· Los
datos personales tienen hoy un valor patrimonial, y algunos son
altamente sensibles como son la huella dactilar, el iris, la religión,
la preferencia sexual, el acta de matrimonio y de nacimiento de los
hijos, información que las empresas no deberían tener, pues creen que
con tener un aviso de privacidad es suficiente y que con eso mitigan los
riesgos, cuando se requieren, entre otras medidas, controles
administrativos, físicos y tecnológicos de gobernabilidad del dato.
Ciudad de México, a 14 de septiembre de 2018.- Optimiti Network,
distribuidor de valor agregado especializado en brindar soluciones y
servicios de seguridad informática, aplicando un enfoque de gestión de
riesgos; advirtió los altos riesgos relacionados con la protección de
datos y la forma en que las empresas pueden mitigar los riesgos, sin ser
afectadas por sanciones penales y económicas.
“México
es un país en el que no se ha desarrollado la cultura del cuidado del
dato personal de manera apropiada, y esto configura una de las
principales problemáticas relacionadas con la protección de datos. Es
muy común que diversas organizaciones pidan nombre, teléfono, dirección,
celular, licencia de conducir, comprobante de domicilio y otros
documentos. Y con la finalidad de convivir o ser parte de la comunidad,
los ciudadanos lo aceptan. Por ello, el primer punto a mejorar es tomar
consciencia de los derechos que tenemos los ciudadanos en este aspecto”,
apunta Alejandra Pineda, Consultora Ejecutiva de Optimiti Network.
“Hoy
los datos personales tienen un valor patrimonial, más aún algunos
altamente sensibles como son la huella dactilar, el iris, la religión,
la preferencia sexual, el acta de matrimonio y de nacimiento de los
hijos, la cual es información que las empresas no deberían tener. Las
organizaciones creen que tener un aviso de privacidad es suficiente y
que con eso mitigan los riesgos. Como individuos, no sabemos qué cuidar;
y las empresas, cómo manejar nuestros datos”, advierte Pineda
“Si
autorizo a una empresa a tener mis datos para cierto propósito no está
mal, pero si tiene compañías hermanas y se lo comparten, sí lo es”,
sostiene la consultora. “Aquí comienzan todos los inconvenientes del mal
manejo del dato personal”.
En
2012 entró en vigor la Ley Federal de Protección de Datos Personales,
mientras en 2016 surge la Ley General de Protección de Datos Personales
de Sujetos Obligados. En la ley federal las empresas son responsables de
mal tratamiento del dato; en la ley general, los servidores públicos de
las entidades gubernamentales.
Poseer
o tratar datos personales sin permiso implica penas y multas
importantes que van desde 100 a 350 mil UMAs (Unidad de Medida y
Actualización, que equivale a poco más de 80 pesos), lo cual podría
representar montos de hasta 25 millones de pesos por un mal manejo de un
dato personal.
De
acuerdo con Juan Carlos Calderón, Consultor en Cumplimiento Legal en
Optimiti Network, la protección de datos precisa controles
administrativos, físicos y tecnológicos que les aporten valor a las
organizaciones, los cuales deben implementar los responsables de los
tratamientos de datos personales.
“La
visión de Optimiti Network es que estos no sólo forman parte del área
legal sino de un enfoque global en donde las áreas de TI, alta dirección
y legal deben unir esfuerzos para lograr la protección del dato
personal en todos sus ciclos, desde que entra a la organización hasta
que debe borrarse. Esa trazabilidad implica políticas, gestión de
accesos, procedimientos adecuados, respuesta a incidentes de seguridad,
prevención y capacidad de reacción”, señala el consultor.
“En
Optimiti Network estamos trabajando con el gobierno del dato personal
–señala Alejandra Pineda–, observando los procesos críticos y claves de
la organización que manejan datos personales, con el propósito de
generar políticas del control de la seguridad del dato personal,
designar a los responsables en las organizaciones de éste, tanto en lo
que corresponde a la ley federal como en el caso del Reglamento General de Protección de Datos (General Data Protection Regulation, GDPR).
“Nuestros
sistemas de gestión de seguridad son muy puntuales –asegura Calderón.
“Sabemos que no son suficientes los Avisos de Privacidad, sino que
debemos incorporar tecnología, por ejemplo, temas de cifrado de datos
como el que maneja Optimiti con su socio MicroFocus y así tener cuidado
de que el dato personal vaya reservado. También trabajamos en el área de
identidad con el fabricante Centrify, bajo su premisa “Zero Trust”,
desde que entra el dato personal hasta que termina su relacionamiento”.
La ventana de éxito para un hacker,
coinciden ambos, son los sistemas operativos y las aplicaciones, dos de
las partes más frágiles y vulnerables para ingresar a la información. Y
ese es otro de los elementos que Optimiti ofrece con una solución de
desarrollo de software seguro basado en buenas prácticas.
De
acuerdo con los especialistas se necesitan herramientas poderosas que
ayuden a generar responsabilidades dentro de las empresas y una matriz
para determinar permisos de lectura y escritura, porque no existe un
control estricto de ello. “Cuando estamos en la implementación de los
sistemas de gestión hacemos prácticas de análisis de vulnerabilidad y
pruebas de penetración. Esta solución ataca a la organización de una
manera ética, ayuda a determinar si las bases de datos se encuentran
expuestas y a tomar las medidas pertinentes.
“En
la protección de datos personales, de configurar un gobierno del dato y
crear un ecosistema de seguridad dentro de cada organización, nadie se
salva”, concluye Alejandra Pineda.
No hay comentarios:
Publicar un comentario