El papel del CSO en la era de la jornada de datos, GDPR y LGPD

Los riesgos de exposición y las penalidades en el caso de filtración de información hacen que los conceptos de privacy, security y protection by design sean obligatorios para las empresas que quieren sobrevivir.

Las inversiones en seguridad de la información difícilmente son vistas de este modo, como inversiones. La mayoría de los ejecutivos ven al firewall, al antivirus y a tantas otras soluciones solo como costos necesarios para la operación de la empresa. Al fin y al cabo, el área no lidera los proyectos de innovación que son más visibles para el equipo o para el mercado y su actuación sobre el día a día del usuario interno es silenciosa la mayor parte del tiempo y, cuando hace ruido, es por lo general negativa.

Pero ese escenario va a cambiar. Más bien: necesita cambiar. Y esa necesidad resulta de una cadena de distintos hechos.

Los ambientes corporativos están absolutamente conectados. El avance de la infraestructura basada en software —tal como la red definida por software (software-defined network, o SDN), la virtualización de las funciones de red (network functions virtualizations, o NFV) y la red de área amplia definida por software (software-defined wide area networking, o SD-WAN)— provee la agilidad necesaria para la segunda fase de la transformación digital, caracterizada por la jornada de datos. Ese "camino" recorrido por los datos dentro de la compañía pasa por seis fases: recolección, transmisión, protección, almacenamiento, análisis y difusión. En todas esas fases la seguridad de la información se debe garantizar porque, mientras más datos se muevan por las redes virtuales, mayores son los riesgos de interferencia en la información.

Dejar que los cibercriminales filtren datos de los clientes ya es una noticia lo suficientemente mala para cualquier marca que quiera mantener la credibilidad. Pero con el Reglamento General de Protección de Datos (General Data Protection Regulation, o GDPR) en Europa, y la sanción de la Ley General de Protección de Datos (LGPD) en Brasil, aumentó el potencial perjuicio: las multas por la falta de cuidado con la información de los clientes son millonarias.

Actuar de forma proactiva y preventiva para disminuir los riesgos de seguridad de la información se volvió, en consecuencia, un tema de supervivencia. Este escenario de mayores exposiciones y de penalidad exige que todas las corporaciones dirijan la mirada hacia los conceptos de privacy, protection y security by design, cuando la privacidad, la protección y la seguridad de la información ya se piensan en la concepción de los proyectos, las arquitecturas y las soluciones.

Y esa nueva mirada ubica a la seguridad de la información como un asunto relevante para todos los departamentos. El control no lo puede hacer solamente la TI o el Chief Security Officer (CSO). El área de Recursos Humanos, la financiera, la de marketing y las áreas afines deben ser conscientes de cómo el comportamiento vinculado a la información —estratégica y vital— afecta el negocio. Y deben ser partes activas para garantizar la protección. La responsabilidad no es solamente de la empresa, de un software, de una caja. Cada profesional necesitará actuar como un CSO. De lo contrario, el "ruido" que habrá cuando algo salga mal en seguridad de la información será mucho, pero mucho más estruendoso.

Leandro Laporta
Leandro Laporta

Hace 2 años, Leandro Laporta se unió a la Comunidad Climate Fresk y ha estado trabajando con Sandra y Bertrand para difundir esta iniciativa como facilitador en las Américas. Él es una figura clave en América Latina, ayudando a formar un grupo de Facilitadores para talleres que se llevarán a cabo tanto en portugués como en español. Tiene como objetivo entrenar al equipo de LAM, y, sobre todo, nos ayudará a alcanzar nuestro objetivo global de tener al 60% de los empleados de Orange Business capacitados para fin de año.