Translate-Traduzca-Traduire-Übersetzen-Перевести-翻译 - 翻译-Traduzir-翻訳 - 翻訳-

Buscar en este blog

Cargando...

sábado, 7 de marzo de 2015

La protección de datos es un asunto del negocio, no de tecnología

fuente; elobservador.com.uy
Ing. José Luis Mauro Vera
 Resultado de imagen para datos

En la actualidad, es un hecho que las organizaciones aprovechan las Tecnologías de la Información (TI) para generar, procesar, almacenar y compartir información dentro y fuera de  las mismas. Esta situación hace que las propias organizaciones deleguen las actividades de protección de datos a los Gerentes de TI, sin tener presente que los procesos y las personas que interactúan con los datos también forman parte de la ecuación.

La respuesta de TI para proteger la información
Como respuesta a tal delegación, los responsables de TI en las organizaciones suelen apelar a herramientas tecnológicas para mantener la información protegida. Sin embargo, las implementaciones de tecnología son costosas, y muchas veces resultan ineficaces a la hora de mantener los datos protegidos de fugas o divulgaciones. Muchas organizaciones suelen quejarse por no ver el correspondiente retorno de la inversión en tecnologías para proteger los datos. Incluso, en mercados donde existen sofisticadas herramientas y alta disponibilidad de recursos, es posible ver como en forma viral se propagan noticias en las redes sociales y en medios de prensa producto de fugas de información confidencial, provocando serios perjuicios para las organizaciones involucradas.

Dificultades que se presentan a la hora de proteger los datos
EY ha venido trabajando a nivel mundial con varias organizaciones a efectos de ayudarlas a implementar programas de protección de datos, y también recabando información sobre aquellas que ya lo han implementado para evaluar sus resultados. Las principales dificultades en la implementación de dichos programas suelen ser:
• Visualizar la protección de datos como un problema de tecnología y no como un asunto que
concierne al negocio en su conjunto.
• Proteger a todos los datos con el mismo nivel de control.
• No comprometer a los usuarios en los procesos de clasificación de información ni protección
de datos.
• Enfocarse de forma desproporcionada en controles preventivos, dejando en segundo plano
la inversión en la capacidad de detectar y responder ante incidentes.
• No combinar adecuadamente los procesos y la tecnología acorde a la realidad de la
organización.
• Falta de involucramiento, compromiso y dirección desde la Alta Gerencia.

Pasos para encarar un programa de protección de datos
A efectos de lograr combinar inversión y efectividad para proteger los datos, proponemos a las organizaciones definir y consensuar una metodología de trabajo que lleve a la organización a proteger razonablemente los datos según la naturaleza de los mismos.

1) Implementar programa de protección de datos a través de una metodología probada. Considerar definir y ejecutar una metodología que involucre a los distintos componentes circundantes en la protección de los datos. Para lo cual, antes de volcarnos a pensar en tecnologías, productos o medidas de protección que usa el mercado, debemos comenzar por la identificación y conocimiento de los datos que el negocio necesita proteger, para luego decidir una clasificación entre todas las partes interesadas. Dicha metodología debe incluir a la Tecnología, a los Procesos y a las Personas.

2) Construir un plan de protección de datos alineado al negocio. Requiere definir una clasificación de la información de acuerdo a su valor relativo y consensuado. La información debe clasificarse a efectos de cumplir con normas y leyes (como la Ley de Protección de Datos Personales Nº18331) y con el propio negocio (propiedad intelectual, información propietaria o estratégica). Al mismo tiempo, debemos considerar la dinámica en la clasificación de los datos. Por ejemplo, las especificaciones de un producto u oferta pueden encontrarse clasificadas como confidenciales hasta la fecha en que los mismos son lanzados al público.

3) Invertir tiempo, energía y recursos en proteger los datos más importantes o sensibles según su estado. Los datos normalmente pueden encontrarse “en uso”, “en reposo” (por ejemplo, archivados) o “en movimiento” (transferidos hacia afuera de la organización o entre líneas de negocio). Cada situación amerita distintas modalidades de protección, debiéndose balancear las medidas de protección de acuerdo al caso.

4) Realizar un cambio en la cultura del negocio y medir el desempeño. Finalmente, la sostenibilidad del programa dependerá de la capacidad de monitorear y medir su desempeño.  De esta forma podrán efectuarse todas las adaptaciones y mejoras al programa en forma oportuna. Hacerlo conjuntamente con los distintos usuarios de la información permitirá  aumentar el compromiso y sostenibilidad del programa a largo plazo.