Autores:
- Ana Cecilia Garçon – Security Enel Argentina
- Vanesa Carrafiello - LCA and Compliance Enel Argentina
Múltiples son los conceptos que se asocian cuando se analizan datos que, a través de procesos y distintas relaciones entre ellos, se transforman en información, tales como “confidencialidad”, “protección”, “privacidad”; así también normativas y reglamentos, dispuestos para un país o de manera internacional, como “Familia ISO 27000 – Seguridad de la Información”, “Ley Argentina Nro. 25.726 – Protección de Datos Personales”, “GDPR – General Data Protection Regulation”, entre otros.
El Gobierno de los Datos, uno de los principales activos de una compañía, tiene, sin duda, distintos objetivos y usos respecto de las líneas de negocio que conviven en ella para un fin común, sin embargo, no es menor comprender que, tener la certeza que este gobierno encierra aspectos tecnológicos, logro de ventaja competitiva, conquista de mercados, desarrollo de análisis de riesgos existentes como futuros y confiar en la seguridad del dato en el ciclo de vida, es un gran desafío corporativo, que se logra con la sinergia de conocimiento en las distintas áreas que integran la empresa.
La posibilidad de brindar a las compañías de cualquier tamaño e industria, agilidad y veracidad en la toma de decisión es, a ciencia cierta, uno de los objetivos del Gobierno de los Datos. Asimismo, asegurar la integridad y grado de confidencialidad del dato, aportan al desarrollo de procesos más eficientes y transparentes, logrando que los mismos sean claros y con el valor agregado de haberse considerado la calidad del dato en sí mismo.
La Seguridad de la Información, en este sentido, brinda herramientas valiosas, que permiten identificar los responsables de los procesos de negocio, dueños o propietarios de la información, y su clasificación propiamente dicha. Logrando así, un tratamiento adecuado y responsable de la información, según su clasificación en diferentes órdenes de procesamiento de la misma, es decir copiado o reproducción, almacenamiento, transmisión y eliminación seguras, accesibilidad, otros.
La Transparencia en la comunicación de datos e información, constituyen un principio básico. La opacidad y falta de claridad son señal de conductas poco o ausentes de ética. En este marco, la Seguridad de la Información resulta transversal a todas las áreas de la compañía y, por lo tanto, la figura del Compliance Officer, como la del Data Privacy Officer (de no coincidir) deben trabajar de manera conjunta con sectores como IT (Information Technology) o Security en la empresa, permitiendo minimizar riesgos, que den lugar a incidentes que provoquen ambientes o activos indisponibles y/o faltos de veracidad.
También y en relación a la ocurrencia de incidentes o situaciones de alto riesgo en el tratamiento de datos, resulta de importancia, tener una reacción rápida, en base a procesos formales de atención de incidentes, aprehender de los errores, ser resilientes. Considerando, a su vez, el análisis de causa raíz, tomar una acción correctiva, modificar/actualizar el riesgo en la matriz y testear nuevamente el control, por mencionar algunos ejemplos. En este punto la mejora continua resulta fundamental a los fines de la reparación o prevención - Lessons Learning.
En un país como el nuestro, donde usualmente se da importancia a estos temas cuando ha pasado algún incidente en IT u OT (Operation Technology), o cuando existen sanciones por incumplimiento, debemos tener la madurez y sabiduría, de anteponernos a los hechos, de ser proactivos y actuar preventivamente, ya que el daño que puede ocasionarse ante la falta de un servicio crítico para una población (agua, energía, gas, otros) o la ausencia de tratamiento seguro de los datos de personales, entre otros, puede traer aparejado graves consecuencias para la reputación, imagen o activos de una compañía.
A su vez, y entendiendo el control como parte fundamental de la organización, en este camino el Gobierno de los Datos debe garantizar que la información introducida en un sistema, de forma manual o automática cumpla con requisitos, normas, reglas de negocio, entre otras. Es así que, actividades asociadas al mismo, como las que lleva adelante la función de Compliance, como uno de sus aspectos intrínsecos, es fundar y asentar una cultura de cumplimiento, poniendo foco en diferentes tipos de datos relacionados y sus procesos relacionados con stakeholders.
Como conclusión y, en consecuencia, debe ser el Gobierno de Datos y la función de Compliance, una ocupación con fuerte presencia en la agenda de la Alta Dirección y Órgano de Gobierno. Asimismo, crear cultura de tratamiento seguro de la información en todo su ciclo de vida, con transparencia y de manera íntegra, son aspectos a difundir e incentivar en el día a día. Realmente, la forma en que una compañía disemina la cultura es factor clave para su éxito.
