fuente; elobservador.com.uy
Ing. José Luis Mauro Vera
En la actualidad, es un hecho que las organizaciones aprovechan las Tecnologías de la Información (TI) para generar, procesar, almacenar y compartir información dentro y fuera de las mismas. Esta situación hace que las propias organizaciones deleguen las actividades de protección de datos a los Gerentes de TI, sin tener presente que los procesos y las personas que interactúan con los datos también forman parte de la ecuación.
La respuesta de TI para proteger la información
Como respuesta a tal delegación, los responsables de TI en las organizaciones suelen apelar a herramientas tecnológicas para mantener la información protegida. Sin embargo, las implementaciones de tecnología son costosas, y muchas veces resultan ineficaces a la hora de mantener los datos protegidos de fugas o divulgaciones. Muchas organizaciones suelen quejarse por no ver el correspondiente retorno de la inversión en tecnologías para proteger los datos. Incluso, en mercados donde existen sofisticadas herramientas y alta disponibilidad de recursos, es posible ver como en forma viral se propagan noticias en las redes sociales y en medios de prensa producto de fugas de información confidencial, provocando serios perjuicios para las organizaciones involucradas.
Dificultades que se presentan a la hora de proteger los datos
EY ha venido trabajando a nivel mundial con varias organizaciones a efectos de ayudarlas a implementar programas de protección de datos, y también recabando información sobre aquellas que ya lo han implementado para evaluar sus resultados. Las principales dificultades en la implementación de dichos programas suelen ser:
• Visualizar la protección de datos como un problema de tecnología y no como un asunto que
concierne al negocio en su conjunto.
• Proteger a todos los datos con el mismo nivel de control.
• No comprometer a los usuarios en los procesos de clasificación de información ni protección
de datos.
• Enfocarse de forma desproporcionada en controles preventivos, dejando en segundo plano
la inversión en la capacidad de detectar y responder ante incidentes.
• No combinar adecuadamente los procesos y la tecnología acorde a la realidad de la
organización.
• Falta de involucramiento, compromiso y dirección desde la Alta Gerencia.
Pasos para encarar un programa de protección de datos
A efectos de lograr combinar inversión y efectividad para proteger los datos, proponemos a las organizaciones definir y consensuar una metodología de trabajo que lleve a la organización a proteger razonablemente los datos según la naturaleza de los mismos.
1) Implementar programa de protección de datos a través de una metodología probada. Considerar definir y ejecutar una metodología que involucre a los distintos componentes circundantes en la protección de los datos. Para lo cual, antes de volcarnos a pensar en tecnologías, productos o medidas de protección que usa el mercado, debemos comenzar por la identificación y conocimiento de los datos que el negocio necesita proteger, para luego decidir una clasificación entre todas las partes interesadas. Dicha metodología debe incluir a la Tecnología, a los Procesos y a las Personas.
2) Construir un plan de protección de datos alineado al negocio. Requiere definir una clasificación de la información de acuerdo a su valor relativo y consensuado. La información debe clasificarse a efectos de cumplir con normas y leyes (como la Ley de Protección de Datos Personales Nº18331) y con el propio negocio (propiedad intelectual, información propietaria o estratégica). Al mismo tiempo, debemos considerar la dinámica en la clasificación de los datos. Por ejemplo, las especificaciones de un producto u oferta pueden encontrarse clasificadas como confidenciales hasta la fecha en que los mismos son lanzados al público.
3) Invertir tiempo, energía y recursos en proteger los datos más importantes o sensibles según su estado. Los datos normalmente pueden encontrarse “en uso”, “en reposo” (por ejemplo, archivados) o “en movimiento” (transferidos hacia afuera de la organización o entre líneas de negocio). Cada situación amerita distintas modalidades de protección, debiéndose balancear las medidas de protección de acuerdo al caso.
4) Realizar un cambio en la cultura del negocio y medir el desempeño. Finalmente, la sostenibilidad del programa dependerá de la capacidad de monitorear y medir su desempeño. De esta forma podrán efectuarse todas las adaptaciones y mejoras al programa en forma oportuna. Hacerlo conjuntamente con los distintos usuarios de la información permitirá aumentar el compromiso y sostenibilidad del programa a largo plazo.
