48 3052-8500

Gap Analysis: cazando fallas - OSTEC | Segurança digital de resultados

Aprendizaje y descubrimiento 3min de Leitura - 21 de septiembre de 2021

Gap Analysis: cazando fallas

Homem trabalhando em frente ao computador

This post is also available in: Português Español

En la aplicación de leyes de Protección de Datos, Gap Analysis busca actividades y procedimientos en la empresa que no cumplan con tales leyes – y propone correcciones para que todo quede bajo las mismas.

En muchos países la Ley General de Protección de Datos es una realidad. El violarla puede incurrir en multas, por lo que se hace más urgente la necesidad de cumplirla.

Sin embargo, adaptarse a ella no sucede de un día para otro. Además, no sigue un patrón único en todas las empresas. Por lo que es necesario hacer una evaluación y así determinar como va tal proceso en la empresa, con las Leyes de Protección de Datos. Ese proceso tiene el nombre de Gap Analysis.

Si se traduce la palabra en inglés “Gap”, verá que en español sería “parte o espacio vacío, brecha, espacio, hueco”. Y “analysis” , “análisis”, que unida a “gap” sería como un “análisis de brechas”. O sea, es la búsqueda de actividades y procedimientos en que la empresa no se ajusta a la ley.

¿Cómo funciona Gap Analysis?

El Gap Analysis es la primera etapa del proceso, cuando se realizan proyectos de adaptación, lo que también sucede al cumplir con las leyes de Protección de datos. Por medio de este es posible elaborar un Plan de Acción y guiar a la empresa por un camino rápido y asertivo. En este momento será posible identificar las prioridades del proceso.

Vale la pena recordar que al adaptarse a estas Leyes, se deben contemplar medidas técnicas y administrativas para mitigar los riesgos de seguridad de la información, al fin y al cabo, no es posible proteger los datos personales sin contar con seguridad sólida.

Amenazas como malwares y ransomwares deben ser consideradas, de ser posible como un capítulo especial con respecto a las leyes, dada la creciente tasa de ataques de cibercriminales en el mundo.

Algunos puntos a analizar son: políticas de seguridad, responsabilidades, división de funciones, contratos con clientes, empleados y proveedores, proceso de selección y despido de empleados, control de acceso a los sistemas, procedimiento de respuesta a incidentes y violación de datos personales, control de acceso físico, almacenamiento físico y lógico, gestión de la vulnerabilidad, gestión de cambios, protección de redes e Internet, políticas de dispositivos móviles y trabajo remoto, procedimientos para atender la solicitud de titulares de datos, gestión de consentimiento, etc.

Ejemplos

Imagine que, después de un Gap Analysis, un director descubre que en su empresa, el sistema de gestión y almacenamiento de datos permite que todos los trabajadores tengan acceso a información privada de clientes. Será necesario ajustar los niveles de acceso, para que tales datos solo estén a disposición de los trabajadores que si necesiten usarlos.

En otro escenario hipotético, supongamos que Gap Analysis muestra que determinado sector está recolectando muchos datos de clientes sin el debido respaldo legal. La información de contacto está incluida en la lista, hábitos de consumo, histórico de navegación, etc. Entonces, la dirección puede comenzar a hacer la adaptación en ese sector, estudiando las bases legales y con el consentimiento de las personas para para el tratamiento de datos con fines comerciales.

Resultado

Para llegar a excelentes resultados , inicialmente hay que asegurarse de que la alta dirección conozca y se comprometa con las leyes de protección de datos. Este panorama se puede construir a través de reuniones y charlas centradas en las directrices de la ley, si es posible con la presencia de todos los trabajadores que traten datos personales.

Como podemos ver el GAP Analysis enfocado en Leyes de Protección de datos es uno de los más completos, por que además de verificar el cumplimiento de la ley por parte de la organización, debe verificar si las medidas de seguridad de la información son suficientes para proteger los datos personales de forma adecuada.

Todas estos análisis conducen a una última etapa: la consolidación de los resultados, así como un análisis crítico de la situación actual en relación con los requisitos de la Ley. Así, se definen las acciones recomendadas para solucionar los gaps existentes – y eliminar los gaps para continuar el proceso de adaptación a la ley.

Próximo Paso

A continuación, se requiere un mapeo de los datos personales que maneja la empresa. Debe evaluar la forma en que se obtienen, cómo se almacenan, quien tiene acceso, con quién se comparte y también plantearse la verdadera necesidad de los datos. No hay razón para esforzarse en almacenar información que no es relevante.

Un tema para un futuro post.

This post is also available in: Português Español

La importancia del Security Awareness Officer

Postagem anterior