La visión actual en protección de datos

Por Juan Carlos Carrillo* Cada día, un gran número de organizaciones maneja extensos volúmenes de información de sus clientes, socios de negocio, proveedores, empleados, entre otros. A manera que las empresas crecen, estas enormes cantidades de datos también van creciendo, volviéndose crítico para las empresas el adecuado manejo y control que apoye la toma de decisiones y ofrezca a las empresas una ventaja competitiva. Manejar tanta información personal dentro de sus procesos de negocio conlleva un gran riesgo para las empresas, ya que cada vez más esta información se encuentra bajo un mayor escrutinio regulatorio. Hoy en día, las empresas afrontan el gran reto de cómo administrar, manejar y compartir esta información a través de múltiples medios de comunicación, lo cual deben alinear a sus objetivos y necesidades negocio, además de dar cumplimiento a los requerimientos aplicables en los diversos países en donde manejan dicha información. La gran pregunta es: ¿por dónde comienzo? La clave es entender los datos personales que manejamos, para qué los manejamos y dónde residen dichos datos. El primer paso es realizar una identificación de los diversos tipos de datos que se manejan de clientes, empleados, candidatos, proveedores, etc. Para ello se requiere de la participación de los usuarios clave de los procesos para identificar el valor que tiene el uso de esta información. Una vez identificados los tipos de datos, es necesario entender y mapear el flujo de dicha información y cómo se maneja o cuál es su finalidad, considerando a través de qué canales se obtiene, adónde se procesa, a quién se transfiere (interna y externamente), qué uso se le da, tiempos de resguardo, entre otros. Realizar este mapeo (ciclo de vida de la información), permite identificar posibles riesgos al manejar está información ya sea por uso indebido, alteración, divulgación incorrecta, accesos no autorizados, etcétera. Este análisis de riesgos permite a las empresas identificar y ponderar el valor de la información y así clasificarla de acuerdo con su nivel de criticidad e impacto hacia el negocio, proceso que facilitará establecer controles adecuados para protegerla. Al definir una estrategia de clasificación de la información, las organizaciones podrán poner en marcha procesos y controles de TI efectivos y diseñados para minimizar el impacto al usuario final. Otros de los beneficios que se obtienen son: uso eficiente de los recursos de la empresa para proteger la información; consistencia en el manejo de los datos personales al crear una taxonomía común; inversiones adecuadas para la protección de la información confidencial de la empresa; detección más rápida y tiempos de respuesta para aislar y contener brechas de datos, así como mitigar el riesgo de pérdidas económicas. A mediados del próximo mes, PwC publicará su reporte Estado de la Privacidad en México 2016: más allá de los compromisos, convirtiéndolo en el primer informe en la materia de nuestro país, y que, en primera instancia, identifica que para las empresas la clasificación de datos es un medio para llegar a un fin y se vuelve una de las estrategias e iniciativas claves de donde se derivan todas las acciones para para dar cumplimiento a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP). Como resultado del reporte, aun cuando 88% de los encuestados declaró que sus compañías han iniciado acciones en la materia, sólo 54% cuenta ya con un responsable de hacer cumplir las normas vigentes; no obstante, destacan también las razones de las organizaciones para implementar medidas al respecto, como: cumplimiento legal o regulatorio, el fortalecimiento de la reputación de la empresa, el apoyo a la estrategia de riesgos y gobierno, y diferenciarse de la competencia. Otro hallazgo del estudio muestra que mientras no se implemente una estructura de administración de la privacidad en toda la compañía, cualquier acción será endeble, es decir, fijar políticas y procedimientos institucionales, además de los lineamientos y directrices para manejar y proteger los datos personales en todo su ciclo de vida, será la clave para lograr una gestión integral. Además, el constante monitoreo, así como una ejecución que se alinee con los objetivos de negocios, llevará al fin último que toda organización debe perseguir: cumplir las regulaciones relacionadas con la protección de datos personales. La inversión y el gasto en privacidad son imprescindibles para alcanzar dichas metas y así evitar en lo posible riesgos e incidentes que puedan vulnerar a las empresas. En el caso de México, hay todavía mucho por hacer; por ejemplo, ocupa aún el octavo lugar a nivel mundial por el robo de identidad y las organizaciones tienen la gran tarea de redoblar esfuerzos para contrarrestar los incidentes operativos en materia de datos personales. Las consecuencias económicas de omitir las amenazas y sus impactos pueden ser muy grandes si no se tiene claro cómo proceder o si hay una estructura débil ante eventos que pueden mermar a la organización. No sólo es un asunto de cumplimiento, sino de una visión integral que involucre medidas de seguridad (administrativas, físicas y técnicas) y una sensibilización de la empresa y empleados que fortalezca la madurez en la cultura de la privacidad. *Juan Carlos Carrillo es Director de Ciber Seguridad y Privacidad PwC México.   Contacto: Correo: [email protected] Las opiniones expresadas son sólo responsabilidad de sus autores y son completamente independientes de la postura y la línea editorial de Forbes México.