¿EL REGISTRO NACIONAL DE BASES DE DATOS ÉXITO O FRACASO?

Los últimos días de octubre de 2016 y principios de noviembre muchas empresas se vieron corriendo por tratar de cumplir la circular que les obligaba a  cumplir con el registro nacional de bases de datos,  ante  la Superintendencia de Industria y Comercio. A muchos les volvieron a llegar comunicaciones diciendo “ Nos autoriza para el manejo de sus datos personales”.

El tema fue muy curioso los que trabajamos con temas de privacidad y derecho informático hemos venido asesorando a varias empresas para que construyan políticas de protección de datos personales. Las cuales se traducen NO en un documento en Word, sino en procedimientos, formatos, procesos, cláusulas, mapa de riesgos, políticas, sistemas de calidad, pruebas de vulnerabilidades, autorizaciones, en relación con el uso de datos personales.

Como todo lo que pasa en Colombia y debido a una entrevista radial en la w, los últimos días de octubre del 2016, las empresas empezaron a preocuparse por el tema pero de todas maneras es imposible que una empresa mediana o grande construya un sistema integral de protección de datos personales en pocos días. El registro hecho a conciencia es un examen de los procesos de las empresas en el flujo de datos de forma interna y externa en donde se le pregunta a la empresa que bases de datos tiene, a quien le entrega y de quien recibe información personal, el nombre de las bases de datos, donde almacena la información, si cuenta con autorización del titular, si cuenta con políticas de seguridad de la información, entre otras preguntas.

El registro nacional de bases de datos, sin lugar a duda no es una tarea sencilla, existen algunas preguntas la cuáles no son fáciles de contestar o de implementar y que no se pueden generalizar para todo tipo de empresas, por ejemplo:

  • ¿Tiene un documento de seguridad de la información personal o general aprobado?
  • ¿Tiene implementadas herramientas de gestión de riesgo en el tratamiento de datos personales
  • ¿Cuenta con una política implementada para el correcto tratamiento de la información personal en las diferentes etapas del ciclo de vida del dato recolección, circulación, y disposición final?
  • ¿Cuenta con una política y procedimientos implementados de gestión de incidentes de seguridad de la información personal?
  • ¿Tiene una política para mejorar la seguridad de la información personal a partir de los incidentes o vulnerabilidades detectados?

Si uno analiza estas 5 preguntas anteriores se enmarcan en aspectos de seguridad de la información, riesgos, vulnerabilidades y políticas, lo cual en Colombia muy pocas empresas implementan para el manejo de datos personales.

Es tan complejo el tema que solos algunos bancos o entidades grandes pueden tener herramientas de riesgos y claridad sobre sus vulnerabilidades y la gestión de incidentes. Las empresas en Colombia que en su mayoría son pymes, no tienen todavía la cultura para crear procesos de seguridad de la información y mucho menos de protección de datos personales.

Esto por que su actividad diaria se enmarca en su objeto social y no en la construcción de procesos fuertes los cuales apunten a sistemas de gestión de calidad. Esto puede sonar muy duro pero es la realidad de las empresas colombianas es por eso que luego de trabajar mucho con el tema de protección de datos y de hacer varios registros considero que nos falta mucho tiempo para generar una cultura para que las empresas puedan responder afirmativamente o entender y monitorear las preguntas de seguridad del registro nacional de bases de datos.

QUE HICIERON O HACEN LAS EMPRESAS

Las empresas en Colombia no solo deben tener en cuenta el registro nacional de bases de datos deben también cumplir con temas contables, financieros, adecuación a las nif, creación de procesos de gestión documental, formulación de un sistema de gestión integral de la seguridad y la salud en el trabajo, entre otras normas empresariales.

Es por esto que las empresas pusieron entre sus planes el registro pero como una actividad normativa más no de cultura o un proyecto estratégico. Lamentablemente muchos lo ven como un gasto no como un proceso de inversión, esto básicamente por que no entienden que si tengo políticas de protección de datos personales, si cuento con las autorizaciones de mis clientes, si analizo la información personal de forma correcta puedo mejorar mi negocio. Si tengo información de calidad puedo tomar decisiones adecuadas y mejorar mis procesos comerciales.

El dato personal es la entrada hacia el cliente, el uso correcto de información personal permite en la actualidad procesos de marketing direccionado como procesos de big data. El principal problema del registro nacional de bases de datos es que partió del supuesto que todas las empresas entendían la importancia de la protección de datos.

