Privacidad de Datos y Seguridad de la Información | Cuando los plazos son inviables
Ya sea para la entrega de una demanda, un proyecto o para atender una auditoría, el área de Privacidad de Datos y Seguridad de la Información siempre se enfrenta a plazos y situaciones adversas que requieren una serie de medidas, impactando los pilares fundamentales de nuestra misión de garantizar la productividad de la organización con el menor riesgo posible.
Un CISO, DPO o similar debe tener siempre en mente que este tipo de situaciones pueden ocurrir—aunque como excepciones, no como lo habitual—y ser lo suficientemente hábil para cumplir también su papel de asesor en lo que respecta a la protección de datos y activos de información para cumplir con estas demandas en este tipo de situaciones.
En mi opinión, esto implica considerar los siguientes aspectos para tratar el asunto de manera adecuada:
Dado el contexto, la necesidad y la realidad en la que se inserta el caso, debe haber cierta distancia y abstracción para entender de manera holística el problema, anticipando las más variadas posibilidades, situaciones y escenarios, formulando diferentes soluciones enfocadas en los riesgos.
Los escenarios posibles e imposibles, los riesgos, amenazas, vulnerabilidades e impactos deben ser elaborados meticulosamente, depurados y traducidos al lenguaje empresarial, buscando solucionar una demanda de negocio y nunca las demandas del propio área de Privacidad de Datos y Seguridad de la Información.
Esto también debe incluir la participación y contribución de otras áreas, como el Jurídico para la verificación de posibles riesgos legales; Recursos Humanos, que puede aportar su perspectiva sobre el impacto en la organización y las personas; Tecnología de la Información, que sin duda podrá contribuir a la viabilidad técnica de las soluciones; y tantas otras posibilidades.
Una vez realizada el análisis de riesgos y la determinación de las mejores posibilidades como soluciones probables, esto debe ser documentado y presentado detalladamente en lenguaje empresarial, tanto el problema como las soluciones viables y sus impactos.
Recomendado por LinkedIn
Una vez señalada la solución, Privacidad de Datos y Seguridad de la Información debe mantenerse como un punto central de esto, gestionando todo el proceso de resolución del caso y tomando decisiones y medidas en tiempo real para que el objetivo se cumpla.
Sea cual sea la solución decidida por la organización, el papel del área de Privacidad de Datos y Seguridad de la Información es proporcionarle toda la información relevante—sobre todo los riesgos y impactos—los cuales estará sujeta, así como señalar contramedidas para mitigar estos impactos.
Es inevitable que este tipo de escenario se presente, pero debemos adaptarnos y, incluso en situaciones no ideales, buscar soluciones creativas dentro de los parámetros éticos, legales y regulatorios.
De cualquier forma, nunca debemos dictar la toma de decisiones, sino acercarnos al negocio y entenderlo para formular adecuadamente qué y cómo debe hacerse, permitiendo que una instancia responsable tome la decisión, donde también debemos apoyar y facilitar este proceso.
#privacidadedatos #seguridaddelainformacion #liderazgo #plazo