foro jurídico Aplicación de Mitigantes de Riesgo

Seguridad de la información: Aplicación de Mitigantes de Riesgo

Seguridad de la Información (Quinta parte)

Conforme a lo expresado en la cuarta parte, las entidades establecen controles para asegurar el cumplimiento de las obligaciones a su cargo, lo cual implica:

a) Establecer procesos, políticas criterios, procedimientos o medidas para administrar, o disminuir la exposición en función de los indicadores para que el riesgo residual sea aceptable o tolerable.

ControlTipoEfectividadRiesgo ResidualPlan de Acción
Gobierno CorporativoPreventivo0,255En el caso particular, el gobierno corporativo permite comunicar la postura y la cultura de administración a nivel organizacional de la entidad al interior de sus líneas de negocios y unidades operativas en todos sus niveles. En este sentido, establece las pautas que prohíban efectivamente la conducta al aplicar el Manual o Programa de Cumplimiento.
Estructuras internasPreventivo y de Detección0,255En el caso particular, las estructuras internas realizan actividades especializadas a través de un Comité y/o Oficial de Cumplimiento para que a través de una evaluación individual se instauren medidas de seguridad físicas, administrativas y tecnológicas enfocados a la protección de los datos, como por ejemplo aspectos de trazabilidad de la información y contratación de proveedores especializados.
CapacitaciónPreventivo0,255En el caso particular, la capacitación y difusión se impartirá al menos una vez al año, y estará dirigida a la administración y los empleados, particularmente áreas de atención al público o de administración de recursos, en relación al tratamiento y transferencia de datos personales. Lo anterior, permitirá detectar malas prácticas en las áreas directamente involucradas en los procesos donde se suscitan los eventos detonantes.   Los temas de capacitación deben ser coherentes con los resultados de la implementación de la Metodología de Evaluación de Riesgos contenida en el Manual o Programa de Cumplimiento, y adecuarse a las responsabilidades de los miembros de las estructuras internas.   Un programa de capacitación deberá incluir información relacionada con los rubros de la actividad comercial aplicables. Es idóneo que la alta dirección esté informada de reformas legislativas.   Mientras que las áreas operativas obtienen la capacitación más especializada y completa, las estructuras del Gobierno Corporativo requieren mínimo comprender la importancia de las exigencias normativas en materia, las consecuencias del incumplimiento y los riesgos a los que se enfrenta la entidad. Sin ello, el Gobierno Corporativo no podrá supervisar adecuadamente el cumplimiento, ni aprobar las políticas, criterios, medidas y procedimientos, o proporcionar suficientes recursos al área a cargo del cumplimiento normativo.

Factor de efectividad de control

1Débil
0,75Efectivo
0,5Fuerte
0,25Muy fuerte

b) Establecer medidas reactivas ante un incumplimiento de obligaciones y

c) Dar seguimiento y evaluar el cumplimiento de obligaciones y las acciones realizadas para lograrlo.

A manera de conclusión, la seguridad de la información donde la efectividad del control frente al riesgo inherente se determina a partir de las acciones que emprendan el gobierno corporativo y las estructuras internas para reducir el riesgo inherente que cambia de acuerdo a los avances tecnológicos de nuestra sociedad, por lo cual hoy más que nunca es muy importante asumir una postura no solo de cumplimiento normativo, sino también ética respecto a cómo una entidad gestiona la información que posee.

Te puede interesar: Seguridad de la información: Identificación de Riesgos

COMPARTIR

Artículos

RELACIONADOS