Las empresas lo que hicieron es entrar a llenar el formulario en línea sin antes hacer un examen a conciencia de su situación actual.

Como el registro daba un plazo de un año desde el cual se vencía el pasado 8 de noviembre de 2016, muchas empresas registraron sus políticas, sus bases de datos algunas en una labor maratónica. Mientras tanto muchas compañías pedían tiempo, fueron varios los llamados a la Superintendencia, al Ministerio de Comercio para extender el plazo, la SIC anunció la prorroga a una semana de vencerse el plazo inicial, y por medio de una circular se extendió el plazo hasta el próximo 30 de Junio de 2017.

Muchas empresas ya respiraron con tranquilidad tienen más tiempo para realizar el registro pero definitivamente está no es la solución para crear una cultura de protección de datos en Colombia. El registro también es un llamado a la Delegatura de Protección de datos para que genere nuevos mecanismos de concientización y cultura, es una oportunidad para que el gobierno formule un programa integral de protección de datos personales en empresas y entidades públicas.

El 8 de noviembre de 2016 también se publicó una nueva circular la cual exige a que las personas naturales y entidades públicas que manejen información personal cumplan con el registro.

¿Será que las entidades públicas de toda Colombia ya vienen trabajando en identificar sus bases de datos con información personal?

LA DATA DE LAS EMPRESAS DISPONIBLE EN LA PAGINA DE LA SUPERINTEDENCIA DE INDUSTRIA Y COMERCIO

Uno de los problemas del registro nacional de bases de datos, es que expone muchos datos de las empresas. Se debe resaltar que no se entregan las bases de datos a la SIC, pero como el registro nacional es un directorio público cualquiera puede consultar la información de una empresa. Muchos profesionales de seguridad de la información tenemos la preocupación de lo que significa el registro para posibles ataques.

«EL REGISTRO  ES UNA FUENTE DE INFORMACIÓN SOBRE LAS EMPRESAS «

Por ejemplo, si vemos el registro que realizó la empresa Ecopetrol, la compañía registro con nombre más de 46 bases de datos. Al analizar la información, uno puede darse cuenta de información de los sistemas de información del software que utilizan como de los correos electrónicos de los responsables. Esto en las mano de un hacker podría ser utilizado para detectar vulnerabilidades o realizar pruebas de ingeniería social.

En el registro de Ecopetrol, queda claro que cuenta con varios sistemas de información, se puede ver el nombre de los sistemas de seguridad física y lógica y quien los maneja como encargado y responsable. Al analizar el nombre de las bases de datos, también se puede ver el nombre de los servicios en la nube que utiliza, como los procesos que impacta. Así mismo, se podrían hacer bases de datos o análisis de información con la data de los encargados y responsables en relación con las bases de datos.

En una era de inseguridad de la información, el registro puede ser una buena herramienta para los atacantes para tener información de empresas. El sistema expone un riesgo y es que se puede hacer con la información de una empresa cuando una norma exige publicarla. Es cierto que la protección de datos personales es un derecho fundamental pero también es cierto que con el registro se expone mucha información sensible de las empresas en Colombia.

El registro nacional de bases de datos se convierte en una fuente confiable de OSINT (Open Source Intelligence o Inteligencia de fuentes abiertas)

La verdad todavía no se podría sacar una conclusión absoluta sobre el registro nacional de bases de datos, todavía quedan 4 meses para que se venza el plazo. Esperemos que las empresas tomen conciencia, trabajen más en procedimientos fuertes de la protección de la información personal.

El éxito o el fracaso del registro solo depende de las empresas en Colombia en entender que las políticas de protección de datos y de seguridad de la información son más que un Documento en Word,  que apunta a una página web. 

Si estas interesado en que te ayudemos en temas del registro nacional de bases de datos, escríbenos a [email protected], contamos con la mejor experiencia.

 

.full-width-5fcc38d368e60 { min-height:100px; padding:10px 0 10px; margin-bottom:0px; } #background-layer--5fcc38d368e60 { background-position:left top; background-repeat:repeat; ; } .mk-main-wrapper { display: none; } #theme-page { padding-top:0; }
Recommended Posts
¡Suscríbete ahora!

Dejános tus datos y entérate de todas mis noticias