Ingresa o regístrate acá para seguir este blog.

Por: Iván Rodríguez. Colaborador de Auditool.org

La gestión de información sensible y confidencial

Una de las actuales preocupaciones al interior de las organizaciones es la gestión de la información en medio magnético; en particular aquella que por políticas internas o disposiciones normativas tiene un carácter confidencial.

No obstante, si bien se pueden adoptar medidas para restringir el acceso a los datos, hay diversas maneras en que se puede llegar a ellos y hacer vulnerable a la organización.

Es por ello importante tener en cuenta lo siguiente:

Definición de responsabilidades:

Cada organización debe definir claramente, difundir y aplicar políticas respecto de la gestión de datos. Un auditor debe verificar su existencia y alcance. De advertir debilidades debe efectuar las recomendaciones pertinentes.

Así mismo, las organizaciones deben poseer controles que busquen garantizar la apropiada aplicación de las políticas definidas. Debe impartirse la debida instrucción y capacitación al personal acerca del manejo de la seguridad informática.

Implementación de medidas de protección:

La encriptación de datos, el uso de claves de acceso, los niveles de autorización y la definición de perfiles de acceso para gestionar datos en las aplicaciones (consulta, modificación), así como los logs de auditoría son medidas a tener en cuenta. La información es un activo valioso y como tal, debe clasificarse y protegerse.

Cierta información requiere mayores medidas de restricción para acceder a ella, en tanto que otros datos y cifras pueden ser de libre acceso para los funcionarios de la organización e incluso para el público en general. Hay que saber clasificar para evitar difundir información sensible.

Las medidas administrativas complementan los recursos técnicos. Las restricciones y/o prohibiciones al trabajar con información confidencial deben darse a conocer y exigir su riguroso cumplimiento, así como sancionar su incumplimiento.

Las fallas en los esquemas de seguridad son fuente de acciones fraudulentas y pueden causar un daño reputacional que podría ser irremediable.

Actualización permanente

El entorno también debe evaluarse. Un mal uso de recursos tales como el almacenamiento en la nube, puede representar riesgos importantes e incluso, llegar a perderse el control sobre la información. De ahí la necesidad de la encriptación, las políticas para el uso de claves y otros controles con el proveedor de servicios, las copias de respaldo y demás medidas que salvaguarden los datos.

No hay que olvidar que la tecnología avanza a pasos agigantados y por esto, tanto los directivos y trabajadores de las organizaciones, así como los auditores, deben estar atentos y en permanente capacitación para incorporar los nuevos avances en su trabajo.

 

C.P. Iván Rodríguez – ivan.rodriguez@auditool.org          

Auditor y Consultor, Diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, Diplomado en Gerencia de la Calidad, Contador Público de la Pontificia Universidad Javeriana, con 20 años de experiencia en diversas empresas. Amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool

Bogotá D.C, Colombia

Compartir post