RGPD, LPM, NIS… Hoy en día, las empresas están sujetas a un número cada vez mayor de marcos normativos y de cumplimiento. Aunque estas normas son esenciales para garantizar un alto nivel de seguridad dentro de la organización, a veces pueden obstaculizar la fluidez de las operaciones.
Pero, ¿cómo hacer frente a una situación que no se ajusta a la política de seguridad de los sistemas de información (PSSI) de la empresa o a uno de los numerosos textos aplicables? ¿Qué es una exención? Y, sobre todo, ¿cómo establecer un sistema de gestión de las exenciones dentro de una empresa?
¿QUÉ ES UNA EXENCIÓN?
Una exención puede definirse como una autorización excepcional o una exención temporal concedida para desviarse de las normas o políticas establecidas en la organización.
Para Baptiste David, Jefe de Preventa y Entrega de Tenacy,”una exención es la no aplicación de una medida de seguridad“.
Un ejemplo concreto de esta necesidad de exención puede verse en la gestión de la política corporativa de acceso a Internet: no es infrecuente ver a los Departamentos de TI bloquear el acceso a sitios recreativos como Facebook dentro de las empresas, por temor a la filtración de información sensible o a la infección por malware. Aunque legítima, esta restricción generalizada afecta sistemáticamente a los equipos de comunicación y marketing, que hacen un uso legítimo de las redes sociales. Es en esta situación cuando se pueden utilizar exenciones para adaptar la política de seguridad de la empresa a las necesidades específicas.
Otro ejemplo de exención se refiere a la gestión de los derechos de administrador dentro de una organización. Por regla general, los empleados no tienen derechos para administrar sus puestos de trabajo. Sin embargo, en situaciones específicas, los usuarios pueden necesitar derechos de administrador para instalar o actualizar software. También en este caso, la derogación permite adaptar la norma a la situación.
Cabe señalar que las exenciones no se limitan únicamente a las necesidades individuales de los usuarios. También pueden aplicarse a un nivel jerárquico, como un departamento o una dirección: las llamadas VIP.
¿Es obligatorio acogerse a las exenciones?
Las exenciones no son estrictamente obligatorias, pero hay que tener en cuenta que algunas normativas las exigen. Desde el punto de vista de la gestión de riesgos, la ausencia de gestión de exenciones puede ser señal de que la empresa no está teniendo en cuenta todos los escenarios potenciales y las necesidades específicas de sus usuarios.
Estos últimos, a menudo creativos en sus necesidades, pueden encontrar justificaciones para no cumplir las políticas establecidas, o incluso para sortear el problema utilizando herramientas de software no aprobadas por el Departamento de TI. Una buena gestión de exenciones implica preguntarse el “por qué” de cada solicitud de exención.
Para Baptiste David,”en este caso, el objetivo de las exenciones es distinguir entre necesidades legítimas e ilegítimas, garantizando al mismo tiempo la seguridad de la empresa e impidiendo la elusión no autorizada“. El creciente número de solicitudes está obligando a las empresas a establecer un sistema de gestión de las exenciones.
¿POR QUÉ CREAR UN SISTEMA DE GESTIÓN DE EXENCIONES?
Definir un marco reglamentario
Un sistema de gestión de exenciones permite:
- recibir solicitudes de apertura;
- llevar un registro de los intercambios para reforzar la transparencia y la responsabilidad.
Esta centralización permite a los equipos informáticos controlar y tener en cuenta cualquier cambio en la política de seguridad de la empresa.
Facilitar las auditorías
Al disponer de una herramienta que centraliza las solicitudes de exención anteriores, la empresa puede demostrar de forma transparente y documentada cómo gestiona estas exenciones.
Cuando un auditor formula preguntas sobre la gestión de las exenciones, la empresa puede aportar pruebas tangibles de su proceso de exención, demostrando así su compromiso con el cumplimiento y la seguridad. Sin esta documentación, la empresa corre el riesgo de tener que consolidar la información, lo que puede complicar y prolongar el proceso de auditoría al tiempo que aumenta los niveles de estrés en los equipos.
Evitar sanciones
La ausencia de un sistema de gestión de exenciones puede tener graves consecuencias para una empresa. En caso de auditoría, la empresa corre el riesgo de ser acusada de falta de seguimiento y documentación, lo que podría acarrearle sanciones como multas o la pérdida de la certificación.
La certificación, como la ISO 27001, se ha convertido en una marca de confianza y un imperativo a la hora de elegir un proveedor de servicios. Perder esta certificación puede dañar la reputación de una empresa y comprometer su capacidad para acceder a contratos, o incluso para presentarse a licitaciones.
¿CÓMO SE CONFIGURA UN SISTEMA DE GESTIÓN DE EXENCIONES CON TENACY ?
Tenacy ofrece potentes funciones diseñadas para simplificar y optimizar la gestión de las exenciones.
Poner en marcha una herramienta fácil de usar
Con Tenacy, un usuario puede presentar una solicitud de exención por ticket, indicando los motivos y la duración de la exención. El aprobador puede entonces aceptar o rechazar la solicitud, añadiendo una fecha de caducidad. Esta colaboración transparente garantiza que todas las partes interesadas se beneficien del mismo nivel de conocimientos.
Organizar el seguimiento
La plataforma Tenacy garantiza el seguimiento y la trazabilidad de cada exención. Esta trazabilidad incluye las fechas, las personas implicadas, los objetos de la exención y el periodo de validez. Es importante señalar que las exenciones suelen ser temporales, lo que significa que debe especificarse una fecha de finalización para cada exención.
La correlación de las solicitudes con la política de seguridad de la empresa (PSSI) permite vincular estos dos elementos para obtener una visión global que permita decidir si se acepta o no la solicitud.
Los usuarios también pueden añadir documentos y comentarios para completar el proceso de supervisión.
Medir el rendimiento
El uso de indicadores de rendimiento (KPI) permite evaluar la eficacia global del proceso de gestión de exenciones. Número de exenciones tramitadas, no tramitadas, número total de exenciones… Tenacy dispone de indicadores de rendimiento generados diariamente, que proporcionan información esencial para la gestión. Para no olvidarse de nada, las alertas y notificaciones recuerdan a los usuarios si una exención está a punto de expirar.
Una plataforma que va más allá de la gestión de exenciones
Al igual que elegir un CRM implica mucho más que tomar notas en el expediente de una empresa, el alcance funcional de la plataforma Tenacy va mucho más allá de la simple gestión de las exenciones.
Esta plataforma ofrece una serie de funciones que van desde la elaboración de informes hasta la automatización, con características específicas como la integración de un catálogo de conformidad: esto permite a las empresas orientar con precisión las políticas de seguridad que se aplican a su sector de actividad.
EN BREVE
El uso de exenciones es un elemento esencial en la gestión de riesgos y la aplicación de la política de seguridad de una empresa. Sin embargo, esto no puede hacerse sin un sistema fiable y eficaz de gestión de las exenciones.
Con Tenacy, la gestión de las exenciones se convierte en un proceso transparente y fluido, en línea con los requisitos de cumplimiento más estrictos. ¡Ponte en contacto con nuestros expertos para obtener más información!