¿Cómo deben los CIO equilibrar la necesidad de información con la privacidad de datos?

Cada día, los consumidores y los usuarios confían la seguridad de su información de identificación personal (PII) a su organización. En este punto, los CIO tienen la responsabilidad de garantizar que los datos personales se gestionen de forma ética y de conformidad con las normativas.

Al mismo tiempo que piensa en la privacidad y la seguridad de los datos, también existe una necesidad insaciable de información clave para impulsar las decisiones empresariales. Ya sea debido a un ataque malicioso o criminal, un error humano relacionado con un correo electrónico de phishing, o una avería en un sistema de TI o proceso de negocio, las infracciones ocurren. No son solo los datos personales los que están en riesgo; otros tipos de datos confidenciales podrían causar daños si son filtrados por un adversario. Los datos confidenciales se extienden a:
 

• información financiera
• contratos con clientes y proveedores
• ficheros de personal
• propiedad intelectual
• secretos comerciales
• comunicaciones internas
• nuevos planes de productos
• precios y propuestas
• cualquier otra cosa que pudiera dañar el negocio si cayera en manos equivocadas
   

Todos hemos visto las recientes noticias acerca de las filtraciones masivas de datos, que ha continuado a un ritmo creciente en 2020. Según el informe global Data Breach QuickView Report para el primer trimestre de 2020, el número de registros expuestos en el primer trimestre de 2020 aumentó un 48% en comparación con el primer trimestre de 2019. Y, once de esas infracciones expusieron más de 100,000,000 registros cada uno, diez de ellos debido a bases de datos o servicios mal configurados.

Incluso las pequeñas brechas pueden causar daño, pero las que acaparan los titulares pueden resultar en daños irreparables en áreas como:
 

• Credibilidad y confianza de la marca — Esta es una de las razones por las que las violaciones de datos hacen tanto daño: son una traición a la confianza. Según una encuesta reciente, es difícil para las marcas recuperar la confianza después de mostrar un comportamiento poco ético o sufrir una controversia.

• Consecuencias legales — Existen multas significativas que podrían ser impuestas por la aplicación de la protección de datos y las autoridades gubernamentales.

• Costo — El costo de detectar y responder a una violación de datos puede ser considerable. Según el último informe de IBM y el Instituto Ponemon, el costo promedio global de una violación de datos es de $3,86 millones, pero en los Estados Unidos, el costo promedio es de $8,64 millones. Esta cifra es para una violación bastante pequeña de unos 25,000 registros. Tiene en cuenta la pérdida de negocio y el costo de las actividades de respuesta en categorías que incluyen detección de infracciones, escalado, notificación y respuesta posterior a la infracción.
   

PREGUNTAS QUE DEBEN HACERSE LOS CIO SOBRE LOS DATOS
 

Los líderes empresariales deben asumir un papel activo en materia de privacidad de datos, por lo tanto, deberán confiar el desarrollo y la ejecución de una estrategia de seguridad a los equipos técnicos. Estas son algunas preguntas que un CIO debe hacer a sus gerentes como parte de sus responsabilidades:
 

• ¿Entendemos las regulaciones de privacidad de datos pertinentes y cómo cumplirlas? – Dependiendo de la geografía e industria, es posible que se cuenten con regulaciones más estrictas. Comprender el alcance de los requisitos legales es un buen lugar para comenzar a la hora de formular una estrategia que abarque todas las protecciones.
• ¿Qué datos tenemos y dónde residen en nuestra organización? – Este es especialmente importante si se está almacenando datos en varios servidores, tanto en las instalaciones como en la nube. Es clave revisar los datos en entornos que no son propiamente de la empresa, como bases de datos de desarrollo o prueba, copias de seguridad fuera del sitio, informes de servidores y otros repositorios.
• ¿Cuáles son las amenazas potenciales a nuestros datos? – realizar una evaluación realista de la amenaza y poner en marcha estrategias de mitigación para los escenarios potenciales. Los colaboradores siguen siendo una de las principales causas de las filtraciones de datos cuando responden a un correo electrónico de phishing, pierden su tarjeta de clave, son laxos con la seguridad de la contraseña o por una amplia variedad de razones.
• ¿Cómo nos aseguramos de que nuestras prácticas de desarrollo de aplicaciones y bases de datos se adhieran a estándares de codificación seguros? – Los desarrolladores de aplicaciones y bases de datos a menudo toman la ruta rápida y fácil a la codificación, especialmente cuando están bajo presión. ¿Se enseñan y promueven prácticas de codificación seguras y seguridad mediante principios de diseño dentro de la organización? ¿Dispone de mecanismos para garantizar que se cumplan los estándares de codificación? Es clave trabajar con un experto que pueda proporcionar orientación para garantizar que la empresa cumple con las normativas de privacidad de datos adecuadas.

LA NECESIDAD INSACIABLE DE DATOS
 

El Big Data está impulsando las decisiones empresariales cotidianas, haciendo que sea necesario extraer, transformar y cargar datos de un repositorio a otro para su análisis. Esta tarea se ha vuelto más compleja debido a la diversidad de orígenes y tipos de datos en uso hoy en día. La presión está en los equipos de analistas para preparar informes y análisis y suministrarlos a los usuarios empresariales de toda la organización.

El cumplimiento normativo no debe ser un obstáculo para la innovación, pero la necesidad de datos en tiempo real debe equilibrarse con los requisitos y obligaciones de privacidad de datos, tanto para el negocio como para los clientes. Como líder empresarial, resulta importante establecer los objetivos de seguridad, crear las políticas que los respalden y proporcionar las herramientas para aplicarlos.

Al abordar los problemas relacionados con la protección de datos personales y confidenciales, también está protegiendo a la empresa contra el incumplimiento, las sanciones financieras, la productividad deteriorada y el daño a la reputación.