Vivimos en la sociedad de la información, pocas organizaciones no reciben y envían información a terceros. Desde una hoja de papel que tiene anotados los costes y precios de venta de una miscelánea hasta una base de datos de un banco que contiene información completa sobre particulares y empresas.
El «Business Intelligence» transforma estos datos para poder tomar decisiones dentro de las organizaciones. Es una excelente manera de aprovechar lo que se sabe sobre el negocio, pero en algunos casos puede generar un riesgo o incluso una responsabilidad hacia la organización que pocas veces se considera. Que quede claro que no estoy en contra de Business Intelligence, pero tiene ciertas cuestiones que considerar.
Pero la realidad es diferente, las organizaciones rara vez tienen claro qué datos han obtenido de clientes o proveedores, por qué los obtienen y durante cuánto tiempo los almacenan. Las empresas no quieren destruir los datos una vez que han atendido a un cliente, buscan conservarlos sin identificar que puede haber una responsabilidad legal si algo le sucede a esos datos. Aquí es donde puede haber un problema.
El interés por proteger los datos ha dado lugar a normativas en diferentes países del mundo, buscando que las organizaciones principalmente públicas y privadas puedan tener un marco legal para proteger los datos personales en particular. Lo vemos cada vez más claro en Europa con el GDPR o incluso en el estado de California con quizás una de las leyes más estrictas que se hayan visto.
Datos del sector financiero o del sector salud, quizás ese sea el dato que está protegido. Pero hay muchos otros datos que se entregan a las empresas y que pocas veces están protegidos, en otros casos, ni siquiera hay un control o inventario de la información que se tiene.
Un ejemplo sencillo que ha tenido grandes impactos es la información de tarjetas de crédito o débito en sitios web. De acuerdo con el estándar de seguridad de datos para la industria de Tarjetas de Pago (PCI), busca que la información de las tarjetas de crédito y débito no se almacene en los sitios para evitar una posible violación y obtención de dichos números. Aun así, ha habido muchos ataques por no seguir el estándar o porque no estaba bien implementado.
Hace algún tiempo, al hacer un procedimiento, me preocupaban las fotocopias de mi identificación. Una identificación que tuviera mi nombre, mi dirección, mi fotografía, huella digital y firma. Siempre que me piden identificación de esta manera, me quedo preguntándome cuántas veces la fotocopian, quién la tiene, si está sola en mi expediente o si alguien se quedó con una copia «de respaldo». Hoy, ante esta nueva normalidad, enviamos las imágenes de los DNI por correo electrónico, situación que puede ser incluso más arriesgada que las mismas fotocopias.
Pero entonces, ¿qué hacer con esto?
Como líderes de una organización, creo que tenemos que cambiar este paradigma de pensar que tener una gran cantidad de datos nos permite tener “inteligencia empresarial” o “inteligencia empresarial” que permitiría a la organización operar de una manera más efectiva y buscar nuevas líneas de negocio. .
Tener más información de la que requiere la organización también se convierte en un imán para los ciberdelincuentes o ciberdelincuentes que pueden obtener la información y venderla, ya que existe un mercado para ella. Defenderse contra estos atacantes requerirá más tiempo, inversión y probablemente será un desafío para la organización.
Los ciberdelincuentes o ciberdelincuentes no pueden robar datos o información que usted no tiene, por lo que eliminar información después de que sea útil puede ayudar a limitar la responsabilidad y evitar riesgos.
Obviamente ante la Ley de Protección de Datos en México, ya sea para sujetos obligados o en posesión de particulares, se requiere documentación en caso de la solicitud de cancelación de datos personales, pero no todos los datos recaen en ella.
Ciertos datos deben almacenarse durante un período de tiempo determinado. Algunos de ellos podrán dar información sobre el negocio y el mercado. Conserve solo la información que la organización realmente necesita. Y lo que la organización va a proteger, que cumpla con altos niveles de ciberseguridad para evitar una posible filtración o violación.