Una normativa como el GDPR de Europa introdujo realmente la gestión de la privacidad de la información en todas las agendas corporativas en 2018. Se hizo hincapié en la propiedad individual de los datos personales y las empresas de todo el mundo se vieron obligadas a proteger este derecho de una manera legalmente compatible.
Proteger los datos personales de forma consistente sigue siendo un reto para las empresas. Una encuesta reciente de Espresso realizada por DNV reveló que la madurez solo ha aumentado ligeramente desde la encuesta compartida de 2019. Cuando el GDPR se implementó hace 4 años, las empresas se apresuraron a garantizar el cumplimiento. Parece que esto se ha mantenido como el ángulo principal para muchas empresas. Sin embargo, abordar la gestión de la privacidad de la información únicamente desde una perspectiva legal podría ser muy limitante.
Las personas son la principal fuente de riesgo
Las empresas encuestadas señalaron el error humano como la principal fuente de riesgo (44,5%). Le siguen la falta de concienciación de los empleados o la mala cultura organizativa (27,7%) y la falta de competencia legal/interpretación de los requisitos legales (25,3%). La preocupación por las cuestiones organizativas, culturales y de competencia, más que por las amenazas externas, no es necesariamente muy diferente del resultado obtenido en 2019. Sin embargo, hay un cambio en las acciones de TI a las personas. En 2019, la mejora de la seguridad informática era la principal área de inversión, ahora ha sido superada por la formación y concienciación del personal. Esto es prioritario para casi 1 de cada 2.
Cuando el error humano y la falta de concienciación se consideran riesgos importantes, a menudo significa que no se ha producido una creación de cultura efectiva. Esto podría mitigarse fácilmente aplicando un modelo formal de aseguramiento del sistema de gestión. Todas las organizaciones tienen recursos temporales debido, por ejemplo, al desgaste y a la contratación de nuevos recursos. Esto requiere la formación del nuevo personal o la actualización de la concienciación del existente a intervalos regulares.
Crear una cultura de seguridad coherente
La mejor manera de satisfacer esta necesidad es mediante un modelo de sistema de gestión basado en las mejores prácticas recogidas en la norma de sistemas de gestión de la información sobre privacidad ISO 27701. La norma establece requisitos específicos sobre formación y concienciación periódicas para garantizar un nivel coherente en toda la organización. Esto conduce a un mayor compromiso y capacita a los empleados para pensar en términos de "privacidad", ayudándoles a gestionar mejor la "incertidumbre" relacionada con la privacidad. La experiencia en otros ámbitos, como la seguridad de la información, ha demostrado claramente la capacidad de una organización para crear y mejorar una cultura de seguridad mediante la implantación de un sistema de gestión.
En una sociedad multiconectada, las amenazas a la privacidad abarcan desde la seguridad de la información y la ciberseguridad hasta el uso o almacenamiento indebido, aunque no sea intencionado, de los datos por parte de la propia empresa u otros actores legítimos. Como la mayoría de las empresas parecen estar en riesgo hoy en día, las inversiones en seguridad informática son esenciales. Sin embargo, el punto débil de la cadena de datos suele ser la persona que utiliza la información y los dispositivos o programas informáticos que la gestionan. Esto subraya la gran necesidad de una formación periódica. Puede ser elearning, pequeñas píldoras de formación o una formación más amplia para todo el personal implicado en la gestión de datos.
Los sistemas impulsan un enfoque sólido y fiable
Por supuesto, hay otros aspectos que son importantes además de un sistema de gestión que cumpla las normas. Por ejemplo, la presencia de expertos internos en la materia, debidamente formados, que sean el punto focal relacionado con las peticiones o dudas del personal son esenciales. Estos expertos también pueden ayudar a cualquier empresa a ampliar realmente la lógica de la privacidad por diseño y por defecto. Garantiza sistemáticamente la seguridad de los datos mediante la aplicación de procesos que limiten la recogida y el tratamiento, garanticen la calidad, gestionen la conservación y la eliminación y los controles durante la transmisión de los datos en la fase de diseño de cualquier proyecto o de los cambios en el tratamiento de los datos.
La encuesta de DNV reveló una fuerte inversión por parte de las empresas en formación y concienciación del personal para mitigar el riesgo de error humano. Invertir en competencias es siempre un enfoque constructivo. Vemos una oportunidad para que las empresas que invierten mucho en formación lo combinen con la implantación de un sistema de gestión de la información sobre la privacidad según la norma ISO 27701 para obtener un enfoque más sólido, resistente y fiable.
Por Nanda kumar Shamanna, ICT Business Manager, DNV
