Activos TIC | Artículos | 09 JUL 2018

¿Quieres controlar el dato? ¿Controlas el software?

Tags: Internet GDPR
Las posibilidades para controlar los datos sin el control del software son muy limitadas
software y datos
Marlon Molina

En un momento en el que todas las empresas están concientes de la necesidad de cuidar, proteger y finalmente controlar el dato; es relevante recordar que difícilmente se conseguirá si no hay control del software.

Si es usted el director de la empresa, pregunte al CIO cuántos programas informáticos hay en uso en la empresa, pida la tabla que compara quién usa qué software, y qué datos tiene dicho software. Ahora pregunte por la base de datos de la configuración, con las líneas que se trazan entre cada producto mostrando sus relaciones. Finalmente, pida la relación que tiene cada uno con los datos, las matrices de riesgos, y las indicaciones de entradas, tratamiento y mucho más importante, salidas posibles de los datos.

Si lo recibe, o si es usted quien está a cargo de la tecnología y es capaz de entregarlo, entonces deje de leer. Pero si no es así, le recomiendo invertir los próximos dos minutos leyendo.

Tengo muchos años de experiencia ayudando a empresas medianas y grandes en su proceso para intentar controlar el software. Por lo general, las organizaciones saben muy poco del software. Como ejemplo, cuando fabricantes como Microsoft hacen auditorías en las empresas e instituciones, lo normal es encontrar inconsistencias, no necesariamente le llamaré faltantes, sino inconsistencias, escenarios como los siguientes:

 

- Software en uso para el que no se ha pagado licencias
- Software en uso que no se sabía que estaba instalado
- Software en uso que nadie sabe cómo mantenerlo, o cómo funciona
- Software pagado pero no instalado
- Software pagado, pero instaladas versiones o productos diferentes

Hay otra dimensión que analizar, después de la anterior: Escenarios que también he encontrado con mucha frecuencia:

 

- Software que ha instalado el mismo usuario
- Software con los permisos de administrador para que el usuario tenga toda libertad
- Permisos para acceder a cualquier módulo
- Permisos mal asignados
- Software con la capacidad de exportar datos, algunas veces sin dejar rastro
- Capacidad para imprimir cualquier dato
- Software sin roles definidos

La tarea para gestionar el inventario de programas instalados en cada una de las máquinas de la empresa es titánica. Una tarea que según el tamaño y la complejidad de la organización puede requerir meses. Eso solo para saber qué software está instalado, ahora imagina para saber cómo se mueve el dato. 

Con la llegada de RGPD (GDPR por las siglas en inglés), esta complejidad pasa a ser un riesgo. He intentado imaginar escenarios normales en los que un procedimiento, o un acuerdo con los usuarios pueda proteger el dato, y no consigo una respuesta positiva si la empresa no tiene control del software, y principalmente del software que gestiona los datos de clientes y datos sensibles. 

Existen métodos y evaluaciones que la empresa puede llevar a cabo para emprender la tarea, y para demostrar que tiene un genuino interés en la protección del dato. Controle el software si realmente quiere controlar el dato.

 

Marlon Molina

Marlon Molina

Colaborador experto en educación, formación, gestión de servicios TI y Gestión de Proyectos. Certificado ITIL, PRINCE2, ISO/IEC20000, SAM, y otros. Actualmente es el director de Computerworld University y de la Cátedra UDIMA-IDG para la Transformación Digital. Madrid, España.

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios