IT compliance:

- Cumplimiento de normas legales (regulaciones del segmento del mercado donde trabajan o leyes
nacionales o internacionales) e internas de la empresa (reglas, especificaciones, políticas o estandares)
relativas a la tecnología de la información para evitar la vulneración de los datos de las empresas por
medio de ataques internos y externos.

Beneficios:
- Mejora la seguridad: Las regulaciones de seguridad de IT establecen requisitos de base “baseline” que
mantiene los niveles de seguridad de los datos del negocio consistentes.
Es el más importante de IT Compliance porque hay que velar por la seguridad de los datos.
Si la empresa implementa IT Compliance, nos va a asegurar ciertos beneficios, vamos a mejorar la
seguridad, para hacer esto primero se marca un baseline mínimo de seguridad.
EJ: Las contraseñas van evolucionando con las buenas practicas a la hora de crear (largo de caracteres,
diferentes tipos de caracteres, rotación de passwords, etc).

- Reduce el riesgo legal y evita futuros costos: Ayuda a la compañía a evitar riesgos legales, multas o
pagos compensatorio previniendo las violaciones de seguridad y la pérdida de datos. La pérdida de
imagen de la empresa por estos eventos rara vez es recuperable.
Muchas veces si hay vulneración de datos o una merma en la performance de servicio, la empresa va a
tener que pagar una multa al cliente en muchos casos
Tambien esto te asegura la confiabilidad de tus clientes.

- Incrementa el control: Previene errores de los empleados restringiendo el acceso y evita robo de
información interna aplicando políticas de roles y credenciales de acceso.
Cada persona va a acceder a los datos que tiene que manipular, esto se da con política de roles y de
acceso.
Cada persona va a acceder a lo que tiene permitido, es una política de antirrobo.

- Crea confianza: Demuestra a los clientes que se cumplen con normas y regulaciones para mantener sus
datos seguros. Es un valor agregado que se genera cuando uno cumple con todo.

Retos para aplicar IT compliance:

Resistencia de la Organización: Convencer a los empleados al cambio de la cultura del trabajo y
aplicación de nuevas políticas. Hay que cambiar un poco la forma de trabajar, nuevos procesos, nuevos
puntos de control, quizás la gente llega a tener menos acceso que antes y ahora esto es más burocrático
que antes. Es difícil cambiar a los empleados en su forma de trabajar.
Hay que aplicar mucha capacitación y training al empleado para que se adecue al nuevo tipo de trabajo,
que puede ser más burocrático al principio, pero más eficaz al final.
Complejidad de la Regulación: Regulación inaccesible o incomprensible, requerimientos muy complejos
y difíciles de entender.
Es complicado a veces comprender la regulación, a veces es inaccesible. Es un desafio.

Costo de compliance: Los programas de compliance deben demostrar como contribuyen a la mejora de
la Organización, RoC (Return of Compliance) y RoI (Return of Investment).
Como uno puede justificar el costo de la organización:

Definir Métricas: Como se medirá el éxito del programa de compliance.

Por ejemplo, el ROC es un reporte que te indica todas las mejoras que tiene la organización por
aplicar IT Compliance. Determinar las variables / métricas a monitorear y validar que el IT
compliance sea exitoso.

Marcar un baseline: Marcar un punto de partida a partir del cual se tomarán las métricas.
Para esto se puede analizar si estamos en IT Compliance o no.

Lidiar con la sobrecarga de trabajo: La excesiva administración y papeleo reduce la eficiencia y la

habilidad para enforcarse en el negocio.
Estamos añadiendo al principio un mayor nivel de burocracia.
Antes uno generaba 10 documentos por semana, pero con la aplicación de IT Compliance hace que tu
productividad baje a menos de 10 documentos por semana, pero la exigencia será la misma. Por ende,
se genera una mayor carga de trabajo la cual habrá que mejorar y mejorar la eficiencia del empleado.

