martes, 1 de noviembre de 2011

Mejores prácticas para la creación de una cultura corporativa de protección de datos personales (Mexico)






El 6 de enero de 2012 finaliza el plazo para cumplir con la normativa.


 Desde 2010, año en que entró en vigor la Ley Federal de Protección de Datos Personales, las compañías han contado con un plazo para ajustar y modificar sus procesos de seguridad. El objeto y alcance de estas regulaciones acarrea muchos beneficios a los individuos, pero para las organizaciones que obtienen y utilizan estos datos, representan un esfuerzo adicional: deben fortalecer el esquema actual de protección de la información en tres instancias fundamentales:

Tres instancias clave para garantizar el mejor modo de tratar la información de su compañía:
a) Organización. Implica que se definan roles y responsabilidades sobre la privacidad de los datos personales en el interior de la organización.
b) Procesos. Todos los procesos y procedimientos deben garantizar que la infraestructura tecnológica y de seguridad de la información esté alineada con la operación del negocio y requerimientos particulares de la normativa.
c) Mecanismos de protección de la información. Los requerimientos de las regulaciones de privacidad de la información tienen implicaciones en el marco tecnológico de control y seguridad de la información.


Un modelo práctico de privacidad global
Tras un análisis detallado de la situación, IBM propone el siguiente modelo de privacidad global, que es aplicable a todas las empresas:

1. Evaluación de procesos y datos. La organización debe obtener un mapa preciso y detallado de todos sus procesos con los que se obtienen, transmiten, utilizan, almacenan y/o procesan datos personales, así como un inventario y relaciones de los recursos de infraestructura tecnológica que soportan dichos procesos.
2. Análisis de brecha (Gap Analysis). La organización debe realizar una comparación entre los requerimientos de las regulaciones de privacidad y sus prácticas actuales, para lograr determinar el nivel de seguridad, privacidad y operación que demande la naturaleza de su operación.
3. Gestión de riesgos y análisis de impacto. La empresa debe establecer prioridades de protección en función de su visión y objetivos de negocio. Se deberán evaluar los diferentes escenarios de afectación de los niveles de seguridad y privacidad (en la operación, legal/fiscal, económico, imagen) y evaluar el impacto que esto tendrá para el negocio.
4. Marco de gestión de privacidad. Luego del análisis, es necesario pasar a una etapa operativa e implantar todos los componentes normativos y de proceso planificados en las etapas anteriores. Esto implica la creación del marco normativo (políticas y estándares) relativo, así como la estructura organizacional que atenderá a este esfuerzo (roles y responsabilidades, considerando la función de datos personales). En el caso específico de las regulaciones mexicanas, en esta fase se debe asignar la función de Datos Personales y la publicación del aviso de privacidad a los dueños de los datos.
5. Implantación de controles de seguridad. A partir de las prioridades y criterios establecidos, se deben seleccionar nuevos mecanismos de protección. Para esto es necesario considerar los esquemas tecnológicos que soportan los procesos del negocio (ambientes virtualizados, usuarios móviles, esquemas tercerizados, actividades de usuarios). Así mismo se debe desarrollar un modelo integral ampliando la seguridad en la infraestructura, a partir de los requerimientos de las regulaciones y las capacidades de concentrar y organizar la información en los recursos tecnológicos (recursos que puedan generar evidencia en un proceso legal o de investigación).
6. Concientización y capacitación. La organización debe iniciar un proceso permanente de concientización, capacitación y entrenamiento para todo el personal interno, externo y socios de negocio. De esta forma podrá informar sobre su modelo de privacidad y los mecanismos técnicos y administrativos, optimizando sus actividades cotidianas.

La secuencia descrita puede ser adaptada a cada negocio de acuerdo con su nivel de madurez en la gestión de la seguridad y privacidad, y a sus propios requerimientos de cumplimiento y decisiones corporativas. Sin embargo, es importante destacar que este esfuerzo debe atenderse con un enfoque interdisciplinario al interior de la organización, donde al menos se encuentra la participación de las áreas: Legal, Operaciones, Recursos Humanos, Áreas Comerciales y Tecnología de la Información.


Para obtener una versión completa de las mejores prácticas para la creación de una cultura corporativa de protección de datos personales ingrese AQUÍ

Fuente: http://www.terra.com.mx


No hay comentarios: