Esteu preparat per a l'auditoria?
Autors: Ki James i John Boyer
Quan vau llegir per primera vegada el títol d'aquest article, probablement us vareu estremir i de seguida vau pensar en la vostra auditoria financera. Això pot fer por, però què passa conformitat auditories?
Esteu preparat per a una revisió de l'adhesió de la vostra organització als requisits contractuals i reglamentaris?
Una auditoria de compliment revisa els vostres controls interns, polítiques de seguretat, controls d'accés dels usuaris i gestió de riscos. Les possibilitats que tens són altes alguns tipus de polítiques vigents, però una auditoria de compliment relacionada amb (per exemple) la Llei de responsabilitat i portabilitat de l'assegurança mèdica (HIPAA) validarà que la vostra organització té s'aplica de manera coherent polítiques i controls, no només que estiguin en els llibres.
La naturalesa exacta d'una auditoria de compliment dependrà del tipus, però sovint consisteix a demostrar que l'accés als registres és segur i que les dades del vostre entorn d'anàlisi i informes estan restringides al personal necessari.
El problema
Proporcionar una prova bona i vàlida d'adhesió pot ser un gran dolor. Amb finalitats demostratives, centrem-nos en un exemple concret.
Cada entorn de producció hauria de tenir un digital rastre de paper. Hauria de començar amb la ideació, continuar amb les proves i la correcció d'errors, trobar el camí més enllà de la resolució i acabar amb l'aprovació del producte final completat.
Aquest darrer pas, l'aprovació final, és un dels preferits dels auditors. Podrien preguntar: "Podeu mostrar-me com confirmeu que tots els informes de l'entorn de producció s'han adherit al vostre procés documentat?"
Aleshores hauríeu de proporcionar una llista cada informe migrat.
Per què això és important
Proporcionar als auditors la informació necessària i suficient pot ser descoratjador, sobretot quan es tracta d'un procés manual, encara més si no heu planificat l'ocasió.
És important no només establir i seguir les vostres polítiques, sinó també mantenir mecanismes per validar i demostrar l'adhesió als vostres propis estàndards.
Com a mínim, heu d'estar preparats per proporcionar un registre auditable de qui ha accedit a què, quins canvis s'han fet a l'entorn, tots els informes que han fet la gent, qui ha fet els informes i com tots els recursos de l'entorn de producció han passat per les mans del desenvolupador i del control de qualitat de manera adequada. .
Les Estratègies
Estar "preparat" per a una auditoria pot tenir múltiples formes diferents, algunes de les quals són un esforç més gran i més propensos a evitar problemes que d'altres. Aquí teniu una classificació d'algunes, però no totes, per ordre d'opcions cada cop millors.
Caos i caos
És possible que, estimat i desafortunat lector, a través d'aquest article us hàgiu adonat que no esteu preparats per demostrar que no comet greus violacions de la HIPAA a satisfacció d'un auditor.
Si aquest és el cas, pot ser que sigui massa tard depenent de quant de temps hagi regnat el vostre status quo casual. És possible que us trobeu en la desafortunada posició de lluitar per trobar qualsevol tros d'informació que pugueu.
Aquest és un mètode provat i veritable que s'ha demostrat al llarg dels annals del temps que té resultats desastrosos.
Si teniu previst aprofitar les vostres oportunitats i apostar per aquesta estratègia, simplement no ho feu. El teu futur jo t'ho agrairà.
Sang, suor i llàgrimes
Tradicionalment, les empreses han mantingut registres meticulosos de tot el que passa a través del treball i el treball. En alguna carpeta del seu sistema, hi ha fulls de càlcul i documents escrits a mà (o escrits a mà) que detallen tot el que un auditor podria necessitar saber.
Si esteu intentant sortir de l'estratègia del caos i el caos, aquesta pot ser la vostra millor aposta per començar. En lloc d'esperar a recórrer i trobar tota la informació clau sota la terrible mirada d'un auditor, es pot fer manualment tot el que teniu i compilar-lo en un registre almenys semi acceptable mentre tingueu temps.
Tant si aquesta estratègia és o no la vostra norma del dia a dia o la forma en què planifiqueu sortir dels mals hàbits, us recomanem el següent pla perquè comenci tan aviat com sigui possible.
Programari de control de versions
Tenir un control holístic de versions a totes les parts del vostre negoci, no només els repositoris on es pre-empaquetat, fa que tot aquest procés es gestioni per si mateix. A mesura que els usuaris fan canvis a qualsevol cosa, registrarà automàticament en silenci qui fa el canvi, a quina hora, quins procediments s'han seguit, les nou iardes senceres.
Quan els auditors truquin a la vostra porta i volen saber què ha passat, només podeu consultar el vostre historial de versions intern. No haureu de lluitar per trobar proves, no haureu de perdre hores en un full de càlcul enregistrant informació: el programari fa la feina per vosaltres. Només pots centrar-te on més importa.
El programari de control de versions també té altres grans avantatges; és a dir, la possibilitat de tornar a versions anteriors. Aquesta pot ser una característica de qualitat de vida enorme, especialment per als programes que d'altra manera no tenien aquesta funcionalitat.
Tenir la capacitat de tornar de manera completa i precisa a versions precises també us ofereix una manta de seguretat de coses com el ransomware, on esborrar les vostres màquines pot ser una necessitat per començar a executar el negoci de nou. En lloc de perdre tots els vostres registres o fins i tot el projecte en si, simplement podeu consultar el control de versions, triar l'opció més recent i, boom, heu tornat al negoci.
Conclusió
Les auditories no han de ser fantasmes aterridors que planegen sobre el vostre negoci, esperant aixafar qualsevol impuls que tingueu. Si prens les precaucions adequades i adquireixes un bon programari de control de versions, l'estrès d'una auditoria i la tasca del manteniment de registres poden desaparèixer, com llàgrimes a la pluja.
