Según un reciente estudio de la firma Ernst & Young, la privacidad está asociada cada vez más al potencial abuso que ésta pueda tener. El acceso inadecuado o exposición de información, puede resultar en el robo de identidad o fraude, lo que preocupa cada vez más a las organizaciones.

Toda organización está a cargo de información personal -ya sea para consumidores, clientes, empleados o socios de negocios- y se enfrenta a una serie de obligaciones relacionadas con la privacidad y la protección de tal información. Este año, el estudio más reciente de Ernst & Young, denominado “Top privacy issues for 2010”, añade a estas preocupaciones tan alarmantes los cambios regulatorios en todo el mundo, así como el efecto persistente de la crisis económica.

Según la firma consultora, las compañías trabajan cada vez más en un entorno más complejo, y tienen como desafío clave la gestión de riesgos y cumplimiento, manejando adecuadamente la información personal y la protección de ésta, de manera completa y coherente.

Colombia aún tiene mucho trabajo por hacer. Además de Estados Unidos, las leyes nacionales de protección de datos están bien establecidas en Europa, Canadá y algunos países del Pacífico. Esto como resultado de la necesidad identificada para la creación de estándares coherentes de privacidad, cuyas leyes varían enormemente en muchos temas que continúan evolucionando.

Por otro lado, los requisitos para la notificación de violaciones a la privacidad están en diferentes etapas de consideración y de desarrollo en todo el mundo. Además, otros reguladores (como los de la industria financiera) están cada vez más involucrados en aplicar las normas de tratamiento de información personal; esto significa que la seguridad y protección de información personal que se exige generalmente, ha adoptado mayor importancia en dónde esté contenida y a quién haya sido transferida.

Manejo de incidentes

La necesidad de una gestión eficaz y oportuna para acontecimientos e incidentes de privacidad, continúa siendo un tema crítico para todas las organizaciones. Sin duda alguna, deben planear cuidadosamente cómo manejar incidentes y denunciar ante las autoridades las violaciones a la privacidad, incluso cuando las reglas en algunas jurisdicciones no han sido declaradas con precisión.

Los procesos de manejo de incidentes ahora requieren un mayor nivel de sofisticación en las organizaciones. De acuerdo al estudio “Top privacy issues for 2010”, es necesario no sólo evaluar la información que queda potencialmente expuesta, sino también, en el caso de la información de salud protegida, evaluar el impacto probable en las personas.

La computación en nube*

Los roles tradicionales de tercerización y la empresa extendida aumentan por la creciente popularidad del ‘cloud computing’ o “computación en nube”. Las nubes y otras utilidades informáticas, retan nuestros métodos convencionales a medida que el control y la custodia de información personal ceden progresivamente. En este clima económico los beneficios de reducción de costos que ofrecen las tecnologías de nube han llevado a muchos a evaluar de nuevo si son las adecuadas para su negocio.

Las organizaciones primero deben abordar algunas consideraciones fundamentales antes de comprometerse con proveedores de la nube. La computación ‘cloud’ añade un nuevo acuerdo de tercerización para la organización que podría no encajar perfectamente en su enfoque actual para la gestión de adquisiciones y proveedores. Asegurar que los stakeholders de la organización se sientan cómodos con la relación riesgo-beneficio es fundamental para la adopción eficaz a largo plazo de este enfoque.

Auditorías a proveedores de servicios

El año 2010 marca un importante cambio en la manera cómo los proveedores de servicios podrán ofrecer garantías sobre procesos y entornos de control a sus clientes y socios comerciales. El informe SAS 70 es un instrumento de garantía que los auditores utilizan para manejar los procesos de negocio que tienen un impacto en los estados financieros.

El nuevo instrumento de garantía, que tendrá un título diferente, permitirá la inclusión de controles más allá de los correspondientes a la integridad de la información financiera, permitiendo así que el informe haga frente a los controles de privacidad y protección de datos, entre otras opciones.

Encriptación

La protección de datos personales debe cubrir la información donde quiera que esté y donde sea que vaya. La práctica de “encriptar” dispositivos móviles, medios portátiles y comunicaciones electrónicas, es muy común. Si bien esto puede haber sido una idea de vanguardia o una práctica líder un par de años atrás, en 2010 el cifrado de la información personal en reposo y en tránsito debe ser un procedimiento operativo estándar.

Esta exclusión se aplica a los requisitos del Acta de notificación HiTech sobre la información de salud protegida. Para muchas organizaciones su uso no es nuevo; su meta ya no es la mera adición de cifrado, sino el uso eficaz de la tecnología de encriptación.

El costo de fallas en cumplimiento

La delincuencia y fraude relacionados con información personal están en aumento. A la luz de escenarios donde el robo de identidad, los fraudes financieros, e incluso, el robo de identidad médica son perpetrados, los reguladores buscan y, a menudo reciben, mayor poder de ejecución.

En otros países, las autoridades nacionales de protección de datos, y reguladores financieros y de telecomunicaciones, se han vuelto más diligentes con las actividades de investigación, auditoría y ejecución -a veces en respuesta a quejas de empleados y clientes, otras como parte de iniciativas proactivas-. Muchos han buscado mejores competencias de control y sanciones.

El 2010 traerá consigo enormes auditorías reglamentarias y multas pagadas por las organizaciones que no implementen los controles de privacidad efectivamente. El creciente número de industrias y jurisdicciones que están sujetos a requisitos de notificación por violación, probablemente conducirá gran parte de esta actividad.

Si requiere mayor información, por favor contáctese con nosotros.

_{*Sobre la Computación Nube: Hay tres modelos comunes de prestación de servicio en nube: infraestructura como servicio (IaaS), plataforma como servicio (PaaS) y el software como servicio (SaaS). También existen cuatro modalidades comunes de consumo y despliegue de servicios nube: privados, públicos, gestionados e híbridos. Esta la combinación del modelo de prestación de servicios con el modelo de implantación que establece el perfil de riesgo básico de cloud computing.}

Publicado por: Hector Henry el 25, June, 2010. En la Categoria: Noticias Tags: Ernst & Young

« Malas Noticias de la Copa Mundial de Futbol – Spam Malicioso

Papá merece un BlackBerry smartphone»

Contenidos móviles y digitales traerán mayores ingresos en Medios y Entretenimiento