Lo importante de la privacidad en la pyme de hoy

Según un reciente estudio de la firma Ernst & Young, la privacidad está asociada cada vez más al abuso potencial que ésta pueda tener. El acceso inadecuado o exposición de información, puede resultar en el robo de identidad o fraude, lo que preocupa cada vez más a las organizaciones.

Toda pyme está a cargo de información personal -ya sea para consumidores, clientes, empleados o socios de negocios- y se enfrenta a una serie de obligaciones relacionadas con la privacidad y la protección de tal información. Este año, el estudio más reciente de Ernst & Young, denominado “Top privacy issues for 2010”, añade a estas preocupaciones tan alarmantes los cambios regulatorios en todo el mundo, así como el efecto persistente de la crisis económica.

Según la firma consultora, las compañías trabajan cada vez más en un entorno más complejo, y tienen como desafío clave la gestión de riesgos y cumplimiento, manejando adecuadamente la información personal y la protección de ésta, de manera completa y coherente.
Colombia aún tiene mucho trabajo por hacer.

Además de Estados Unidos, las leyes nacionales de protección de datos están bien establecidas en Europa, Canadá y algunos países del Pacífico. Esto como resultado de la necesidad identificada para la creación de estándares coherentes de privacidad, cuyas leyes varían enormemente en muchos temas que continúan evolucionando.

Por otro lado, los requisitos para la notificación de violaciones a la privacidad están en diferentes etapas de consideración y de desarrollo en todo el mundo. Además, otros reguladores (como los de la industria financiera) están cada vez más involucrados en aplicar las normas de tratamiento de información personal; esto significa que la seguridad y protección de información personal que se exige generalmente, ha adoptado mayor importancia en dónde esté contenida y a quién haya sido transferida.

Manejo de incidentes
La necesidad de una gestión eficaz y oportuna para acontecimientos e incidentes de privacidad, continúa siendo un tema crítico para todas las organizaciones. Sin duda alguna, deben planear cuidadosamente cómo manejar incidentes y denunciar ante las autoridades las violaciones a la privacidad, incluso cuando las reglas en algunas jurisdicciones no han sido declaradas con precisión.

Los procesos de manejo de incidentes ahora requieren un mayor nivel de sofisticación en las organizaciones. De acuerdo al estudio “Top privacy issues for 2010”, es necesario no sólo evaluar la información que queda potencialmente expuesta, sino también, en el caso de la información de salud protegida, evaluar el impacto probable en las personas.

La computación en nube
Los roles tradicionales de tercerización y la empresa extendida aumentan por la creciente popularidad del ‘cloud computing’ o “computación en nube”. Las nubes y otras utilidades informáticas, retan nuestros métodos convencionales a medida que el control y la custodia de información personal ceden progresivamente. En este clima económico los beneficios de reducción de costos que ofrecen las tecnologías de nube han llevado a muchos a evaluar de nuevo si son las adecuadas para su negocio.

Las organizaciones primero deben abordar algunas consideraciones fundamentales antes de comprometerse con proveedores de la nube. La computación ‘cloud’ añade un nuevo acuerdo de tercerización para la organización que podría no encajar perfectamente en su enfoque actual para la gestión de adquisiciones y proveedores. Asegurar que los stakeholders de la organización se sientan cómodos con la relación riesgo-beneficio es fundamental para la adopción eficaz a largo plazo de este enfoque.

Auditorías a proveedores de servicios
El año 2010 marca un importante cambio en la manera cómo los proveedores de servicios podrán ofrecer garantías sobre procesos y entornos de control a sus clientes y socios comerciales. El informe SAS 70 es un instrumento de garantía que los auditores utilizan para manejar los procesos de negocio que tienen un impacto en los estados financieros. El nuevo instrumento de garantía, que tendrá un título diferente, permitirá la inclusión de controles más allá de los correspondientes a la integridad de la información financiera, permitiendo así que el informe haga frente a los controles de privacidad y protección de datos, entre otras opciones.

Encriptación
La protección de datos personales debe cubrir la información donde quiera que esté y donde sea que vaya. La práctica de “encriptar” dispositivos móviles, medios portátiles y comunicaciones electrónicas, es muy común. Si bien esto puede haber sido una idea de vanguardia o una práctica líder un par de años atrás, en 2010 el cifrado de la información personal en reposo y en tránsito debe ser un procedimiento operativo estándar. Esta exclusión se aplica a los requisitos del Acta de notificación HiTech sobre la información de salud protegida. Para muchas organizaciones su uso no es nuevo; su meta ya no es la mera adición de cifrado, sino el uso eficaz de la tecnología de encriptación.

Fuente: Latinpymes

Sé el primero en comentar

Dejar una contestacion