El pasado miércoles 26 de agosto, alrededor de 60 gerentes de informática de las grandes compañías de nuestro país se reunieron en el sexto desayuno del Club CIO de este año, organizado por CETIUC. En esta ocasión el encargado de realizar la exposición fue Andrés Pumarino, abogado de la Universidad Adolfo Ibáñez y profesor del Magíster de TI y Gestión de la Universidad Católica de Chile, quien analizó los “Aspectos legales y riesgo de la información en las empresas”.
En la actualidad, la expansión de las tecnologías de la información en las empresas ha producido la necesidad de reformular las estructuras normativas imperantes, y realizar una integración de nuevas premisas legales que contemplen los problemas que han surgido del uso de las tecnologías en el sector laboral.
En primera instancia, Andrés Pumarino explicó las principales características que tienen las normas. Estableció que las leyes, además de ser cumplidas, deben poseer cierta jerarquía y ser generales, abstractas.
En su ponencia, el abogado examinó la importancia que juega la información dentro de las organizaciones. A su juicio, no es considerada como uno de los activos primordiales dentro de las compañías, no obstante puede causar grandes problemas cuando se filtra hacia las personas inadecuadas.
De esta manera, es esencial determinar al interior de las empresas quién es el propietario de la información, quién protege los archivos y quién tiene acceso a ellos. “Hoy es imposible tomar decisiones sin información, por lo que es relevante tener datos y identificar cuál es el rol que tengo como empresa frente al resguardo de la información”, subrayó el experto.
Para evitar el desvío de los datos existen políticas y mecanismos que se crean dentro de las organizaciones. Uno de ellos es el modelo de Governance, Risk & Compliance (GRC) que persigue, en términos generales, instaurar mejores prácticas, reforzar la seguridad de la información y establecer reglamentos que la protejan.
Para el riesgo en la transmisión de datos, es importante establecer medidas de control, seguridad, cumplimiento y disponibilidad, saber quién recibe los datos y quién los consulta. Asimismo, se debe controlar quienes manejan la información de los sitios web. Hay que generar una cultura empresarial que se adapte a la realidad de las TI.
El especialista comentó que en la actualidad no existe un marco legal que controle exhaustivamente los delitos informáticos, y a raíz de ello, se ha instaurado un proyecto de ley que se orienta a la protección de datos. Esta iniciativa pretende resguardar la privacidad de las personas, robustecer las obligaciones de consentimiento por parte del titular de los antecedentes. También contempla la creación de una agencia encargada de fiscalizar, perseguir y sancionar los delitos en esta materia y propone el aumento de multas por el uso de datos con un fin distinto al declarado.
Finalmente, Andrés Pumarino dijo que es trascendental que las firmas tomen el referente COBIT y se fijen en cómo gestionar las TI sin perder de vista el cumplimiento y el desempeño.