Nuala O´Connor Kelly, CPO de GE: CPO y CISO deben colaborar para proteger la información con un enfoque completo y global
Nuala O´Connor Kelly, CPO (Chief Privacy Officer) de GE, defiende una mayor cooperación entre máximos responsables de privacidad (CPO) y de seguridad de la información o CISO (Chief Information Security Officers) dentro de las empresas para otorgar el adecuado valor a cada activo de información. Tal cooperación se hace imprescindible en las empresas de la nueva era de la información, donde se abren nuevas amenazas a la privacidad de unos soportados electrónicamente y conectados en red.
O´Connor Kelly fue en el pasado CPO del Departamento de Seguridad Interior de Estados Unidos y hoy trabaja como máxima responsable de privacidad de General Electric (GE). Junto con el CISO de la compañía, Grady Summers, ha plasmado su visión de lo que debe ser el enfoque de la seguridad corporativa en la nueva era de la información en la puesta en funcionamiento de un consejo de gobierno de la información dentro de la organización (GE Information Governance Council).
Este consejo, según O´Connor Kelly, combina las fuerzas de TI y legales en el ámbito de la seguridad y la privacidad, y enfoca las cuestiones de políticas y gestión de la información holísticamente atravesando la totalidad del ciclo de vida de los datos. Además, marca lo que O´Connor Kelly considera un cambio importante en el papel del CPO, un cambio que, predice esta experta, muchas compañías terminarán por adoptar. A continuación, Kelly expone su punto de vista respecto al futuro de este perfil profesional.
|
Seguridad corporativa: más allá del CIO • Gobernar o no |
Entré en la empresa hace tres años como máxima responsable de privacidad y consejera senior para datos y privacidad. A lo largo del último año, hemos ido destilado nuestra propia visión sobre el buen gobierno de la información, una visión que abarca cuestiones como la estrategia de datos y de gestión de la información. Y que además, refleja en gran medida un cambio importante en el rol del CPO hacia una aproximación más holística, más global, a los datos.
El rol de CPO ha sido objeto de intensos y largos debates. Unos opinan que pertenece al ámbito de lo legal, otros piensan que, por el contrario, entra dentro del mundo de las TI, otros defienden que ha de ser un perfil más relacionado con la gestión de riesgos, y también los hay que opinan que entraría dentro del área de la conformidad. Yo no diría que en GE hayamos resuelto todas estas cuestiones estructurales, pero en términos de en qué consiste el gobierno de la información, coincidimos en que está directamente relacionado con cómo creamos la información, cómo la mantenemos protegida, segura y accesible durante su ciclo de vida, y cómo disponemos de ella. Por tanto, hemos reunido bajo el paraguas del gobierno de la información la gestión de documentos y el ciclo de vida de los datos, la retención de datos, el e-discovery y un completo conjunto de otras disciplinas.
Ahora yo dirijo el gobierno de la información en su dimensión legal y el consejo de gobierno de la información, que es mitad legal, mitad TI. Trabajo con un equipo de la oficina del CISO, así como con el CTO. La idea es crear un enfoque multidisciplinar a la hora de gestionar y proteger los datos, y, además de hacerlo operativo, crear una política sostenible en la parte TI.
¿Cuáles son los principales factores que motivaron y dirigieron este cambio?
En mi caso, realmente, el detonante y la guía fueron las leyes de seguridad relacionadas con las brechas de datos. Teníamos que responder rápidamente a las cuestiones de seguridad de los datos y a la creciente cantidad de regulación que se aplicaba a esta área. Era necesario cumplir la legislación al respecto.
Otro motor importante es, sin duda, la cambiante fuerza de trabajo y sus expectativas. Tenemos 13.000 empleados que se identifican en Facebook como trabajadores de GE, algunas veces utilizando su dirección de correo electrónico corporativa y colocando monogramas GE para crear grupos de discusión y cosas por el estilo. Es algo que está ocurriendo nos guste o no. Un fenómeno que avanza a pasos agigantados. Nuestros empleados están tomando por sí mismos la clase de herramientas de networking colaborativo que desean utilizar, sin esperar que la empresa las ponga en sus manos, y esto plantea retos organizacionales y legales importantes.
Basándose en su éxito con este modelo dentro de GE, ¿en qué medida cree que la convergencia entre roles de privacidad y seguridad TI afectará a otras compañías?
Es algo que creo que se irá produciendo y funcionará en un creciente número de organizaciones, aunque no responda siquiera a un planteamiento estratégico que persiga mejorar el enfoque de la seguridad corporativa. A medida que la economía aprieta y los trabajos se ajustan en consecuencia, las cosas empezarán a converger. Los equipos tendrán que trabajar conjuntamente. La mayoría de nosotros tendremos que asumir más papeles y múltiples responsabilidades, que, en muchos casos, en el pasado eran tarea de otros.
Por otra parte, me gustaría señalar que, en mi opinión, “privacidad” siempre ha sido un término muy reactivo, de connotaciones negativas, en la América corporativa. La gente piensa: “¡Oh!, es un responsable de privacidad. Me dirá lo q
