Asignación de controles a los requisitos con Mapas de cumplimiento.

Mapas de cumplimiento es una aplicación en Diligent HighBond.

Puede utilizar Mapas de cumplimiento para asociar los estándares y las normas de la industria con sus marcos de control. Esto le permite visualizar la cobertura, realizar un seguimiento de los cambios normativos, minimizar la exposición al riesgo organizativo reducir la carga operativa y proporcionar a los equipos de dirección y ejecutivos una comprensión holística de la postura global de cumplimiento de la organización.

¿Qué son los mapas de cumplimiento?

Mapas de cumplimiento es una aplicación que centraliza la documentación de los requisitos reglamentarios y los controles asignados. Utilizando Mapas de cumplimiento, puede:

  • identificar los estándares y las normas aplicables
  • unificar una lista de requisitos entre todos los estándares y las normas aplicables
  • asignar los controles en marcos a los requisitos
  • combinar los resultados de las pruebas y los asuntos para hacer un seguimiento y reportes sobre el estado del cumplimiento en tiempo real

Cómo funciona

Las organizaciones federales con frecuencia deben cumplir con cientos de requisitos. Los departamentos de auditoría también están involucrados en el cumplimiento cuando cuentan con requisitos de políticas internas que deben controlar para garantizar que todo está funcionando de manera efectiva.

Creación de un mapa de cumplimiento

Para mostrar el cumplimiento de su organización con las especificaciones pertinentes, puede crear un mapa de cumplimiento:

  1. identificando el alcance del cumplimiento y anotando cuáles son los requisitos aplicables a la organización
  2. especificando la base lógica de los requisitos que no son aplicables
  3. asignando controles a los requisitos

Una vez que asigna controles a los requisitos, se agregan resultados de las pruebas y asuntos en el mapa de cumplimiento para que usted pueda hacer lo siguiente:

  • identificar los faltantes
  • priorizar asuntos
  • hacer un seguimiento del avance del cumplimiento

Relaciones en los mapas de cumplimiento

La siguiente figura muestra las relaciones entre los estándares o las normas, los requisitos y los controles en los Mapas de cumplimiento.

Nota

Los términos de la interfaz son personalizables y los campos y fichas son configurables. En su instancia de HighBond, algunos términos, campos y fichas pueden ser diferentes.

Términos

En la siguiente lista se definen los términos que se utilizan en los Mapas de cumplimiento:

  • Normas Documentos de una autoridad escritos y emitidos por departamentos del gobierno federal, con frecuencia se los clasifica en una Ley.

    Ejemplos

    FedRAMP 2016 0.1

    Libro Verde - Revisión 2014 (GAO-14-704G)

    NIST SP 800-53 Controles de seguridad - Rev4

  • Estándares Documentos de una autoridad que son el origen de requisitos de prácticas recomendadas y citaciones relacionadas.

    Ejemplos

    Marco COBIT 5

    Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI)

    Marco de control interno COSO 2013

  • Requisitos Una serie de directrices que se establecieron para resumir un estándar o una norma.

    Nota

    Si bien los requisitos se pueden denominar principios, atributos, actividades, tareas o pasos en diferentes normas y estándares, el término común que se utiliza en Proyectos es Requisito.

    Ejemplos

    • Establecer y realizar procedimientos de copia de seguridad de aplicaciones, bases de datos, configuraciones de sistemas, configuraciones de redes, documentos y sistemas de mensajería.
    • Documentar el concepto de operaciones en el plan de continuidad, lo cual incluye una descripción del sistema, la línea de sucesión y las responsabilidades.
  • Controles Medidas o acciones para garantizar que una organización logre el cumplimiento de los requisitos.

    Ejemplos

    • Existen políticas y procedimientos relacionados con la copia de seguridad de los datos que establecen claramente las responsabilidades de los empleados.
    • Se realiza una replicación de datos en tiempo real entre los servidores para proporcionar una copia de seguridad actualizada si falla el sistema de producción central.
  • Aplicable La indicación de si el requisito es relevante o apropiado para su organización.
  • Cubierto La indicación de que se cumple el requisito.
  • Peso del control El porcentaje del requisito que cubre el control.
  • Cobertura Una medida porcentual que indica el grado en el que los requisitos aplicables están cubiertos por los controles.
  • Faltantes Un recuento de la cantidad de requisitos aplicables que no están cubiertos.
  • Aseguramiento Un cálculo que representa la confianza de su organización en que los requisitos se cumplen.

Beneficios

La implementación de un programa de cumplimiento exitoso requiere esfuerzos intensivos y conocimientos especializados de las normas y los estándares.

Los mapas de cumplimiento ayudan a reducir este esfuerzo porque:

  • centralizan la gestión del cumplimiento cree una visión integral para las partes externas y permitirles comprender rápidamente el programa de cumplimiento de su organización y el grado de avance
  • racionalizan y simplifican la carga elimine esfuerzos duplicados a través de requisitos armonizados y proporcione cobertura para normas y estándares diversos y superpuestos
  • facilita la administración de los asuntos obtenga la supervisión mediante el seguimiento fácil del progreso de las pruebas de control y capture y asigne temas marcados para la aplicación de acciones correctivas en todo su proceso de revisión del cumplimiento
  • proporciona calificaciones y reportes de aseguramiento califique su aseguramiento con una medida única y general que proporcione a la gerencia una comprensión instantánea del grado en que la organización cumple, por regulación, procesos de negocios o entidad

Beneficios claves para diferentes profesionales

Cargos profesionales Beneficios
  • Director de Información
  • Gerente de Cumplimiento de TI
  • Gerente de Seguridad de la Información
  • Puede asegurar a clientes y terceros interesados que existe un entorno de control sólido
  • Puede prevenir la exposición de la organización a incumplimientos de datos o medidas de aplicación de la norma
  • Oficial de cumplimiento
  • Gerente de Cumplimiento
  • Puede colaborar con partes interesadas que deben cumplir con varios estándares y normas
  • Puede administrar el avance del cumplimiento centralizando la documentación de los requisitos y sus controles asignados