Viernes, 28 de Diciembre de 2007

Según un informe de IT Policy Compliance Group titulado "Aspectos Básicos para Proteger los Datos Confidenciales" las firmas que se destacan en la protección de datos confidenciales también cumplen adecuadamente con las auditorías.

Santiago.- Sólo una de cada 10 organizaciones protege adecuadamente sus datos confidenciales. Esta fue una de las conclusiones de un estudio realizado por IT Policy Compliance Group titulado "Aspectos Básicos para Proteger los Datos Confidenciales", dado a conocer hoy por Symantec.

El informe, que incorpora las respuestas de miembros de 450 organizaciones del mundo, contempla como hallazgos más sorprendentes la relación directa entre la protección de datos confidenciales y los resultados con las políticas de cumplimiento. En otras palabras, que las firmas que se destacan en la protección de datos confidenciales también cumplen adecuadamente con las auditorías: Casi todas las organizaciones (96%) que presentan una menor pérdida de datos confidenciales son exactamente las mismas que tienen menos deficiencias en el cumplimiento reglamentario que se deben corregir para aprobar las auditorías.

En contraste, la mayoría de las organizaciones (64%) con la mayor pérdida de datos confidenciales son las mismas organizaciones con el mayor número de deficiencias en el cumplimiento reglamentario que se deben corregir para aprobar la auditoría.

Los aspectos básicos identificados en este informe se dividen varias categorías: estructura, estrategia en las organizaciones, intimidad con los clientes y excelencia operativa. En las firmas con la menor pérdida de datos sensibles (líderes) se identifica la importancia de definir menos políticas o controlar los objetivos, lo que conlleva evaluaciones más frecuentes y la implementación del cambio de administración de tecnologías de información (TI) para evitar el uso no autorizado.

"Varios eventos recientes han demostrado qué tan nociva puede ser la pérdida de datos para la reputación y objetivos estratégicos de una organización. Por esta razón, es fundamental implementar controles de riesgos para disuadir la pérdida y robo de datos y evaluar estos controles periódicamente", dijo Lynn Lawton, Presidente Internacional de la Asociación para la Auditoría y el Control de Sistemas de Información (ISACA).

"Las organizaciones exitosas se centran en la selección de los controles más relevantes, en lugar de sólo implementar muchos controles. Los resultados de la encuesta demuestran claramente que la selección, implementación y comunicación de los controles clave y la evaluación periódica de su eficacia es un enfoque más práctico y produce mejores resultados que agregarse constantemente a un complejo laberinto de controles aislados y descoordinados", agregó Lawton.

Asimismo, la investigación indica que la calidad de los controles no es tan importante como su preparación para riesgos específicos y la frecuencia de las evaluaciones. Firmas con controles inexistentes y evaluaciones ocasionales de los controles son las que tienen las tasas más altas de robo y pérdida frecuentes de datos.

"La protección de los datos de los clientes y empleados, así como la propiedad intelectual nunca habían sido tan importantes como ahora y esto se debe al rápido incremento de los requisitos de cumplimiento y riesgos de la reputación", dijo Rocco Grillo, director General de la Práctica de Riesgo Tecnológicos de Protiviti Inc. "Sin embargo, las brechas de seguridad de datos y los robos de identidad siguen vigentes. Aunque los controles no pueden garantizar la protección por completo, las compañías deben actuar con el debido cuidado en términos de seguridad y control de riesgos. Se ha comprobado que los programas que mantienen y aumentan la seguridad de manera eficaz han tenido un resultado importante en la protección contra robo o pérdida de valiosa información. Atrás quedó la época en que la administración se sentaba a esperar a que una crisis o incidente los alertara, ahora todos deben ser proactivos", concluye.

Las mejores prácticas en protección de datos

Luego de revelar el estudio Symantec entregó una serie de recomendaciones ya que, según la compañía, las organizaciones con menor pérdida de datos son las que obtienen los mejores resultados de las auditorías de cumplimiento reglamentario y demuestran que tienen un conjunto básico de aspectos que también minimizan el impacto financiero de las brechas de datos, además de tener una ventaja competitiva sostenible.

Los aspectos básicos son los siguientes:

Estructura y estrategia organizacionales

-Implementar un programa de cumplimiento de clase mundial
-Documentar y mantener políticas, estándares y procedimientos
-Reorganizar controles internos, funciones de control de riesgos y seguridad de TI para fomentar la intimidad con los clientes y la excelencia operativa

Intimidad con los clientes

-Definir las funciones y responsabilidades de los propietarios de las políticas
-Identificar y administrar los riesgos empresariales y financieros
-Brindar entrenamiento a los empleados y administrar las excepciones de las políticas

Excelencia operativa

-Expandir el alcance de la auditoria interna a la mayoría de funciones empresariales
-Destacar el riesgo de los objetivos de control
-Reducir la cantidad de objetivos de control
-Implementar controles que sean medibles
-Realizar autoevaluaciones de los controles de procedimiento
-Aumentar la frecuencia de la evaluación de controles técnicos
-Implementar un programa completo de administración de cambios de TI
-Usar la administración de cambios de TI para evitar el uso o cambio no autorizado

- Fuente original de la noticia:
http://www.economiaynegocios.cl/noticias/noticias.asp?id=39325