En muchas de nuestras organizaciones se están evaluando iniciativas como tercerizar servicios, implementar herramientas de análisis de macrodatos (Big data), migrar a la nube, entre muchas otras. Pero ¿Ha sido analizado el impacto que traerán estos cambios a la protección de datos personales?
Las necesidades de negocio nos han llevado a encontrar nuevas formas de recolectar, almacenar, tratar y analizar la información, de tal manera que optimicemos recursos y aseguremos el logro de los objetivos. Sin embargo en ocasiones estas iniciativas van en contra-vía con los requisitos de privacidad; lo que nos lleva a desarrollar estrategias para dar cumplimiento a las condiciones técnicas y operativas pero con grandes baches de seguridad y privacidad.
Cuando emprendemos nuevos proyectos, nos encontramos con diversos escenarios de riesgos, que de no ser identificados, analizados, evaluados y tratados de manera oportuna terminarán convirtiéndose en un verdadero dolor de cabeza.
Nuevas necesidades:
Nos enfrentamos a grandes retos debido a entornos de TI complejos, amenazas internas y externas, crecimiento masivo de los datos, nueva legislación, entre muchos otros escenarios, los cuales impactarán de manera directa o indirecta la forma en que gestionamos y protegemos los datos. Partiendo de esto, es necesario encontrar mecanismos efectivos para no descuidar y por el contrario fortalecer los requerimientos de seguridad de datos personales entre los cuales se destacan:
- Seguridad de los datos fijos y en movimientos.
- Disponibilidad de los sistemas de información.
- Respuesta a incidentes.
- Gestión de accesos e identidades.
- Integridad de los datos.
- Calidad de los datos.
Al contemplar nuevos proyectos, recordemos que no es suficiente encontrar soluciones que satisfagan únicamente los componentes técnicos y operativos, debemos considerar en el análisis de factibilidad todos los actores junto con sus requisitos, los que serán tenidos en cuenta al momento de proponer soluciones, analizar los riesgos y las oportunidades que traerá consigo su cumplimiento u omisión.
No es fácil encontrar un balance entre los requerimientos externos (entre ellos los legales) y las necesidades del negocio. Si bien no podemos olvidar que la función principal de nuestras organizaciones es generar valor para sus partes interesadas, al evaluar nuevos proyectos es importante mantener un equilibro entre los beneficios operativos que estos nos ofrecen y la optimización de los niveles de riesgo que podrían poner en jaque la organización ante los entes de cumplimiento.
¿Qué podemos hacer?
Identificar, analizar y valorar los posibles riesgos a los que nos enfrentaremos antes de tomar decisiones es un factor clave que nos permitirá conocer cuáles son los riesgos, para luego determinar si estamos en posición de asumirlos, tomar acciones para mitigar, trasladar o evitar los riesgos, es decir buscar otras alternativas. La metodología de gestión de riesgos adoptada deberá estar integrada a la metodología general de riesgos dentro de la organización, brindando orientación de principio a fin sobre la gestión de riesgos involucrando aspectos como:
- Comunicación entre las partes.
- Definición de objetivos claros y alcanzables.
- Identificación de requerimientos.
- Medición y seguimiento.
Además debe ser parte de la estructura de gobierno integral brindando lineamientos y directrices sobre el tratamiento de datos personales a nivel estratégico, táctico y operativo, integrándose con los procesos organizativos y con las actividades de toma de decisión, evaluación y seguimiento. Incorporando controles para proteger la información personal durante todo su ciclo de vida, prestando especial atención a los datos sensibles, garantizando que cuentan con niveles de protección adecuados.
Otro factor clave para mantener el control sobre las actividades de cambio es el monitoreo, ya que identifica oportunamente los eventos que afecten la privacidad y permite la disminución del impacto en caso de presentarse incidentes.
Tenga en cuenta que el éxito de los cambios dependerá de cómo usted pueda enfrentar y manejar los distintos desafíos, convirtiendo la gestión de riesgos en una herramienta esencial para la detección y prevención oportuna de eventos que lleguen afectar los resultados esperados.
