Siguiendo con el entendimiento de los últimos avances en materia de delitos y las experiencias dolorosas en Uruguay y sus consecuencias, las empresas y organizaciones uruguayas tienen que, además alinearse fuertemente respecto a las recomendaciones que desde AGESIC se hacen sobre buenas prácticas y marcos de estándares, entender que existen varias responsabilidades directas e indirectas que se desprenden en la interna de las organizaciones identificadas a través de los niveles de riesgos en los tratamientos de la Ciberseguridad y la Seguridad de la Información.
Pero, ¿cómo entender e identificar esos activos de información correctamente?
Esto se deberá hacer contextualizando que el proceso de asegurar o resguardar una correcta gestión de datos, en términos generales, es una tarea que debe incluir a todas las áreas de la organización.
Por ello se define como un proceso colaborativo e interdisciplinario, y no es propiedad solo de las áreas de TI, sistemas o legales. Corresponde al conjunto de todas las áreas que procesan información o datos en la organización.
Sumar los equipos a esta gestión tiene un beneficio lógico que es contar con todos los actores que aportarán conocimientos expertos, puntualmente en sus áreas, tales como recursos humanos, legales, finanzas, marketing entre otros, y todos sus requisitos para este tratamiento de la información.
Otro beneficio adicional importantísimo, es contar con todos los actores que conocen y saben “dónde y cómo” se procesan o gestionan los datos dentro de la organización. El descubrimiento e identificación, no es tarea fácil, y no hay nadie mejor que los propios líderes para aportar su know-how.
Este proceso colaborativo e interdisciplinario no es un trabajo para etapas avanzadas del proceso, sino para aplicarlo desde el inicio, para forjar la madurez de la organización en la Gestión de la Seguridad de la Información de manera responsable y real.
Rafael Pereira, gerente de Ciberseguridad de PwC Uruguay.