Controlar el acceso a los datos, debe quedar en manos de los expertos!
Existe una regulación con respecto al tratamiento automatizado de datos
personales y por ello es de suma importancia establecer los controles adecuados para los
accesos de la privacidad de estos dentro de las empresas, para eso existe ....
la Ley Orgánica
de Protección de #Datos.
“Cuando se habla de protección de datos integral, es trascendental definir una estrategia
que permita abordarlo desde toda perspectiva, no solamente es cuestión de definir
controles a la hora de acceder a los datos, sino desde el momento en que estos se crean o
nacen, desde ese entonces se deben aplicar esos controles de seguridad”, dijo Esteban
Azofeifa, Regional Consultant – Security Systems de #GBM.
En primera instancia, la empresa debe crear controles administrativos como la
clasificación del dato, saber si esa información es de carácter confidencial, si es un dato
crítico para la organización y así definir controles a la hora de accesar a esa información.
“La privacidad debe tener diferentes niveles, hay datos que son de uso interno de las
organizaciones, donde cierto personal puede acceder a ellos; y otros son confidenciales o
“top secret”, donde es muy restringido su acceso y solo algunas personas pueden llegar a
ellos”, amplió Azofeifa.
Un ejemplo de datos confidenciales que no se pueden filtrar podrían ser las enfermedades
que padece un individuo, elementos que maneja un hospital o clínica, esta no debería
compartirse sin el consentimiento del paciente. Otro ejemplo son las estrategias de ventas
de una empresa, que es información totalmente confidencial que no debe filtrarse hacia la
competencia.
¿Cómo se puede controlar el acceso a los datos?
Según Esteban Azofeifa, se debe establecer una estrategia integral y a partir de ahí, se
desgranan distintos métodos o controles que se podrían aplicar dependiendo del nivel de
criticidad del dato. Con más razón si estos están en la nube o en un centro de datos de un
tercero.
Asimismo se deben poner controles de enmascaramiento de datos, que en muchos casos
se utilizan para aquellos ambientes en las organizaciones que no son productivos, a eso se
le conoce como enmascaramiento estático, de manera que si hay que sacar datos de un
ambiente productivo y llevarlos a otro que normalmente es menos seguro, se debe
cerciorar que tenga los controles apropiados de transformación para proteger esa
privacidad, garantizar que los diferentes usuarios tengan los derechos de acceso que
requieren para su trabajo, ni más ni menos. Si se define eso como una táctica a lo interno
de la organización, se tendrá un control de acceso dentro de la organización mucho más
robusto.
“GBM tiene una metodología definida. En primera instancia acompañamos al cliente a
conocerse y determinar cuáles son esos datos sensibles, nos reunimos con el personal del
negocio y entendemos cuáles son sus procesos, necesidades y brindamos un
acompañamiento mediante consultoría para que puedan clasificar los datos, damos una
guía de cómo se deben clasificar y de acuerdo con la industria, establecemos cuáles son
los datos que se clasifican como sensibles”, agregó Azofeifa.
Una vez ubicados esos datos, se definen controles que se van a aplicar a cada tipo de dato,
de manera que generen alertas en tiempo real, cuando hay alguna anomalía en el acceso
a la información o restringir del todo el acceso a ciertos usuarios.
nota por Edgar David Balaña Pellecer y Alejandra Castillo