Home

Empresas

Artículo

TENDENCIAS

Aspectos clave para proteger datos confidenciales

Un informe, que incorpora las respuestas de miembros de 450 organizaciones del mundo, concluye que sólo una de cada 10 organizaciones protege adecuadamente sus datos confidenciales.

8 de enero de 2008

IT Policy Compliance Group, organización dedicada a promover el desarrollo de la investigación e información para que los profesionales de TI cumplan adecuadamente con las políticas de sus organizaciones y al cual Symantec –en conjunto con otras empresas e institutos-, dio a conocer los resultados de su más reciente informe sobre los estándares de desempeño empresarial titulado “Aspectos Básicos para Proteger los Datos Confidenciales”.

 

En el documento también se identifican las variables presentes en estas compañías –consideraras como líderes en el tema- y las que están rezagadas o un paso atrás, con el fin de comprender las mejores prácticas que permitan el cumplimiento y una mejor protección, así como ventaja competitiva sostenibles.


Uno de los hallazgos más sorprendentes de la investigación es la relación directa entre la protección de datos confidenciales y los resultados con las políticas de cumplimiento, es decir, las firmas que se destacan en la protección de datos confidenciales también cumplen adecuadamente con las auditorías.

 

Casi todas las organizaciones (96%) que presentan una menor pérdida de datos confidenciales son exactamente las mismas que tienen menos deficiencias en el cumplimiento reglamentario que se deben corregir para aprobar las auditorías.


En contraste, la mayoría de las organizaciones (64%) con la mayor pérdida de datos confidenciales son las mismas organizaciones con el mayor número de deficiencias en el cumplimiento reglamentario que se deben corregir para aprobar la auditoría. Los aspectos básicos identificados en este informe se dividen varias categorías: estructura, estrategia en las organizaciones, intimidad con los clientes y excelencia operativa.

 

 En las firmas con la menor pérdida de datos sensibles (líderes) se identifica la importancia de definir menos políticas o controlar los objetivos, lo que conlleva evaluaciones más frecuentes y la implementación del cambio de administración de TI para evitar el uso no autorizado.


· Los líderes definen un promedio de 30 objetivos de control y realizan una evaluación cada 19 días. Estas firmas sufrieron dos o menos pérdidas y robos de datos anuales, así como dos o menos deficiencias anuales de cumplimiento.


· Las organizaciones que están rezagadas en este aspecto definen un promedio de 82 objetivos de control y realizan evaluaciones una vez cada 230 días. Asimismo, experimentan 13 o más pérdidas y robos de datos anuales y 22 o más deficiencias de cumplimiento anuales.


“Varios eventos recientes han demostrado qué tan nociva puede ser la pérdida de datos para la reputación y objetivos estratégicos de una organización. Por esta razón, es fundamental implementar controles de riesgos para disuadir la pérdida y robo de datos y evaluar estos controles periódicamente”, dijo Lynn Lawton, Presidente Internacional de la Asociación para la Auditoría y el Control de Sistemas de Información (ISACA), CISA, FCA, FIIA, PIIA, FBCS y CITP, en el informe.

 

“Las organizaciones exitosas se centran en la selección de los controles más relevantes, en lugar de sólo implementar muchos controles. Los resultados de la encuesta demuestran claramente que la selección, implementación y comunicación de los controles clave y la evaluación periódica de su eficacia es un enfoque más práctico y produce mejores resultados que agregarse constantemente a un complejo laberinto de controles aislados y descoordinados”.


La investigación indica que la calidad de los controles no es tan importante como su preparación para riesgos específicos y la frecuencia de las evaluaciones. Firmas con controles inexistentes y evaluaciones ocasionales de los controles son las que tienen las tasas más altas de robo y pérdida frecuentes de datos.


“La protección de los datos de los clientes y empleados, así como la propiedad intelectual nunca habían sido tan importantes como ahora y esto se debe al rápido incremento de los requisitos de cumplimiento y riesgos de la reputación”, dijo Rocco Grillo, director General de la Práctica de Riesgo Tecnológicos de Protiviti Inc. en el documento.

 

“Sin embargo, las brechas de seguridad de datos y los robos de identidad siguen vigentes. Aunque los controles no pueden garantizar la protección por completo, las compañías deben actuar con el debido cuidado en términos de seguridad y control de riesgos. Se ha comprobado que los programas que mantienen y aumentan la seguridad de manera eficaz han tenido un resultado importante en la protección contra robo o pérdida de valiosa información. Atrás quedó la época en que la administración se sentaba a esperar a que una crisis o incidente los alertara – ahora todos deben ser proactivos”.


Mejores prácticas de los líderes de protección de datos
Las organizaciones con menor pérdida de datos son las que obtienen los mejores resultados de las auditorías de cumplimiento reglamentario y demuestran que tienen un conjunto básico de aspectos que también minimizan el impacto financiero de las brechas de datos (véase el informe anterior “Por qué el cumplimiento es conveniente para la reputación y los ingresos en peligro”) , además de tener una ventaja competitiva sostenible.


Los aspectos básicos son las siguientes:


Estructura y estrategia organizacionales
· Implementar un programa de cumplimiento de clase mundial
· Documentar y mantener políticas, estándares y procedimientos
· Reorganizar controles internos, funciones de control de riesgos y seguridad de TI para fomentar la intimidad con los clientes y la excelencia operativa.


Intimidad con los clientes
· Definir las funciones y responsabilidades de los propietarios de las políticas
· Identificar y administrar los riesgos empresariales y financieros
· Brindar entrenamiento a los empleados y administrar las excepciones de las políticas


Excelencia operativa
· Expandir el alcance de la auditoria interna a la mayoría de funciones empresariales
· Destacar el riesgo de los objetivos de control
· Reducir la cantidad de objetivos de control
· Implementar controles que sean medibles
· Realizar autoevaluaciones de los controles de procedimiento
· Aumentar la frecuencia de la evaluación de controles técnicos
· Implementar un programa completo de administración de cambios de TI
· Usar la administración de cambios de TI para evitar el uso o cambio no autorizado


La investigación
Los temas investigados por IT Policy Compliance Group hacen parte de un cronograma de investigación continua establecido por la retroalimentación de los miembros patrocinadores y miembros generales y por los hallazgos compilados de la investigación reciente. Los más recientes estándares de desempeño del sistema que son la base de este informe fueron realizados en 454 organizaciones entre febrero y mayo de 2007.

 

El margen de error de esta investigación es más o menos 4,5%. La mayoría de organizaciones (90%) que participan en los estándares de desempeño del sistema están ubicadas en los Estados Unidos. El 10% restante lo conforman países como: Australia, Canadá, Francia, Alemania, Irlanda, Japón, España y el Reino Unido, entre otros.