Greer

Avatar

GREER WITHIN GNU/LINUX

Oct 30, 2009

Ética y Riesgos en la gestión de datos privados

La gestion de los riesgos relacionados con la privacidad de la informacion es cada vez mas relevante para las compañias. Urge conocer a fondo las implicancias de estos riesgos para evitar penalidades millonarias.

Toda organizacion que administra informacion personal, independientemente de que este sea de consumidores, clientes, socios de negocios o empleados, adquiere una serie de obligaciones con ellos y con algunas entidades reguladoras relacionadas con la privacidad y la proteccion de esta informacion personal. Sin embargo, aunque los riesgos y los desafios en materia de privacidad son cada vez mas complejos, las compañias no los estan dimensionando ni enfocando adecuadamente.

teclado_candado

Mas alla de la responsabilidad etica de la privacidad, el cumplimiento con leyes y regulaciones se esta convirtiendo en el principal propulsor de iniciativas relacionadas con la administracion y la proteccion de informacion en todo el mundo. Leyes para la proteccion de datos ya han sido establecidas en Europa, Canada, Estados Unidos, Rusia, India, China, Dubai, Corea y Singapur. Las penalidades por incumplimiento le estan costando a las compañias millones de dolares, a las que deben sumarse perdidas generadas por el daño a la marca y a la reputacion.

Al mismo tiempo que los riesgos relacionados con la privacidad adquieren mas importancia y complejidad, el proceso de administrar su cumplimiento se esta integrando a iniciativas de cumplimiento existentes -como la proteccion de la propiedad intelectual, la seguridad de la informacion y la Ley Sarbanes Oxley- que comparten objetivos comunes y metodos de cumplimiento.

seguridad

Entretanto, un mayor numero de organizaciones, de distintos continentes, estan empezando a abordar los temas relacionados con la privacidad como parte de la gestion integral de riesgos de la informacion y las iniciativas de cumplimiento. Para las organizaciones que estan enfocando la privacidad y proteccion de informacion como un riesgo de negocio critico, y para aquellas que no han empezado a hacerlo, hay deiz temas clave que deben considerar y preguntas que deben ser contestadas por la alta gerencia. Dependiendo de las respuestas, las compañias pueden determinar cuan vulnerable son sus brechas en la privacidad o en temas de incumplimiento, y definir planes de accion.

1. Identificacion y Clasificacion de la Informacion

La informacion es poder. Un programa para administrar los riesgos de la privacidad debe iniciarse con el inventario de la informacion personal que administra la organizacion. para ello es necesario determinar los procesos de negocio que manejan esta informacion y clasificar la informacion con base en su sensitividad e impacto en caso de que el sistema fuese comprometido.

Catalogar la informacion, sin embargo, es insuficiente. Hay organizaciones que tienen politicas de clasificacion de la informacion pero que estan desactualizadas o son muy generales (categorias de alto nivel con requerimientos generales de seguridad). Preguntas que debe plantearse su organizacion:

  • ¿Hemos inventariado la informacion personal de todos los sistemas, base de datos y repositorios de datos?
  • ¿Hemos revisado y actualizado recientemente la politica de clasificacion de informacion para asegurarnos de que se estan cubriendo los riesgos y los requerimientos regulatorios relacionados con la privacidad?

2. Control del uso de la Informacion Personal

Menos es mejor. Limitar la recopilacion, uso, difusion y retencion de la informacion que requiere proteccion no solo ayuda a disminuir los riesgos de privacidad, sino que tambien provee una oportunidad al negocio de demostrar su compromiso relacionado con la proteccion de datos.

Para limitar el acceso a informacion personal hay empresas que estan recurriendo al analisis de la informacion de los sistemas en el contexto de transferencia de datos y sobre como la informacion personal es utilizada (numero de seguro social, tarjetas de credito, etc.). Es valioso que la organizacion responda a las siguientes preguntas:

  • ¿Hemos identificado oportunidades para limitar la recopilacion, uso, difucion y retencion de informacion personal?
  • ¿Hemos tratado de limitar la informacion personal que es almacenada en medios portatiles o enviada por e-mail?
  • ¿Hemos identificado informacion espesifica que debe ser minimizada a lo largo de la organizacion y las comunicaciones con terceros?

