El Compliance Manager o Administrador de Cumplimiento, forma parte del Microsoft Service Trust Portal y proporciona herramientas para rastrear, implementar y administrar los controles de auditoría ayudando a una organización a cumplir con los estándares de seguridad y protección de datos utilizando servicios Office 365 y Azure.
La configuración se lleva a cabo desde https://servicetrust.microsoft.com y es el punto de partida para definir los controles de cumplimiento necesarios y medir el grado de cumplimiento actual de la organización.
A continuación, os damos algunas directrices generales para configurar el administrador, pero es recomendable la lectura del artículo de Microsoft Usar el Administrador de Cumplimiento para cumplir los requisitos normativos y de protección de datos al usar los Servicios en la nube de Microsoft.
Configurar los controles de cumplimiento
Dentro del Administrador de Cumplimiento, hay una vista con todas las acciones de evaluaciones de control asignadas. En esta vista, hay una pestaña asociada a cada evaluación o norma específica, por ejemplo, la GDPR.
Estos controles se consideran una responsabilidad mixta, de modo que algunos los evalúa Microsoft y otros los debe gestionar el cliente. El primer paso para configurar estos controles es el de reunir a los responsables de datos y los responsables de cumplimiento de la organización y marcar en cada control gestionado por el usuario (controles personalizados) los que aplican a la organización y los que están fuera del alcance de la misma.
A los controles personalizados que están dentro del alcance, se debe asignar un responsable, documentación, detalles de implementación y plan de pruebas para garantizar el cumplimiento del control. El responsable, estará al cargo de evaluar estos controles cada cierto tiempo y notificar el grado de cumplimiento.
Administrar las evaluaciones de cumplimiento
Las evaluaciones de cumplimiento se agregan desde el panel del Administrador de Cumplimiento, pinchando en Agregar evaluación y seleccionando:
- El grupo que se quiere evaluar.
- El servicio de Microsoft para evaluar el cumplimiento.
- La certificación para evaluar el servicio.
Por último, se pincha en Agregar al panel. Esto agregará la evaluación al panel del Administrador de Cumplimiento como un nuevo icono. Pinchando en el nombre de la evaluación se podrán ver los detalles. Desde el menú de Acciones se podrán consultar las acciones asignadas, cambiar el nombre del grupo de evaluaciones, exportar el informe o archivar la evaluación.
Una vez agregadas, se puede asignar una acción a cada usuario por cada control involucrado en la evaluación. Al asignar esos elementos de acción, se puede enviar un correo que informe de las instrucciones y prioridad de dicha acción. El correo incluye un enlace al panel de Elementos de acción del usuario al que va dirigido.
El usuario que realice una acción y rellene la información necesaria, puede necesitar asignar el control de la acción a otro usuario para que la complete, aportando nuevos datos o realizando cualquier tipo de tarea adicional. Esta reasignación se hace accediendo al control sobre el que se está actuando y variando su columna de usuario asignado para marcar el, o los, usuarios que deban tener asignada la acción.
Explotar la información
Una vez definidos los controles y realizada alguna evaluación, el Administrador de Cumplimiento proporciona un repositorio en el que cargar y administrar evidencias documentación y cualquier otra información relacionada con las actividades de cumplimiento. Además, cuenta con una herramienta para producir informes en formato Excel que documentan las actividades de cumplimiento realizadas por Microsoft y por su organización. Estos informes se pueden proporcionar a auditores, reguladores y otras partes interesadas en el cumplimiento.
