¿Deben fusionarse las funciones de director de privacidad y de seguridad de la información?
- Seguridad Inteligente
A la conferencia anual sobre seguridad y riesgos de la privacidad, organizada por la Asociación Internacional de Profesionales de la Privacidad (IAPP), solían ir exclusivamente profesionales de la privacidad. Pero en los últimos años, se ha visto un número creciente de profesionales de seguridad y de TI que asisten. ¿Es hora de una fusión de CPO-CISO?
Dado el panorama regulatorio global cambiante, gracias al inicio de GDPR, la Ley de Protección al Consumidor de California (CCPA), las leyes de seguridad y seguridad cibernética de China y las leyes de notificación de incumplimiento abundan, no sorprende ver la fusión de los roles de privacidad y seguridad como una tendencia emergente en este espacio. Está claro que la nueva norma para las leyes de privacidad requerirá controles de seguridad de TI claros, tangibles y operativos.
Si bien los jefes de privacidad (CPO) y los jefes de seguridad de la información (CISO) pueden temblar ante la idea de asumir más responsabilidad de la que ya tienen, hay muchos buenos motivos para que estos equipos estén estrechamente alineados, incluso si los roles no pueden ser combinados
Tanto las regulaciones de privacidad como las de seguridad ahora requieren procedimientos y controles técnicos que proporcionan evidencia de que una compañía realmente cumple con las regulaciones. Históricamente, sin embargo, muchas organizaciones usan políticas basadas en papel, que en gran parte no se aplican por dos razones:
A menudo están escritos por profesionales legales y de cumplimiento que saben muy poco acerca de los usuarios promedio dentro de sus empresas y, por lo tanto, no son prácticos de implementar o seguir. Sin embargo, muchos profesionales de la privacidad están acostumbrados a redactar políticas que ayudan a sus compañías a cumplir con los requisitos reglamentarios, pero no necesariamente reflejan lo que su compañía está haciendo en la práctica, ni siquiera lo que es posible en la práctica.
Estas políticas también suelen redactarse sin consultar a los equipos de TI y seguridad de la empresa. Debido a esto, no siempre reflejan lo que es técnicamente posible hacer cumplir, ni el trabajo diario de los empleados dentro de la organización.
Sin privacidad, seguridad y TI trabajando juntos, la realidad del verdadero cumplimiento es casi imposible.
¿Por qué deberían los CPO y los CISO trabajar juntos?
Si bien los CPO deben ser los principales responsables de las políticas que abordan la información personal y cómo la organización las recopila, utiliza y administra, los CISO deben ser responsables de las políticas que se centran en la protección de los sistemas, la seguridad de TI y la forma en que se transfieren los datos. retenido Al final del día, para que las políticas sean accionables y las organizaciones tengan éxito, los CISO y los CPO deben trabajar juntos.
Esto es especialmente cierto para garantizar el éxito y la seguridad de los empleados de una organización. Cuando se les deja a sus propios dispositivos, los trabajadores tienden a tomar decisiones pobres o egoístas cuando se trata de su propia gestión de datos, privacidad y seguridad. La mayoría cree que su información es de importancia crítica, y tiende a mantenerla durante más tiempo del necesario en lugares donde es más fácil para ellos acceder (en lugar de en una red segura) porque creen que pueden necesitarla nuevamente algún día. Esto puede llevar a una serie de problemas, incluida la proliferación de datos en redes y dispositivos corporativos y personales, la pérdida de una buena gestión del conocimiento y, por supuesto, un aumento del riesgo potencial de seguridad y privacidad. Este es solo un ejemplo tangible de cómo la asociación entre los CPO y los CISO puede reparar los problemas de seguridad dentro de las organizaciones.
Descubre la innovación
Para asegurar el éxito empresarial, ahora y a futuro, es imprescindible maximizar el retorno de la inversión existente en software, a la vez que innovar y adoptar nuevas tecnologías. Los retos que hay abordar para competir en un mundo de TI Híbrida incluyen DevOps, Seguridad, Gestión de riesgos y Análisis predictivo. Puedes obtener más información sobre cómo abordar estos retos e innovar en este enlace.