10 March, 2011

ABC de la protección de datos personales para las empresas

Por

Los responsables de seguridad de IT no pueden ni deben hacer solos los esfuerzos necesarios para cumplir la Ley Federal de Protección de Datos Personales en Posesión de Particulares, sino que deben hacerlo con ayuda de toda la organización, advirtió Ricardo Lira, especialista en la materia de Ernst & Young.

El especialista consideró a la Ley de Protección de Datos como una gran oportunidad para las empresas pues les ayudaría a mejorar la operación del negocio, pues ahora deberán resguardar y proteger con lineamientos claros la información de toda la empresa, ya no únicamente la del área de IT.

“Bendita oportunidad. Ahora no solamente tenemos que proteger la información en posesión del área de sistemas, sino de las demás áreas del negocio y de los clientes”, opinó.

El reto principal por parte de las empresas, dijo, es que la nueva ley trae aparejada la definición de principios de tratamiento de la información, alinear sus procesos de negocio al cumplimiento de la ley, diseñar o mejorar medidas de seguridad administrativas, reforzar las medidas de seguridad técnicas y físicas, así como, en caso de no haberlo hecho ya, la misma clasificación de los datos en personales, sensibles o si son patrimoniales. Para ello será indispensable la definición de un gobierno de datos alineado con la normatividad y la elaboración de los avisos de privacidad.

Lira ofreció algunos consejos para la protección de datos personales en las empresas:

  • Para empezar, las empresas deben hacer un diagnóstico de procesos y operación de la organización. Hay que identificar si obtiene datos personales que no le estén generando beneficios para la generación de ganancias, con el fin de dejarlos de recabar y evitar así gastar recursos innecesariamente para el cumplimiento de la ley.

Esto ayudará a las empresas conocer o tener más claro cuáles son los datos de clientes, proveedores, prospectos clientes que representan una ventaja competitiva para la organización. Además, las organizaciones podrán definir o redefinir a qué terceros se requiere enviar información y datos personales.

“Necesitamos entender la operación de la empresa para saber cómo vamos a tratar la información que recaban para hacer sus negocios”

  • Para hacer todo lo anterior, sugirió llevar a cabo entrevistas con el personal, para lo cual es útil diseñar un cuestionario que sirva como guía, con preguntas como qué actividades lleva a cabo el área, si recaban datos de personas para su operación, de quiénes y con qué fin, qué hace con esa información, como la almacena y la resguarda, entre otras.
  • Como resultado de ello podría ser elaborado un inventario de sistemas con datos personales, que incluye sistemas, repositorios, hojas de cálculo, reportes, etcétera.
  • Identificar políticas relacionadas con tratamiento de datos personales como retención de infomación, borrado seguro, respuesta a incidentes , clasificación de información, desarrollo de código y criptogafía, auditoria, proceso de recursos humanos desde reclutamiento hasta contratación y finalización de la relación laboral.
  • Continuar con buenas prácticas en seguridad de la información como ISO 27002 o Pentest.
  • Lira pidió que las organizaciones descarten ampararse para evitar el cumplimiento de la ley y la calificó como la peor estrategia a seguir.