto.

3. En tercer lugar, los registros que delineen el diseño del proceso y los datos de auto-autentificación deben ser preservados de forma paralela a los registros primarios a los que se refieren. Este diseño de los procesos e información de auto-autenticación deben ser incluidos como parte de los registros de seguimiento de auditoría para ayudar a mostrar la integridad de los registros que están siendo examinados por los reguladores. Esto, después de todo, es de lo que se trata la preservación de los registros para el cumplimiento.

Para los sistemas o aplicaciones existentes, las empresas deben buscar oportunidades para construir retroactivamente registros que esbocen claramente sus activos de información. Estas oportunidades pueden ser difíciles de reconocer y aún más difícil de financiar. La consistencia, sin embargo, entre las prácticas de negocios para gestión de registros relacionadas con el cumplimiento reduce las posibilidades de que los datos de los activos de información sean impugnados como legalmente insuficientes.

Acerca del autor: Jeffrey Ritter es uno de los expertos en la complejidad convergente de gestión de la información, e-discovery y la aparición de los servicios basados ​​en la nube. Él asesora a empresas y gobiernos sobre las estrategias exitosas del siglo 21 para la gestión de la información digital con valor jurídico y probatorio. Actualmente está desarrollando y enseñando cursos sobre gobierno de la información en la Escuela de Ingeniería Whiting de la Universidad  Johns Hopkins y en la facultad de Derecho de la Universidad de Georgetown. Más información en www.jeffreyritter.com.

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close