Ole Christian Olsen tiene más de 10 años de experiencia en IT Security y auditorias de tecnología. Además cuenta con experiencia en el campo de la ciber-seguridad y en regulaciones de cumplimiento para mejores prácticas en la seguridad de la información, cuenta con certificaciones CISA, CRISC, Cobit 5, implementación de ISO 27001, e ITIL. H trabajado para prestigiosas compañías en Países Bajos y en Noruega.
Es importante para nosotros aportarles con el punto de vista de un experto en temas relacionados a regulaciones ya que las empresas deberían intentar apegarse lo más posible a ellas para evitar fugas de información sensible y de igual manera ser multadas por las agencias de gobierno. Ole responderá algunas preguntas en relación a este tema y comenzaremos con la siguiente:
Qué son las regulaciones y por qué son importantes?
Las regulaciones son reglas que hacen cumplir las agencias gubernamentales. Son importantes porque establecen el estándar de lo que puede y no puede hacer las empresas en los negocios. Se aseguran de que trabajemos con las mismas reglas y nos protejan como ciudadanos. Por ejemplo, el nuevo Reglamento de privacidad en Europa (GDPR) dice lo siguiente: El Reglamento general de protección de datos protege a las personas, al establecer los derechos que tiene la persona y al regular lo que las empresas pueden hacer con la información de privada, confidencial y sensible de ellas.
Es importante cumplir con las normas de la regulación?
Siempre es importante cumplir con las normativas de las regulaciones que rigen en el área de negocios que opera la empresa. El grado de cumplimiento depende de cómo sea la gestión de riesgos de la misma. Algunas regulaciones, como por ejemplo GDPR, establecen que debe tener seguridad en el procesamiento de la información personal tanto de los clientes como de los colaboradores, accionistas y cualquier persona que esté en el ecosistema de la compañía. Pero ¿qué significa eso? La compañía debe cumplir lo que le damande su nivel de riesgo. Eso lo explica de manera clara la normativa. Por lo tanto, todas las empresas que procesan información personal deben hacer su propio análisis de riesgos.
Dependiendo del riesgo involucrado y la aceptación del riesgo del negocio, se deben implementar medidas apropiadas de seguridad de la información.
Qué pasa si no cumples con las normas aplicables de regulación?
Los resultados de no cumplir con las normativas y regulaciones, son equivalentes a multas millonarias. Es muy importante que las compañías evalúen su propio riesgo y entiendan que es lo que necesitan. Aparte de las multas, la fuga de información confidencial termina en pérdidas económicas, legales, y hasta daños en la reputación de la misma.
Quién quisiera hacer negocios con una empresa que no sea capaz de cubrir parámetros sencillos de la seguridad? Y que no puedan cumplir con as normas de regulación?
Dónde se comienza y cuáles son los primeros pasos que debo cumplir para asegurar el cumplimiento de las normativas de las regulaciones?
El primer paso que se debería hacer es una revisión de que leyes y normativas son aplicables para el giro de negocio en el que se encuentre su empresa. Existen leyes y normativas que cambian por el tipo de empresa y por el tipo de industria. Hay normativas que son aplicables para todos y hay normativas que se ajustan a características específicas de las empresas. Por ejemplo, si su empresa está en algún mercado cambiario, existen normativas que se apegan a esa característica en específico. Después de hacer esta revisión fundamental, es importante evaluar el riesgo y esto debe ser contemplado en la política, procesos y controles del manejo de información de la compañía. Es muy importante entender que en las políticas de información de la empresa se puede validar en auditorías que se estén cumpliendo las normativas.
En estos tiempos, qué tan importante es la seguridad de la información en relación a las regulaciones?
Vivimos en una época tecnológica donde la información y los datos se mueven muy rápido. Debido a esto la sociedad depende mucho de la información y de los sistemas que la manejan. Es por esto que las normativas han decidido entender esto y buscan que la información esté protegida. Perder información personal o información de tarjetas de crédito puede terminar en daños severos para los clientes y para las empresas. Proteger la información debería ser visto por las empresas como algo ético y necesario para garantizar la seguridad de los clientes, pero como no lo ven de esa manera, existen normativas que las obligan a ver. Y así mismo las políticas de la empresa deberían ser consistentes con el nivel de riesgo ajustado a las necesidades de la empresa.
La información hoy en día es más valiosa que el petróleo, la información más sensible de nuestros clientes e incluso nuestra propia información como compañía debería ser tratada con cuidado para evitar fugas y evitar multas que podrían hacer quebrar a cualquier empresa. Si protegen la información es una buena práctica y puedes retener clientes por la seguridad que los estás dando.
Cómo puedo empezar a proteger los activos de información?
Primero, deberían entender qué tipo de información es la que tiene la empresa, su valor, sus niveles de confidencialidad, dónde está ubicada y quien tiene acceso a ella. Se puede resumir este proceso entendiendo los pilares de la seguridad informática: Confidencialidad, Integridad y Disponibilidad. Así mismo deberíamos entender cuántos niveles de sensibilidad tiene la empresa, poco sensible, medianamente sensible, o muy sensible. Una vez que entendemos que tipo de información tenemos y donde está ubicada podemos recién empezar a invertir en herramientas que protejan la información.
Encontrar y categorizar la información parece un trabajo titánico, se lo puede hacer de una manera completa y precisa?
Realmente es un trabajo que toma mucho tiempo y recursos de la compañía. Existen diferentes tipos de información, los datos estructurados como bases de datos, son fáciles de clasificar y entender porque sabemos lo que la base de datos contiene, pero por otro lado, existen datos no estructurados, como documentos Word, Excel, PowerPoints o PDFs, que no sabemos dónde están ubicados, que tipo de información contienen y sobre todo que tan sensibles son. Así tengan la información clasificada, esta actividad debería ser continua por la cantidad de documentos que se crean diariamente en las compañías. Es importante etiquetar la información en grados de sensibilidad, por ejemplo la ISO27001 indica que debe ser categorizada como confidencial, restringida, uso interno y público. De esta manera nos aseguramos de entender dónde está lo más importante y sensible de la compañía.
Algún último consejo?
Procuren entender que información tienen y que es lo que necesitan cumplir para tener buenas prácticas en la gestión de la seguridad de la información, hagan análisis de riesgos y conozcan que tipo de información tienen para poder proteger lo más importante. Utilizar una solución como Kriptos que clasifica la información automáticamente, analizando el contenido y contexto de cada documento, utilizando inteligencia artificial permite a las empresas conocer el nivel de criticidad, ubicación y valoración del documento, ahorrando tiempo y dinero de forma rápida y sencilla.
