Descarga el PDF
La normatividad de seguridad TI en el sector retail
En los últimos años, los gobiernos de todo el mundo han tomado el trabajo de proteger a los consumidores y empresas contra el mal manejo de información sensible. Desafortunadamente, esto ha dado lugar a un flujo constante de leyes y regulaciones confusas procedentes de todas las direcciones. Mirar estas leyes con profundidad ayuda a discernir cómo hacer compatible la empresa con las normativas de seguridad, y acercarse a un mejor manejo de los riesgos.
Dependiendo de la industria, una organización puede estar regida por regulaciones que son completamente nuevas para ellos. A finales de 1990 y principios de la década del 2000, se marcó el comienzo de la era de las leyes que rigen la seguridad de la información, la privacidad y la rendición de cuentas, en parte gracias a compañías como Enron y por otro lado debido a la gran cantidad de información personal, sensible, almacenada y transmitida a través de canales vulnerables.
Por ejemplo, dentro de los temas de seguridad aprobados por el Consejo Nacional de Seguridad Pública que se pretenden discutir este año en México, está la estandarización técnica de sistemas de videovigilancia para Seguridad Pública.
El mercado retail es uno de los más afectados. Este sector enfrenta problemas como pueden ser siniestros sin evidencia grabada, falta de atención del operador, alta rotación de personal de prevención, sabotaje a los sistemas tecnológicos, mala gestión de recursos de vigilancia y pérdidas anuales por merma a nivel retail. Estos pueden ser resueltos casi al ciento por ciento cuando se contrata un buen proveedor de sistemas gestionados de TI.
LA RAZÓN DE SER DE LA NORMATIVIDAD DE SEGURIDAD
En el corazón de la mayoría de las regulaciones, la intención es proteger la confidencialidad, integridad y disponibilidad de la información de los clientes en manos de los negocios. Para ello, los gerentes de TI, o los proveedores, deben mantener, proteger y valorar los problemas de cumplimiento de estos reglamentos.
Ante ello, se deben identificar y remediar las vulnerabilidades y desviaciones, y proporcionar informes que puedan demostrar el cumplimiento de la organización.
Cada minorista se enfrenta a crecientes amenazas de seguridad cibernética, y no reconocerlas o no responder adecuadamente a los riesgos, podría tener graves consecuencias para la viabilidad de un negocio.
La posibilidad de una fuga de datos, y los resultados de este tipo de incidentes son aterradoras para los consumidores y minoristas por igual. Cuando la información personal, incluyendo las tarjetas de crédito, débito o datos de cuentas bancarias se ve comprometida, las repercusiones en los costos y los daños a las empresas son bastantes, sobre todo en reputación y sus consecuencias.
Un riesgo particular de un incidente de violación de datos es la erosión de la confianza del consumidor, y el daño a la imagen de la marca.
Ante este tipo de incidentes, las autoridades de cada país han firmado y anunciado normativas para la aplicación de medidas de seguridad “apropiadas” en el cuidado de la información, y llevan a cabo “pruebas de penetración” en sitios web y servidores.
Ante este tipo de reglamentaciones, las compañías de retail deben acordar establecer una nueva política de protección de datos que especifica la cantidad de tiempo que retendrán información personal y cómo será eliminada, así como proporcionar una formación al personal para evitar fugas o pérdida de documentos sensibles.
En virtud de la Ley de protección de datos, las empresas minoristas deben tomar medidas técnicas y organizativas adecuadas contra el procesamiento no autorizado o ilegal de datos personales, y contra la pérdida accidental o la destrucción de los mismos.
Las multas a la industria del retail por no acatar las normativas pueden ser millonarias, y de ahí la recomendación de encargar a un experto en proveer servicios administrados en TI el trabajo, pues es mejor invertir en este tema, que perder millones por un error prevenible.
