¿POR QUÉ ES IMPORTANTE PROTEGER LA INFORMACIÓN Y LOS DATOS PERSONALES?
Con el aumento del uso de ordenadores para procesar y difundir datos, la protección de los datos personales se ha vuelto importante para mantener la confianza de los clientes en una organización, para proteger la reputación de una organización, y para protegerse contra la responsabilidad legal.
Recientemente, las organizaciones se han vuelto más cautelosas sobre el riesgo de responsabilidad legal debido a la promulgación de muchas leyes federales, estatales e internacionales de privacidad, así como mayores posibilidades de mal uso que acompaña a la elaboración y difusión de datos personales.
La escalada de violaciones de seguridad relacionada con información personal ha contribuido a la pérdida de millones de registros en los últimos años. Robos que incluyan datos personales son peligrosos para individuos y organizaciones. Los daños individuales pueden incluir el robo de identidad o el chantaje. Los daños en una organización pueden incluir una pérdida de confianza pública, responsabilidad legal, o costos de re mediación. A fin de proteger adecuadamente la confidencialidad de los datos personales, las organizaciones deben utilizar un enfoque basado en riesgos.
La escalada de violaciones de seguridad relacionada con información personal ha contribuido a la pérdida de millones de registros en los últimos años. Robos que incluyan datos personales son peligrosos para individuos y organizaciones. Los daños individuales pueden incluir el robo de identidad o el chantaje. Los daños en una organización pueden incluir una pérdida de confianza pública, responsabilidad legal, o costos de re mediación. A fin de proteger adecuadamente la confidencialidad de los datos personales, las organizaciones deben utilizar un enfoque basado en riesgos.
PARA PROTEGER EFICAZMENTE LOS DATOS PERSONALES, LAS ORGANIZACIONES DEBEN IMPLEMENTAR LAS SIGUIENTES RECOMENDACIONES:
Las organizaciones deben identificar todos los datos de carácter personal que residen en su entorno: Una organización no puede proteger adecuadamente los datos personales si no se conocen. Datos de carácter personal es "cualquier información sobre una persona que mantiene una agencia, incluyendo cualquier información que se puede utilizar para distinguir o rastrear la identidad de un individuo, tales como nombre, número de seguro social, fecha y lugar de nacimiento, o los registros biométricos, y cualquier otra información que esté vinculada o sea vinculable a un individuo, como médica, educativa, de información financiera y empleo"*
Las organizaciones deben reducir al mínimo el uso, recolección y retención de datos de carácter personal a lo estrictamente necesario para cumplir con su objeto social y su misión. La probabilidad de daño causado por una violación que incluya datos personales se reduce considerablemente si una organización reduce la cantidad de datos de carácter personal que utilice, recaude, y guarde.
Las organizaciones deben clasificar sus datos de carácter personal por el nivel de impacto de la confidencialidad.
Los datos personales deben ser evaluados para determinar su nivel de impacto de confidencialidad.
Las organizaciones deben aplicar las garantías necesarias para los datos personales con base al nivel de impacto de la confidencialidad.
No todos los datos personales deben ser protegidos de la misma manera. Las organizaciones deben aplicar las medidas adecuadas para proteger la confidencialidad de los datos personales según el nivel de confidencialidad. Algunos datos de carácter personal no tiene que tener su confidencialidad protegidos, tales como la información que la organización cuente con el permiso de dar a conocer públicamente
Las organizaciones deben desarrollar un plan de respuesta a incidentes para solucionar las infracciones que incluyan datos personales. Las infracciones que incluyan datos personales son peligrosos para individuos y organizaciones. El daño a las personas y organizaciones se pueden contener y reducir al mínimo mediante la elaboración de planes eficaces de respuesta a incidentes en caso de incumplimiento. Las organizaciones deben desarrollar planes que incluyen elementos tales como la determinación de cuándo y cómo los individuos deben ser notificados, como un incumplimiento debe ser reportado, y si se debe proporcionar servicios de recuperación, como la vigilancia de crédito, a las personas afectadas.
Las organizaciones deben favorecer una coordinación estrecha entre sus responsables de protección de datos, altos funcionarios de la agencia de privacidad, los directores de información, principales agentes de seguridad de la información, y asesoría legal para abordar las cuestiones relacionadas con los datos personales.
Las organizaciones deben reducir al mínimo el uso, recolección y retención de datos de carácter personal a lo estrictamente necesario para cumplir con su objeto social y su misión. La probabilidad de daño causado por una violación que incluya datos personales se reduce considerablemente si una organización reduce la cantidad de datos de carácter personal que utilice, recaude, y guarde.
Las organizaciones deben clasificar sus datos de carácter personal por el nivel de impacto de la confidencialidad.
Los datos personales deben ser evaluados para determinar su nivel de impacto de confidencialidad.
Las organizaciones deben aplicar las garantías necesarias para los datos personales con base al nivel de impacto de la confidencialidad.
No todos los datos personales deben ser protegidos de la misma manera. Las organizaciones deben aplicar las medidas adecuadas para proteger la confidencialidad de los datos personales según el nivel de confidencialidad. Algunos datos de carácter personal no tiene que tener su confidencialidad protegidos, tales como la información que la organización cuente con el permiso de dar a conocer públicamente
Las organizaciones deben desarrollar un plan de respuesta a incidentes para solucionar las infracciones que incluyan datos personales. Las infracciones que incluyan datos personales son peligrosos para individuos y organizaciones. El daño a las personas y organizaciones se pueden contener y reducir al mínimo mediante la elaboración de planes eficaces de respuesta a incidentes en caso de incumplimiento. Las organizaciones deben desarrollar planes que incluyen elementos tales como la determinación de cuándo y cómo los individuos deben ser notificados, como un incumplimiento debe ser reportado, y si se debe proporcionar servicios de recuperación, como la vigilancia de crédito, a las personas afectadas.
Las organizaciones deben favorecer una coordinación estrecha entre sus responsables de protección de datos, altos funcionarios de la agencia de privacidad, los directores de información, principales agentes de seguridad de la información, y asesoría legal para abordar las cuestiones relacionadas con los datos personales.
No hay comentarios:
Publicar un comentario