Deberían los CFO preocuparse por el riesgo cibernético? Y las reglas de protección de datos de la UE: el RGPD ?
El cumplimiento debe motivar a las empresas a actualizar sus procesos y evaluar los riesgos cibernéticos con los posibles efectos comerciales relacionados. La visión del CFO ante la normativa de protección de datos ha cambiado mucho desde los albores de la LORTAD allá por el año 1999. ahora el nuevo RGPD y la vigente LOPD y GDD obligan a establecer cierto foco en su perspectiva.
El Reglamento General de Protección de Datos de la Unión Europea (RGPD EU), que entró en vigencia el 25 de mayo de 2018, aplica a todas las organizaciones de todos los tamaños, industrias y geografías que procesen datos de ciudadanos de la UE. Los CFO de todo el mundo tienen un riesgo más: integrarlo en sus estrategias de planificación financiera.
La norma somete a un infractor del RGPD de la UE a una multa de hasta el 4% de la facturación global anual. Por lo tanto, los CFO deben informar a sus empresas sobre los posibles efectos de los requisitos en los estados financieros. Para hacer esto, deben comprender el análisis de costo-beneficio de las medidas técnicas y organizativas necesarias para garantizar el cumplimiento de GDPR de la UE y, entre ellas, aquellas que minimicen el riesgo cibernético El RGPD se aplica a los datos personales, incluidas las listas de clientes, los datos de contacto, los datos genéticos / biométricos y los posibles identificadores en línea, como las direcciones IP. Esto se traslada a toda información que pueda identificar a una persona.
Las empresas deben obtener un consentimiento explícito, claro y afirmativo antes de procesar los datos personales. Las organizaciones fuera de la UE seguirán afectadas por los requisitos de RGPD de la UE si procesan datos relacionados con la oferta de bienes o servicios o incluso si existe monitoreo de las actividades de los ciudadanos de la UE.
Requerimientos normativos, técnicos, tecnológicos y de procesos
Hay amplios requisitos para la organización ser compatible y adaptarse con RGPD UE. Las empresas, por ejemplo, solo deben recopilar los datos necesarios para cumplir con propósitos específicos y legítimos. Las organizaciones que procesan grandes cantidades de categorías especiales de datos, incluidas las autoridades públicas, deben designar a un DPO o delegado de protección de datos, mejor con experiencia
La norma obliga a las empresas a realizar evaluaciones de impacto de riesgo de privacidad, para analizar el riesgo cibernético, como las brechas de confidencialidad, integridad, disponibilidad; todas ellas violaciones de datos con los pasos para minimizar dicho riesgo. La necesaria notificación de brecha o violación de datos es obligatoria ante la autoridad: Agencia de Protección de Datos.
El mensaje para los CFO: ocuparse, pero sin susto. Sus empresas tienen tiempo para actualizarse, implementar y para cumplir las regulaciones de protección de datos de Europa antes de que las amenazas posibles puedan dejar de serlo y convertirse en un ataque, una brecha, una perdida de reputación, de confidencialidad, económica, etc.
Beneficios de rentabilidad
El cumplimiento con el RGPD de la UE acucia a las empresas a actualizar sus procesos y metodología para evaluar los riesgos cibernéticos ,pre-ocupación del CFO, y su posible impacto en el negocio.
Además de una gestión de riesgos más activa, el RGPD de la UE también puede ayudar a una organización a lograr la rentabilidad. Cumplir con los requisitos podría ser una estrategia que utilizan los CFO para mejorar la planificación financiera de las empresas y el análisis y los informes presupuestarios.
Una vez que cumpla con los requisitos, el costo total de riesgo de una empresa podría reducirse si traza una hoja de ruta de su gestión de riesgo empresarial, que consiste en la colaboración y la responsabilidad con varios actores de la organización en relación con la identificación de riesgos cibernéticos, la cuantificación, la mitigación y la planificación de respuesta.
El esfuerzo de cumplimiento también puede aumentar las defensas lógicas de la organización a favor de los Derechos Digitales que la nueva LODPD GDD incorpora, conferida por el RGPD. Como resultado, se podría establecer una lista de verificación de riesgos cibernéticos incorporando todas las actividades de fusiones y adquisiciones, que pondría en valor las adquisiciones y otras desinversiones potenciales, todo en aras de evitar un impacto dramático en la valoración de una organización, que decir de su reputación.
Por último, los pasos que se pueden dar para cumplir proporcionan a una organización una mejor idea de la madurez general del riesgo, lo que le permite al CFO tomar decisiones más sólidas sobre la inversión y la asignación de recursos, así como documentar acciones e informes para el Consejo de Administración, dejando así su preocupación en manos de de la gestión eficaz.
Conformidad
La preparación puede comenzar asegurándose de completar lo siguiente:
-
La evaluación de riesgos ante la adaptación al RGPD europeo . Esta llamada a las compañías para que prioricen, identifiquen, auditen, evalúen las posible brechas en los programas de cumplimiento y comprendan mejor mitigando los riesgos de protección de datos para satisfacer la nueva LODPD GDD española.
-
El Análisis de impacto cibernético , En el ámbito más afín con el CFO, el impacto en los estados financieros de las posibles brechas de datos en virtud de la regulación y, en términos más generales, proporcionará una comprensión integral de las exposiciones cibernéticas a las que se enfrenta la organización.
-
Respuesta a incidentes y reclamaciones, Contratar servicios de asesoría, auditoria que anteriores o posteriores al evento, puedan adelantarse o bien responder a incidentes, análisis digital y manejo de reclamaciones y reducir el costo total del riesgo.
-
Mirando hacia el futuro En resumen: Los CFO prudentes comenzarán ahora el proceso de cumplimiento del RGPD.