sábado, 24 de febrero de 2018

Gestión de riesgos de la gestión de datos

Fuente de la imagen: mvc archivo propio
Invitado por Lucía (Gracias), la tarde de ayer la pasé asistiendo a una webinar acerca de la "gestión de datos" y la "gestión de riesgos" de esa "gestión de datos". Sobre este tema ya te informé hace unos meses a través de dos textos: "Gestión de Riesgos y Protección de Datos", editado en "Compliance Officer"[1], y "Enfoque de Riesgos Reglamento Protección de Datos"[2], publicado en "Protección de Datos". Según la AEPD[3], el análisis de riesgos permite realizar una valoración objetiva y decidir las medidas que se pueden utilizar para mitigarlos. La existencia del riesgo es inherente a cualquier actividad humana y, por lo tanto, su diversidad es tan variada como las actividades que se realizan: laborales, de salud, financieras, ambientales, de seguridad de la información o los riesgos en los tratamientos de datos personales. El análisis de riesgos es una herramienta que permite realizar una valoración objetiva de los mismos y las posibles medidas que podemos utilizar para mitigarlo.

La suma de los posibles riesgos de una empresa constituye para AEPD su mapa de riesgos. Cada tratamiento de datos personales y cada organización tendrán su propio mapa, ya que el mismo tratamiento puede tener diferente mapa en función de la organización o el espacio físico en el que tenga lugar. El mapa de riesgos no es estático, con frecuencia puede estar asociado a la tecnología y, por lo tanto, evolucionar. El catálogo o mapa de riesgos debe de estar realimentado con el resultado de cambios y experiencias de la organización (incidencias, actualizaciones de infraestructura, cambios normativos, etc.) A cada riesgo, siempre que sea posible, se le asociará al menos una salvaguarda y, por lo tanto, existirá un mapa de riesgos y otro de salvaguardas. En la práctica esta actualización es un ciclo o proceso de mejora continua que nos garantiza la puesta al día. Este ciclo de mejora continua para el análisis de riesgos se puede resumir en cuatro fases. 

La fase del diseño del marco de trabajo está orientada a estructurar el análisis de riesgos dentro de una organización, teniendo en cuenta el contexto específico y las medidas organizativas necesarias para articular los procesos de análisis de riesgos. La segunda fase está encaminada a la gestión del riesgo en línea con los objetivos que se hubieran planteado en la fase anterior. La auditoría o revisión deberá mostrar con evidencias los resultados de las salvaguardas que se hayan puesto en marcha según el diseño de la política de riesgos que se haya realizado en la fase inicial. En general se trata de abordar de forma objetiva y repetible el posible desfase entre los objetivos iniciales y los resultados obtenidos o, dicho en términos de análisis de riesgos, valorar si tras la gestión del riesgo el valor residual es aceptable y por lo tanto se encuentra dentro de los objetivos del marco de trabajo. Finalmente, en base a los resultados se debe intentar mejorar el diseño del marco de trabajo, técnicamente es lo que se denomina ciclo de mejora continua[4] de un sistema[5].
____________________
[1] Velasco Carretero, Manuel. Gestión de Riesgos y Protección de Datos. Sitio Compliance. 2017. Visitado el 24/02/2018.
[2] Velasco Carretero, Manuel. Gestión de Riesgos y Protección de Datos. Sitio Protección de Datos. 2017. Visitado el 24/02/2018.
[3] Agencia Española de Protección de Datos.
[4] O ciclo PDCA.