A la conferencia anual sobre seguridad y riesgos de la privacidad, organizada por la Asociación Internacional de Profesionales de la Privacidad (IAPP), solían ir exclusivamente profesionales de la privacidad. Pero en los últimos años, se ha visto un número creciente de profesionales de seguridad y de TI que asisten. ¿Es hora de una fusión de CPO-CISO?
Dado el panorama regulatorio global cambiante, gracias al inicio de GDPR, la Ley de Protección al Consumidor de California (CCPA), las leyes de seguridad y seguridad cibernética de China y las leyes de notificación de incumplimiento abundan, no sorprende ver la fusión de los roles de privacidad y seguridad como una tendencia emergente en este espacio. Está claro que la nueva norma para las leyes de privacidad requerirá controles de seguridad de TI claros, tangibles y operativos.
Si bien los jefes de privacidad (CPO) y los jefes de seguridad de la información (CISO) pueden temblar ante la idea de asumir más responsabilidad de la que ya tienen, hay muchos buenos motivos para que estos equipos estén estrechamente alineados, incluso si los roles no pueden ser combinados
Tanto las regulaciones de privacidad como las de seguridad ahora requieren procedimientos y controles técnicos que proporcionan evidencia de que una compañía realmente cumple con las regulaciones. Históricamente, sin embargo, muchas organizaciones usan políticas basadas en papel, que en gran parte no se aplican por dos razones:
A menudo están escritos por profesionales legales y de cumplimiento que saben muy poco acerca de los usuarios promedio dentro de sus empresas y, por lo tanto, no son prácticos de implementar o seguir. Sin embargo, muchos profesionales de la privacidad están acostumbrados a redactar políticas que ayudan a sus compañías a cumplir con los requisitos reglamentarios, pero no necesariamente reflejan lo que su compañía está haciendo en la práctica, ni siquiera lo que es posible en la práctica.
Estas políticas también suelen redactarse sin consultar a los equipos de TI y seguridad de la empresa. Debido a esto, no siempre reflejan lo que es técnicamente posible hacer cumplir, ni el trabajo diario de los empleados dentro de la organización.
Sin privacidad, seguridad y TI trabajando juntos, la realidad del verdadero cumplimiento es casi imposible.
¿Por qué deberían los CPO y los CISO trabajar juntos?
Si bien los CPO deben ser los principales responsables de las políticas que abordan la información personal y cómo la organización las recopila, utiliza y administra, los CISO deben ser responsables de las políticas que se centran en la protección de los sistemas, la seguridad de TI y la forma en que se transfieren los datos. retenido Al final del día, para que las políticas sean accionables y las organizaciones tengan éxito, los CISO y los CPO deben trabajar juntos.
Fuente: discoverthenew.ituser.es
No hay comentarios:
Publicar un comentario