Delimitar y caracterizar los activos de información personal de una organización es a veces una tarea un poco más compleja de lo que pueda parecer y puede limitar la efectividad de los programas de protección de datos. Esto es así debido a que la información es escurridiza como concepto por su carácter intangible y por su ubicación.
¿Dónde se encuentra información?
En el mundo de la economía interconectada, la información puede encontrarse en múltiples ubicaciones, en múltiples formatos y dispositivos; además, la información suele ser duplicada y compartida a través de redes de comunicaciones trascendiendo las fronteras de las organizaciones. Pero deberíamos ser capaces de definir estos activos delimitando así el alcance de aquello cuya privacidad y seguridad queremos preservar.
Un modelo funcional de la organización
La mejor estrategia para identificar de manera sistemática y consistente los activos de información de una organización es partiendo de la identificación de los procesos de negocio que en ella se llevan a cabo, o aquellos que se planea llevar a cabo en el futuro. Para ello, es necesario contar con la colaboración de empleados expertos en el negocio y pedirles que describan las actividades que se llevan a cabo (o se van a llevar a cabo) en sus áreas de competencia en el día a día y que identifiquen la información que se procesa, consume o produce en el transcurso de estas actividades. La ventaja de este enfoque es que la involucración de los responsables de negocio se lleva a cabo a un nivel que ellos conocen muy bien (el negocio y la información necesaria), frente a otros enfoques en los que el foco se pone inicialmente en los sistemas e infraestructuras tecnológicas, que son activos de un nivel mucho menos evidente para los usuarios finales.
Definir los límites de cada activo
Una vez identificadas las piezas de información que son “la materia prima” de un proceso de negocio, es importante poder definir de la manera más precisa posible los límites del activo y su contenido.
Establecer la sensibilidad de la información
Identificada la información que es usada en un proceso con la ayuda de los responsables de negocio, el siguiente paso consiste en evaluar la sensibilidad de cada elemento de información identificado con respecto a la privacidad.
Identificar los activos de información secundarios
A partir de las discusiones con los responsables deberemos haber sido capaces de identificar los principales activos de información personal usados en los procesos de negocio (ej: fichas de clientes o empleados, facturas de compras online, reclamaciones de clientes…).
Analizar el ciclo de vida
La caracterización del activo implica la identificación de los activos de información secundarios en los que se procesa, almacena o transmite el activo de información personal primario a lo largo de las diferentes etapas de su ciclo de vida, desde su creación hasta su destrucción. Estructurar el análisis usando como eje el ciclo de vida nos permitirá un método sistemático no sólo para la identificación de los activos de información sino, con posterioridad, para la identificación de los riesgos asociados.
Pidan presupuesto sin compromiso de implantación de la normativa vigente