Fallas en el monitoreo: Hacer hábito de la norma en la Organización mediante la realización de

Inspecciones y auditorias aleatorias.
Hay que definir métricas e ir evaluando a lo largo del tiempo, validar si las variables que tomo son del
todo fidedignas en todo el tiempo en el que validamos IT Compliance? Hay que estar constantemente
perfeccionándolo
Framework:

- Cultura: La cultura y la mentalidad “mindset” son críticas para asegurar la efectividad del
programa de compliance. El management debe establecer las formas y comunicarlas al resto de
la Organización. Se deben llevar a cabo campañas para fortalecer el mensaje.
Hay que convencer a los empleados de los lineamientos y objetivos de la empresa, los
procedimiento que utiliza en cada uno de los procesos. Trabajar en la cultura es crítico para
asegurar el programa de IT Compliance.
Se tiene que dar muchas campañas de capacitación para entender los mensajes claros, concisos
y amigables, para resaltar los cambios en la organización, y que sea continuo en el tiempo.

- Políticas y Procedimientos:
La empresa tiene ciertas políticas y procedimientos que cumplir.

o Código de conducta de empleados: Establece principios para guiar a los empleados a

llevar a cabo sus tareas y responsabilidades. Cubre desde la conducta en el área de
trabajo hasta la conducta en los negocios como ser: prohibición de sobornos,
corrupción, conflicto de interes entre partes, etc...

o Código de conducta de proveedores: Establece principios de manejo de proveedores

dentro de la Organización, desde prácticas laborales, normas de seguridad y gestión
ambiental.
Hay que saber administrar a los proveedores, como darles acceso a los distintos lugares
que tienen que entrar, pedirles la constancia de la ART al proveedor por ejemplo. Por
ello cuando se manda un empleado a trabajar a otra se exigen muchos papeles.
Con la gente tercerizada, tambien deben de seguir un código de conducta de
 proveedores.

o Política de denuncia de irregularidades: Fomenta la denuncia de violaciones o

conductas indebidas a través de un proceso y un canal claramente definido.

o Políticas de compliance: Cubren asuntos como: donaciones, obsequios, hospitalidad,

patrocinios y operaciones con información privilegiada. Se revisan en conjunto con las
normativas jurídicas donde se encuentre la Organización.

- Entrenamiento y Comunicaciones: El entrenamiento es esencial, es obligatorio para todos los

empleados los cuales deben completar una evaluación al final del mismo para dar formalmente
entendimiento de las políticas de compliance e informen conflictos de intereses si los hubiere.
En compliance se tiene hacer una baja de línea desde arriba, con entrenamientos y que el
empleado entienda que entendió estos lineamientos de compliance. Muchas veces hay una
firma del empleado con la adenda de la capacitación, etc.

- Procesos claves de compliance:

o Due Dilligence - “Debida Diligencia”: Son los pasos a llevar a cabo por un individuo para
satisfacer un requerimiento legal. Ej: comprar o vender algo, adquitir un servicio.
Se usa muchos en los negocios cuando hay un tema de sesión o negociación por parte
de un proveedor de servicio.
Si nosotros somos una empresa de administración de SO que trabajamos para ota
empresa.
En el Due Dilligence va a estar todo el ambiente del cliente, tantos equipos físicos, que
SO, todo el detalle de todos los equipos virtuales, con el sistema de autenticación,
política de backups, como es le trabajo hoy en dia, si el soporte va a ser en un cierto
horario, SLA. Todo esto esta en el Due Dilligence, lo firma el proceedor y el cliente, y dan
por ok todo lo que hace en el servicio.

o Mejores Prácticas - “Best Practices”: Se contrastan las políticas de compliance contra

las mejores prácticas para asegurarse que las mismas sean robustas y consistentes. Se
evalúan las recomendaciones para ser incorporadas dentro de las iniciativas de
compliance.
IT Compliance tiene que tener en cuenta las mejores practicas, para el manejo de
seguridad, de informacion, etc. Esto siempre pasa con los procesos de mejora continua.

o Otros Procesos: Continua revisión de las políticas y procesos de compliance.

- Relevamiento de riesgos, revisión y monitoreo: Permite al equipo de compliance evaluar

riesgos para identificar y mitigar riesgos de compliance claves, se hace foco en cada unidad de
 negocio de manera independiente dentro de la Organización.
No todos los riesgos no se pueden mitigar, porque son complejos, pero se puede evitar teniendo
un “backup”. Los riegos se pueden calificar por su posibilidad de ocurrencia o su impacto.

- Recursos de compliance: Es necesario contar con un equipo de compliance experimentado para

respaldar eficazmente el negocio en lo que respecta al asesoramiento de compliance como así
también garantizar que los programas y controles de compliance se implementen de manera
efectiva.
A nivel de compliance es necesario que haya gente experimentada y que este dedicada a esto,
ya que esto se trabaja todos los días, siempre hay algo que actualizar, regular, estar pendiente
de los movimientos del mercado, actualizaciones del mercado, ataques, etc.

SLA (SERVICE LEVEL AGREEMENT)

¿Qué es un SLA?

Es un acuerdo de nivel de servicio esperado por un cliente de un proveedor estableciendo las métricas
con las que se medirá el servicio y las soluciones o sanciones, si las hubiera, en caso que no se cumplan
dichos niveles de servicio acordados. Por lo general los SLA son entre compañías y proveedores
externos.
Cada vez hay más SLA dentro de la empresa entre las unidades de negocio (entre el área de
comunicaciones y el área de servidores, por ejemplo).

¿Por qué es importante un SLA?

Es una parte integral de un contrato de servicio de IT, establece todos los requerimientos del servicio en
un contrato, clarifica métricas, responsabilidades y expectativas; en el caso de ocurrencia de un evento
con el servicio asegura que ambas partes tienen el mismo entendimiento sobre el mismo.

¿Cómo se compone un SLA?

El SLA incluye componentes dentro de 2 grupos:

- Servicio: Especifica las condiciones de la disponibilidad del servicio, ventanas de tiempo del
servicio, ej: L-V – 8-20 hs., responsabilidades de cada parte, tiempos de respuesta,
procedimientos de escalación y compensaciones.

- Administrativo: Define las métricas a utilizar y el método de medición, proceso de reporte,

frecuencia de muestreo, un proceso de resolución de disputas, cláusulas de indemnización ante
una infracción en el nivel de servicio y un mecanismo para actualizar el acuerdo de ser
necesario.

¿Qué tipo de variables son generalmente monitoreadas?

Dependiendo del tipo de servicio, son todas aquellas que pueden ser medidas de manera sencilla,
precisas (no dé lugar a confusiones) a un bajo costo.

- Disponibilidad del Servicio: Se mide por “time slot”, (cada 5 minutos), con un requisito de 99.5
% de disponibilidad dentro de la franja horaria estipulada (8:00 – 18:00).

- Tasa de fallas: Cantidad o porcentaje de errores. Ej: cantidad de errores en un enlace de

internet, % de backup incompletos o fallados durante la ventana.

- Calidad técnica: Utilizada en la tercerización de desarrollo de software por el grupo de calidad

examinando factores como: tamaño de los programas, defectos de programación, etc.

Ejemplo de SLA:
- Enlace de red.
- Mesa de ayuda.
- Servicios de Cloud
- Redundancia de componentes. Cuando un proveedor hablar de que te esta asegurando tanto, sea
hardware, software, estamos hablando de SLA.
Cuando hablamos de SLA hablamos de alta disponibilidad.
- Un servicio médico, por el nivel de atención que le podes dar. Según la emergencia o urgencia, según la
situación hay un cierto tiempo de respuesta. Entonces se establecen diferentes niveles de atención.
- Las prepagas tienen diferentes tipos de planes. Si vos tenes el plan 1 por una urgencia, te voy a atender
dentro de los 5 minutos, si vos tenes el plan 2 te voy a atender dentro de los 15 minutos.
Esto tiene que ver mucho con los soportes.

Presupuesto de IT:
Presupuesto (Budget)

Plan financiero para un determinado período, generalmente 1 año, compuesto por CAPEX y OPEX con el
fin de lograr los objetivos fijados por la gerencia.

OPEX (OPerating EXpenditure)

Es el costo permanente anual de mantención de un servicio o solución, o sea, engloba todos los “costos
operativos”. Es el costo operativo, es el costo de funcionamiento.
En un auto, el OPEX sería el seguro, la patente. Es el costo operativo por tener el auto.
El costo de tener una infraestructura, espacio, refrigeración, gente trabajando.

CAPEX (CAPital EXpenditure)

Es el costo anual de inversión para la adquisición de soluciones.
Tengo que hacer un cambio tecnológico, comprar nueva infra, una nueva solución de DR, backup, una
solución de HA, todo lo que tenga que adquirir es inversión, y todo lo que sea inversión en IT es CAPEX.
Una licencia que tenes que renovar todos los años, seria CAPEX.