El canal, pieza básica en la protección de datos y el cumplimiento de las normas
La creciente complejidad de los sistemas de información trae consigo una curiosa ironía con respecto a la gestión de los riesgos empresariales. Y es que, después de mucho tiempo esforzándonos en alcanzar un elevado nivel de funcionalidad de los sistemas informáticos, lo hemos conseguido; y sin embargo, existe una especie de ley de “consecuencias no deseadas” que se demuestra en el hecho de que dichos sistemas se han vuelto tan complejos que la protección de datos es aparentemente imposible. Es más, si le añadimos el cumplimiento de la normativa legal vigente, el camino que tiene por delante el responsable de TI de una empresa puede llegar a ser sumamente traicionero.
Motivadores de la protección de datos
En una situación ideal, las empresas deberían hacer lo que fuera por proteger sus datos, ya que es lo más correcto que pueden hacer. No obstante, muchos ejecutivos a veces lo olvidan. Pero, ¿qué ocurre cuando sus empresas no se regulan a sí mismas? Muy fácil: son las agencias de gobierno y los cuerpos de regulación de la industria los que les obligan a dar ese paso. Sin embargo, como asesor tecnológico de la empresa, el distribuidor debe hacer ver que el cumplimiento por sí solo no es una buena estrategia, puesto que para que la seguridad de los datos sea realmente efectiva, hay que tener en cuenta el punto de vista de la protección frente a riesgos.
Llevando esta argumentación un paso más allá, es el canal el primero que se debe parar a considerar lo que las medidas para la protección de la información traen al negocio de sus clientes. Cuando nos fijamos en la primera función de una empresa, nos encontramos con la de hacer y mantener clientes. Respecto a esto, el negocio necesita mantener los costes bajos, ya que el dinero que no se “gasta” va directamente a la línea de resultados final. Y desgraciadamente, mucha gente considera los costes de protección como uno de los que no tienen un rápido retorno.
En este caso, el distribuidor tiene la importante labor de conseguir que el cliente asuma todo con una mentalidad razonable, procesos sólidos y un buen conjunto de herramientas para hacer que las cosas se lleven a cabo.
Trabajo con otras partes interesadas
Entre los roles existentes en torno al cumplimiento de normativas y seguridad de los sistemas de TI es posible que a veces se vea a los encargados de que se lleve a cabo como enemigos que simplemente se dedican a señalar las deficiencias. No obstante, si el canal ayuda a que su presencia se enfoque desde la perspectiva de cómo trabajar conjuntamente y cómo pueden ayudar a la empresa a conseguir los objetivos, se encontrará más fácilmente el camino a seguir.
Trabajar con auditores puede llegar a ser difícil, puesto que hay un cierto estigma asociado. Por lo tanto, la clave es encontrar caminos para mejorar la visibilidad de la protección de datos y el cumplimiento de las normas. Y es que, si el responsable del cumplimiento de normas ha de mantener el ritmo adecuado para cumplir cada una de ellas, el responsable de TI está a cargo de hacer que todo ello sea posible, con lo que ha de haber mucha colaboración. En este sentido, el papel del distribuidor es importante al proponer soluciones que satisfagan a ambas partes y que sean más productivas para la empresa.
Desarrollo de un plan
Una vez que todo lo anterior queda claro, el siguiente paso es desarrollar un programa sólido que minimice los riesgos de negocio y asegure el cumplimiento. Por supuesto, hay que tener clara la misión y los objetivos que se están intentando lograr. Así que en primer lugar hay que hacer entender a la empresa lo que es el riesgo. No se puede asegurar lo que no se conoce. En este punto hay dos bloques fundamentales para la gestión de los riesgos de la información: visibilidad y control.
Asimismo, otro elemento crítico es entender la necesidad de los clientes y ser capaz de balancear la seguridad con productividad y usabilidad. Una manera segura de hacerlo es ayudar a los responsables de TI a poner en marcha una serie de reglas que marquen el modo de hacer negocios.
Planeando la estructura
Dado que el responsable de TI busca ser capaz de gestionar los riesgos del negocio del mejor modo para su empresa, será necesario contar con la labor de un distribuidor que tenga las cosas claras y le auxilie a la hora de trabajar con auditores y responder a las necesidades de otros socios de negocio y clientes.
En este punto, una empresa tiene la opción de decantarse por una serie de buenas prácticas que ayuden a lograr los objetivos citados y que presten a los empleados una visión única y correcta de lo que deben hacer.