3. Definicion de Politicas y Procedimientos para Dispositivos y Medios Portatiles

Hoy el mundo cabe en la palma de la mano. Cotidianamente la informacion persona es procesada, trasmitida y almacenada en una cantidad cada vez mayor de dispositivos y medios. De hecho, la perdida o robo de estos equipos y medios es la causa mas frecuente de notificaciones relacionadas con violaciones de la seguridad de informacion.

Esas perdidas o robos podrian evitarse si se adoptan ciertas medidas para proteger la informacion. La primera de las acciones debe ser la definicion de politicas y procedimientos para la cadena de custodia sobre los dispositivos o medios portatiles que contienen informacion personal. Sobre este tema, las organizaciones deben preguntarce:

  • ¿Hemos establecido politicas o lineamientos sobre el uso de informacion personal a traves de equipos y medios portatile?
  • ¿Hemos considerado soluciones de respaldos en la red para reducir la cantidad de informacion personal a traves de equipos y medios portatiles?
  • ¿Hemos considerado soluciones de respaldos en la red para reducir la cantidad de informacion personal que es transferida a traves de medios portatiles?
  • ¿Hemos revisado la politica de retencion de informacion personal en los equipos y medios portatiles? Los colaboradores, ¿conocen y cumplen estas politicas?

4. Encriptar o no Encriptar

La informacion personal es vulnerable al robo o a otro tipo de perdidas sin importar si se encuentra almacenada en una computadora, cinta, dispositivo de memoria USB o en transito (si se esta transfiriendo informacion, por ejemplo, a traves de un correo electronico).

Encriptar la informacion almacenada en dispositivos y medios portatiles y en las comunicaciones informaticas (incluyendo correos electronicos) se esta convirtiendo en un estandar a lo largo de las organizaciones. Sobre este tema, en su compañia deben preguntarce:

  • ¿Hemos identificado soluciones de encriptacion para medios y dispositivos portatiles y para comunicaciones que contienen informacion personal?
  • ¿Hemos considerado oportunidades para manejar estas soluciones de manera mas efectiva, de modo que la encriptacion este disponible a un costo mas acsesible?

estafador

5. Aplicacion de Estandares de Cumplimiento a Terceros

Compartir informacion con terceros es indispensable en el ambiente globalizado de nuestros dias. Las organizaciones lideres han desarrollado procesos de administracion de riesgos de proveedores y socios de negocios, que ayudan a mantener la privacidad y generan una base solida de confianza en cuanto a que los terceros con quienes tienen relaciones pueden proteger la informacion y administrar adecuadamente su uso.

Algunas de esas acciones incluyen la ejecucion de un due diligence en el proceso de eleccion y la implementacion de controles en los contratos y para la trasmicion segura de la informacion. Con respecto a este tema, la organizacion debe responder:

  • ¿Hemos identificado cual informacion personal es intercambiada con terceros y como esta informacion es asegurada y utilizada por los terceros?
  • ¿Hemos definido requerimientos de privacidad y proteccion de datos para terceros? Si es asi, ¿hemos definido procesos que involucran un aseguramiento periodico del funcionamiento de los controles que los terceros tienen en operacion sobre la informacion personal?

6. Informacion Personal y Teletrabajo

La modalidad de teletrabajo que cada vez mas empresas estan adoptando, implica un incremento del riesgo de privacidad debido a la exposicion de la informacion personal a traves del uso de redes y dispositivos informaticos que podrian no ser provistos ni estar protegidos por las organizaciones.

Administrar este riesgo es un desafio, que requiere capacitar a quienes trabajan en este ambiente en el manejo seguro de la informacion.

En cuanto al teletrabajo, las compañias deben cuestionarse:

  • ¿Hemos equipado los dispositivos portatiles y de teletrabajo con componentes de seguridad, incluyendo proteccion antivirus, contra Software malicioso, Firewalls y soluciones de encriptacion?
  • ¿Hemos capacitado a los teletrabajadores en la proteccion de la informacion personal?

