¿Que es el IT Compliance?

En la actualidad si bien el Compliance está asociado a la prevención de lavado de dinero las grandes compañías principalmente de origen anglosajón incluyen dentro del concepto a la protección de datos y seguridad de la información, protección del derecho al medio ambiente, derecho de la competencia, entre otros.

Por: Marcelo Casciotti

El IT Compliance es el cumplimiento de la normativa legal e interna de la empresa relativa a la tecnología de la información para evitar la vulneración de las bases de datos de las empresas por medio de ataques internos y externos. 

¿Cuáles son las obligaciones de las empresas?

La normativa en Uruguay está dada fundamentalmente por la ley 18.331 de Protección de Datos Personales que establece obligaciones para las empresas que manejan bases de datos. La obligación primera es la inscripción en la Unidad Reguladora y de Control de Datos Personales para darle legalidad a la base de datos.  Es importante tener presente que no se debe revelar el contenido de la base sino el tipo de base de datos y sus características generales.

Luego una vez inscripta existen un cúmulo de obligaciones como la actualización y/o eliminación de datos, consentimiento informado, y principalmente la aplicación  de un protocolo de seguridad que garantice la  confidencialidad en el manejo de los datos personales.

¿Qué consecuencias del incumplimiento de las obligaciones?

Si una empresa no cumple con las obligaciones puede ser objeto de una sanción por parte de la Agencia del Gobierno Electrónico y la sociedad de la información (AGESIC), desde el apercibimiento, multa, hasta la suspensión de la base de datos previa intervención de la justicia.  Sin perjuicio de lo cual la consecuencia más gravosa es el riesgo reputacional y posible pérdida de confianza por parte de los clientes principalmente en determinadas actividades donde la información resulta sensible como en las empresas de salud, servicios financieros, seguros,  legales, entre otros.

¿Cuál es la realidad de Uruguay en términos de incidentes informáticos?

Ayer nos desayunamos con la noticia del diario El País según la cual a unos 226.300 usuarios uruguayos de Internet mayores de 12 años le hackearon su cuenta de Facebook o de otra red social en el último año, según el Informe de Indicadores de Seguridad de la Información elaborado por la empresa Datasec y el Grupo Radar. Esto equivale al 10% de los internautas locales.

El phishing según la grafica de incidentes del 2016 es una de las técnicas de ciberataque más frecuente que sufren los uruguayos con un 42,9%.  El Phishing o suplantación de identidad es un término informático que denomina un modelo de abuso informático y que se comete mediante el uso de un tipo de ingeniería social, caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña, información detallada sobre tarjetas de crédito u otra información bancaria).

¿Qué deben hacer las empresas para estar prevenidas?

Se recomienda adoptar un Reglamento de protección y seguridad de la información a medida de cada empresa   y susceptibles de ser cumplidos por toda la organización para lo cual se hace esencial la Capacitación inicial y continua de todo el personal.

Es importante evitar copiar y pegar Manuales y Reglamentos de otras instituciones con la finalidad de lograr su rápida aprobación ya que luego su falta de puesta en práctica puede significar sanciones de los Órganos del Estado como por ejemplo el BCU que tomaron esa norma interna como base de actuación de la empresa.

Finalmente, el IT Compliance debe ser un objetivo de toda organización para evitar sanciones administrativas o penales de la autoridad y acciones civiles de los clientes pero principalmente para proteger la integridad o reputación de la firma.

0 comentarios

Dejar un comentario

¿Quieres unirte a la conversación?
Siéntete libre de contribuir

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *