Por: Iván Rodríguez. Colaborador de Auditool
La gestión de información sensible y confidencial
Una de las actuales preocupaciones al interior de las organizaciones es la gestión de la información en medio magnético; en particular aquella que por políticas internas o disposiciones normativas tiene un carácter confidencial.
No obstante, si bien se pueden adoptar medidas para restringir el acceso a los datos, hay diversas maneras en que se puede llegar a ellos y hacer vulnerable a la organización.
Es por ello importante tener en cuenta lo siguiente:
- Definición de responsabilidades:
Cada organización debe definir claramente, difundir y aplicar políticas respecto de la gestión de datos. Un auditor debe verificar su existencia y alcance. De advertir debilidades debe efectuar las recomendaciones pertinentes.
Así mismo, las organizaciones deben poseer controles que busquen garantizar la apropiada aplicación de las políticas definidas. Debe impartirse la debida instrucción y capacitación al personal acerca del manejo de la seguridad informática.
- Implementación de medidas de protección:
La encriptación de datos, el uso de claves de acceso, los niveles de autorización y la definición de perfiles de acceso para gestionar datos en las aplicaciones (consulta, modificación), así como los logs de auditoría son medidas a tener en cuenta. La información es un activo valioso y como tal, debe clasificarse y protegerse.
Cierta información requiere mayores medidas de restricción para acceder a ella, en tanto que otros datos y cifras pueden ser de libre acceso para los funcionarios de la organización e incluso para el público en general. Hay que saber clasificar para evitar difundir información sensible.
Las medidas administrativas complementan los recursos técnicos. Las restricciones y/o prohibiciones al trabajar con información confidencial deben darse a conocer y exigir su riguroso cumplimiento, así como sancionar su incumplimiento.
Las fallas en los esquemas de seguridad son fuente de acciones fraudulentas y pueden causar un daño reputacional que podría ser irremediable.
- Actualización permanente:
El entorno también debe evaluarse. Un mal uso de recursos tales como el almacenamiento en la nube, puede representar riesgos importantes e incluso, llegar a perderse el control sobre la información. De ahí la necesidad de la encriptación, las políticas para el uso de claves y otros controles con el proveedor de servicios, las copias de respaldo y demás medidas que salvaguarden los datos.
No hay que olvidar que la tecnología avanza a pasos agigantados y por esto, tanto los directivos y trabajadores de las organizaciones, así como los auditores, deben estar atentos y en permanente capacitación para incorporar los nuevos avances en su trabajo.
Auditor y Consultor, Diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, Diplomado en Gerencia de la Calidad, Contador Público de la Pontificia Universidad Javeriana, con 20 años de experiencia en diversas empresas. Amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool
Bogotá D.C, Colombia