Por: Ann Johnson, vicepresidenta corporativa del grupo de soluciones de seguridad cibernética.
Hoy en día, muchas organizaciones todavía tienen dificultades para adherirse a los mandatos de la Regulación General de Protección a los Datos (GDPR) aun cuando esta regulación histórica tuvo efecto hace casi dos años. Un aprendizaje clave para algunos: cumplir con las normas no siempre significa que están seguros. Las cambiantes regulaciones de privacidad, combinadas con recursos limitados como presupuestos y escasez de talentos, se suman a las complejidades actuales de los negocios. A menudo escucho esta preocupación durante mis viajes por el mundo para reunirme con nuestros clientes y compartir cómo Microsoft puede impulsar a las organizaciones de manera exitosa a través de estos desafíos.
Hace poco, me senté con Emma Smith, directora global de seguridad en Vodafone Group para hablar sobre sus propias mejores prácticas cuando navegan por el entorno regulatorio. Vodafone Group es una compañía mundial con operaciones móviles en 24 países y asociaciones que se extienden a 42 más. La compañía también cuenta con operaciones de ancho de banda fijo en 19 mercados, con alrededor de 700 millones de clientes. Este alcance global significa que deben proteger una cantidad significativa de datos mientras se adhieren a múltiples requerimientos.
Emma y su equipo han puesto una gran cantidad de tiempo y esfuerzo en las estrategias y tácticas que mantienen a Vodafone y a sus clientes en cumplimiento de las normas, sin importar en qué parte del mundo se encuentren. Ellos han aprendido bastante en este proceso, y ella compartió estos aprendizajes conmigo mientras discutíamos la necesidad de que las organizaciones deben ser tanto seguras como capaces de cumplir las normas para servir mejor a nuestros clientes y mantener su confianza. Pueden ver nuestra conversación y escuchar más en nuestro episodio de CISO Spotlight.
La seguridad cibernética permite el cumplimiento de normas de privacidad
Mientras trabajan para equilibrar el cumplimiento de normas con la seguridad, tengan en mente que, como dijo Emma, “No hay privacidad sin seguridad”. Si tienen equipos separados para privacidad y seguridad, es importante que estén alineados de manera estratégica. Las personas sólo utilizan tecnología y servicios en los que confían, y es por eso que la privacidad y la seguridad van de la mano.
Vodafone realizó una evaluación de privacidad y seguridad a través de todas sus tiendas de big data para entender dónde viven los datos de alto riesgo y cómo protegerlos. Luego, pudieron implementar los mismos controles para privacidad y seguridad. También es importante reconocer que nunca serás inmune a un ataque, pero puedes reducir el daño.
Emma ofreció tres recomendaciones para equilibrar la seguridad con el cumplimiento a la privacidad:
- Desarrollar un marco de trabajo de riesgo para poder dar prioridad a sus esfuerzos.
- Comunicarse de manera regular con la junta directiva y el equipo gerencial para alinear el apetito del riesgo.
- Establecer las capacidades correctas de seguridad de manera interna y/o a través de una mezcla de socios y terceros.
No podría estar más de acuerdo, pues estos también son bloques de construcción importantes para cualquier organización conforme trabajan para volverse resistentes a nivel operativo.
También pregunté a Emma sus cinco pasos principales para poder cumplir con las regulaciones de privacidad:
- Cumplir primero con los estándares internacionales, luego abordar las normas locales.
- Desarrollar una estrategia clara, aprobada por la junta directiva.
- Medir el progreso contra su estrategia.
- Desarrollar un programa priorizado de trabajo con resultados claros.
- Mantenerse al tanto de nuevas tecnologías y nuevas amenazas.
La manera más simple de manejar su riesgo es minimizar la cantidad de datos que almacenan. Las evaluaciones de privacidad les ayudarán a saber dónde están los datos y cómo protegerlos. Las leyes locales y regionales pueden brindar herramientas para guiar sus estándares. Proteger la privacidad en línea y los datos personales es una gran responsabilidad, pero con un enfoque de gestión de riesgo, pueden ir más allá de la “letra de la ley” a salvaguardar mejor los datos y dar soporte a la privacidad en línea como un derecho humano.
Conozcan más
Vean mi conversación con Emma sobre equilibrar la seguridad con el cumplimiento de la privacidad. Para conocer más sobre cumplimiento de normas y GDPR, lean Microsoft Cloud para proteger la privacidad individual.
Agreguen a Favoritos el blog de Seguridad para estar al tanto con nuestra cobertura experta sobre asuntos de seguridad. También, síganos en @MSFTSecurity para las noticias y actualizaciones más recientes sobre seguridad cibernética.
Serie CISO Spotlight
Aborden los desafíos de seguridad cibernética de frente con episodios en video de 10 minutos que discuten problemas y soluciones de seguridad cibernética desde IA a Zero Trust. Vean los episodios.