Ing. José Luis Mauro Vera
En la actualidad, es un hecho que las organizaciones aprovechan las Tecnologías de la Información (TI) para generar, procesar, almacenar y compartir información dentro y fuera de las mismas. Esta situación hace que las propias organizaciones deleguen las actividades de protección de datos a los Gerentes de TI, sin tener presente que los procesos y las personas que interactúan con los datos también forman parte de la ecuación.
La respuesta de TI para proteger la información
Como respuesta a tal delegación, los responsables de TI en las organizaciones suelen apelar a herramientas tecnológicas para mantener la información protegida. Sin embargo, las implementaciones de tecnología son costosas, y muchas veces resultan ineficaces a la hora de mantener los datos protegidos de fugas o divulgaciones. Muchas organizaciones suelen quejarse por no ver el correspondiente retorno de la inversión en tecnologías para proteger los datos. Incluso, en mercados donde existen sofisticadas herramientas y alta disponibilidad de recursos, es posible ver como en forma viral se propagan noticias en las redes sociales y en medios de prensa producto de fugas de información confidencial, provocando serios perjuicios para las organizaciones involucradas.
Dificultades que se presentan a la hora de proteger los datos
EY ha venido trabajando a nivel mundial con varias organizaciones a efectos de ayudarlas a implementar programas de protección de datos, y también recabando información sobre aquellas que ya lo han implementado para evaluar sus resultados. Las principales dificultades en la implementación de dichos programas suelen ser:
• Visualizar la protección de datos como un problema de tecnología y no como un asunto que
concierne al negocio en su conjunto.
• Proteger a todos los datos con el mismo nivel de control.
• No comprometer a los usuarios en los procesos de clasificación de información ni protección
de datos.
• Enfocarse de forma desproporcionada en controles preventivos, dejando en segundo plano
la inversión en la capacidad de detectar y responder ante incidentes.
• No combinar adecuadamente los procesos y la tecnología acorde a la realidad de la
organización.
• Falta de involucramiento, compromiso y dirección desde la Alta Gerencia.
Pasos para encarar un programa de protección de datos
A efectos de lograr combinar inversión y efectividad para proteger los datos, proponemos a las organizaciones definir y consensuar una metodología de trabajo que lleve a la organización a proteger razonablemente los datos según la naturaleza de los mismos.
1) Implementar programa de protección de datos a través de una metodología probada. Considerar definir y ejecutar una metodología que involucre a los distintos componentes circundantes en la protección de los datos. Para lo cual, antes de volcarnos a pensar en tecnologías, productos o medidas de protección que usa el mercado, debemos comenzar por la identificación y conocimiento de los datos que el negocio necesita proteger, para luego decidir una clasificación entre todas las partes interesadas. Dicha metodología debe incluir a la Tecnología, a los Procesos y a las Personas.
2) Construir un plan de protección de datos alineado al negocio. Requiere definir una clasificación de la información de acuerdo a su valor relativo y consensuado. La información debe clasificarse a efectos de cumplir con normas y leyes (como la Ley de Protección de Datos Personales Nº18331) y con el propio negocio (propiedad intelectual, información propietaria o estratégica). Al mismo tiempo, debemos considerar la dinámica en la clasificación de los datos. Por ejemplo, las especificaciones de un producto u oferta pueden encontrarse clasificadas como confidenciales hasta la fecha en que los mismos son lanzados al público.
3) Invertir tiempo, energía y recursos en proteger los datos más importantes o sensibles según su estado. Los datos normalmente pueden encontrarse “en uso”, “en reposo” (por ejemplo, archivados) o “en movimiento” (transferidos hacia afuera de la organización o entre líneas de negocio). Cada situación amerita distintas modalidades de protección, debiéndose balancear las medidas de protección de acuerdo al caso.
4) Realizar un cambio en la cultura del negocio y medir el desempeño. Finalmente, la sostenibilidad del programa dependerá de la capacidad de monitorear y medir su desempeño. De esta forma podrán efectuarse todas las adaptaciones y mejoras al programa en forma oportuna. Hacerlo conjuntamente con los distintos usuarios de la información permitirá aumentar el compromiso y sostenibilidad del programa a largo plazo.
No hay comentarios:
Publicar un comentario