7. Planes de Accion para Emergencias

La necesidad de una efectiva y oportuna administracion de los eventos e incidentes relacionados con la privacidad es un tema critico para todas las organizaciones. Potenciales violaciones ocurren frecuentemente, aun en las mejores organizaciones. De ahi la importancia de procedimientos formales, efectivos y estandarizados para determinar la naturaleza de estos eventos y las acciones para gestionarlas adecuadamente.

El nivel de madurez para la administracion de los incidentes no solo implica responder a los eventos sino alertar a las personas que podrian ser afectadas por alguna brecha en la seguridad. En algunos casos, las fechas limite para incorporar medidas que salvaguarden la informacion personal son impostergables, no solo por la velocidad de los negocios, sino tambien por las regulaciones. En cuanto a planes de accion para incidentes, en su organizacion deben preguntarce:

  • ¿Hemos establecido un proceso para administrar eventos e incidentes que involucran informacion personal?
  • ¿Hemos probado la efectividad del preceso?

8. Desarrollo de Procedimientos de Privacidad

La aparicion acelerada de nuevos modelos de negocios y la globalizacion de los mercados y fuerza de trabajo requiere una armonizacion de procesos, sitemas y controles. Esto significa que las compañias deben encarar la administracion del riesgo relacionado con la privacidad a lo largo de todas sus jurisdicciones para mantener el crecimiento de sus negocios. Si en su compañia hay planes de expancion deben responderse:

  • ¿Hemos catalogado las transferencias entre jurisdicciones de informacion personal dentro de la corporacion y con terceros?
  • ¿Hemos revisado la legitimidad de esas transferencias?

9. Apoyo Tecnologico

Una vez que se han definido politicas, se han desarrollado controles y se han brindado capacitacion, el siguiente paso es el proceso de monitoreo. Casi todas las organizaciones cuentan con actividades o procesos de seguimiento. si carecen de ellas, es el departamento de auditoria interna en el que probablemente asumira esta labor. El uso de herramientas tecnologicas puede facilitar el proceso de monitoreo y seguimiento. Para definirlo su organizacion debe responder:

  • ¿Hemos desarrollado un plan basado en un analisis de riesgos para monitorear el uso de la informacion personal?
  • ¿Hemos identificado brechas en las capacidades para monitoriar ciertas operaciones y las herramientas que podriamos utilizar para cerrar esas brechas?
  • ¿Hemos revisado nuestras actividades de monitoreo para cumplir con las regulaciones relevantes?

10. Inclusion de la Auditoria Interna en la Administracion de la Privacidad

Como la privacidad es cada vez mas un area de riesgos para las organizaciones y de interes para los comites de auditoria, juntas directivas y la alta gerencia, los departamentos de auditoria interna de beben adquirir y demostrar experiencias en este campo.

Es importante que las auditorias internas comprendan los principios practicos de la administracion de la privacidad, que esten informados, que sus hallazgos sean correctos y que detecten oportunidades de mejora.

Asociaciones internacionales lideres para auditores han desarrollado criterios de auditoria, lineamientos y otros recursos que pueden ser usados para ayudar a las organizaciones a evaluar y cumplir con sus objetivos de cumplimiento y mitigacion de los riesgos relacionados con la proteccion de la privacidad. Para maximizar la efectividad de la auditoria interna, su organizacion debe plantearse:

  • ¿Hemos asegurado los recursos necesarios para evaluar los riesgos de privacidad de la organizacion?
  • ¿Hemos capacitado a los auditores internos en temas relacionados con los riesgos de privacidad y cumplimiento?

Los diez temas son relevantes y merecen atencion. Cada uno debe serabordado como una parte integral de la administracion de los riesgos de la privacidad y cumplimiento y no como temas aisaldos. Hacerlo puede marcar la diferencia.



Tags: , , ,

No Comments, Comment or Ping

Reply to “Ética y Riesgos en la gestión de datos privados”

Blogroll

Here I leave the Link towards blogs but visited.

Web´s links

Here I leave the Link towards web´s but visited.

Subscribe

Stay updated on my meandering thoughts & activities via RSS (Syndicate).

Meta



Communities

A loyal follower of these organizations.

      Comunidad de Usuarios Debian de Panamá
        Comunidad Local de Ubuntu Linux Panama
          Free Software Fundation
            Open Source

Mozilla Firefox

Before you go

Going so soon? May these links be a guide to web enlightenment. Schwing!