El papel del CSO en la era de la jornada de datos, GDPR y LGPD

Share

Los riesgos de exposición y las penalidades en el caso de filtración de información hacen que los conceptos de privacy, security y protection by design sean obligatorios para las empresas que quieren sobrevivir.

Las inversiones en seguridad de la información difícilmente son vistas de este modo, como inversiones. La mayoría de los ejecutivos ven al firewall, al antivirus y a tantas otras soluciones solo como costos necesarios para la operación de la empresa. Al fin y al cabo, el área no lidera los proyectos de innovación que son más visibles para el equipo o para el mercado y su actuación sobre el día a día del usuario interno es silenciosa la mayor parte del tiempo y, cuando hace ruido, es por lo general negativa.

Pero ese escenario va a cambiar. Más bien: necesita cambiar. Y esa necesidad resulta de una cadena de distintos hechos.

Los ambientes corporativos están absolutamente conectados. El avance de la infraestructura basada en software —tal como la red definida por software (software-defined network, o SDN), la virtualización de las funciones de red (network functions virtualizations, o NFV) y la red de área amplia definida por software (software-defined wide area networking, o SD-WAN)— provee la agilidad necesaria para la segunda fase de la transformación digital, caracterizada por la jornada de datos. Ese "camino" recorrido por los datos dentro de la compañía pasa por seis fases: recolección, transmisión, protección, almacenamiento, análisis y difusión. En todas esas fases la seguridad de la información se debe garantizar porque, mientras más datos se muevan por las redes virtuales, mayores son los riesgos de interferencia en la información.

Dejar que los cibercriminales filtren datos de los clientes ya es una noticia lo suficientemente mala para cualquier marca que quiera mantener la credibilidad. Pero con el Reglamento General de Protección de Datos (General Data Protection Regulation, o GDPR) en Europa, y la sanción de la Ley General de Protección de Datos (LGPD) en Brasil, aumentó el potencial perjuicio: las multas por la falta de cuidado con la información de los clientes son millonarias.

Actuar de forma proactiva y preventiva para disminuir los riesgos de seguridad de la información se volvió, en consecuencia, un tema de supervivencia. Este escenario de mayores exposiciones y de penalidad exige que todas las corporaciones dirijan la mirada hacia los conceptos de privacy, protection y security by design, cuando la privacidad, la protección y la seguridad de la información ya se piensan en la concepción de los proyectos, las arquitecturas y las soluciones.

Y esa nueva mirada ubica a la seguridad de la información como un asunto relevante para todos los departamentos. El control no lo puede hacer solamente la TI o el Chief Security Officer (CSO). El área de Recursos Humanos, la financiera, la de marketing y las áreas afines deben ser conscientes de cómo el comportamiento vinculado a la información —estratégica y vital— afecta el negocio. Y deben ser partes activas para garantizar la protección. La responsabilidad no es solamente de la empresa, de un software, de una caja. Cada profesional necesitará actuar como un CSO. De lo contrario, el "ruido" que habrá cuando algo salga mal en seguridad de la información será mucho, pero mucho más estruendoso.

Leandro Laporta
Leandro Laporta

Leandro Laporta es Director de Solutions Architects y Alianzas para América Latina en Orange Business Services. En su rol, Leandro es responsable de gerenciar nuestros sócios de tecnología y el equipo de expertos que hacen el diseño de las soluciones digitales para apoyar a los clientes en la región. Con más de 15 años de experiencia en la industria de las TIC, Laporta trabajó durante nueve años en Siemens antes de unirse a Orange en 2008. Fue galardonado con Orange Bravo en 2012 y miembro del President's Club en 2012 y 2016.