Llegamos a ustedes gracias a:



Conversando con...

Nuala O´Connor Kelly, CPO de GE

"CPO y CISO deben colaborar para proteger la información con un enfoque completo y global"

[11/01/2009] Nuala O´Connor Kelly, CPO (Chief Privacy Officer) de GE, defiende una mayor cooperación entre máximos responsables de privacidad (CPO) y de seguridad de la información o CISO (Chief Information Security Officers) dentro de las empresas para otorgar el adecuado valor a cada activo de información. Tal cooperación se hace imprescindible en las empresas de la nueva era de la información, donde se abren nuevas amenazas a la privacidad de unos soportados electrónicamente y conectados en red.

O´Connor Kelly fue en el pasado CPO del Departamento de Seguridad Interior de Estados Unidos y hoy trabaja como máxima responsable de privacidad de General Electric (GE). Junto con el CISO de la compañía, Grady Summers, ha plasmado su visión de lo que debe ser el enfoque de la seguridad corporativa en la nueva era de la información en la puesta en funcionamiento de un consejo de gobierno de la información dentro de la organización (GE Information Governance Council).
Este consejo, según O´Connor Kelly, combina las fuerzas de TI y legales en el ámbito de la seguridad y la privacidad, y enfoca las cuestiones de políticas y gestión de la información holísticamente atravesando la totalidad del ciclo de vida de los datos. Además, marca lo que O´Connor Kelly considera un cambio importante en el papel del CPO, un cambio que, predice esta experta, muchas compañías terminarán por adoptar. A continuación, Kelly expone su punto de vista respecto al futuro de este perfil profesional.
¿Cuál es a grandes rasgos la trayectoria de su rol en GE y cómo comenzó el proceso hacia la convergencia entre privacidad y seguridad de la información dentro de la estructura de la compañía?
Entré en la empresa hace tres años como máxima responsable de privacidad y consejera senior para datos y privacidad. A lo largo del último año, hemos ido destilado nuestra propia visión sobre el buen gobierno de la información, una visión que abarca cuestiones como la estrategia de datos y de gestión de la información. Y que además, refleja en gran medida un cambio importante en el rol del CPO hacia una aproximación más holística, más global, a los datos.
El rol de CPO ha sido objeto de intensos y largos debates. Unos opinan que pertenece al ámbito de lo legal, otros piensan que, por el contrario, entra dentro del mundo de las TI, otros defienden que ha de ser un perfil más relacionado con la gestión de riesgos, y también los hay que opinan que entraría dentro del área de la conformidad. Yo no diría que en GE hayamos resuelto todas estas cuestiones estructurales, pero en términos de en qué consiste el gobierno de la información, coincidimos en que está directamente relacionado con cómo creamos la información, cómo la mantenemos protegida, segura y accesible durante su ciclo de vida, y cómo disponemos de ella. Por tanto, hemos reunido bajo el paraguas del gobierno de la información la gestión de documentos y el ciclo de vida de los datos, la retención de datos, el e-discovery y un completo conjunto de otras disciplinas.
Ahora yo dirijo el gobierno de la información en su dimensión legal y el consejo de gobierno de la información, que es mitad legal, mitad TI. Trabajo con un equipo de la oficina del CISO, así como con el CTO. La idea es crear un enfoque multidisciplinar a la hora de gestionar y proteger los datos, y, además de hacerlo operativo, crear una política sostenible en la parte TI.
¿Cuáles son los principales factores que motivaron y dirigieron este cambio?
En mi caso, realmente, el detonante y la guía fueron las leyes de seguridad relacionadas con las brechas de datos. Teníamos que responder rápidamente a las cuestiones de seguridad de los datos y a la creciente cantidad de regulación que se aplicaba a esta área. Era necesario cumplir la legislación al respecto.
Otro motor importante es, sin duda, la cambiante fuerza de trabajo y sus expectativas. Tenemos 13 mil empleados que se identifican en Facebook como trabajadores de GE, algunas veces utilizando su dirección de correo electrónico corporativa y colocando monogramas GE para crear grupos de discusión y cosas por el estilo. Es algo que está ocurriendo nos guste o no. Un fenómeno que avanza a pasos agigantados. Nuestros empleados están tomando por sí mismos la clase de herramientas de networking colaborativo que desean utilizar, sin esperar que la empresa las ponga en sus manos, y esto plantea retos organizacionales y legales importantes.
Basándose en su éxito con este modelo dentro de GE, ¿en qué medida cree que la convergencia entre roles de privacidad y seguridad TI afectará a otras compañías?
Es algo que creo que se irá produciendo y funcionará en un creciente número de organizaciones, aunque no responda siquiera a un planteamiento estratégico que persiga mejorar el enfoque de la seguridad corporativa. A medida que la economía aprieta y los trabajos se ajustan en consecuencia, las cosas empezarán a converger. Los equipos tendrán que trabajar conjuntamente. La mayoría de nosotros tendremos que asumir más papeles y múltiples responsabilidades, que, en muchos casos, en el pasado eran tarea de otros.
Por otra parte, me gustaría señalar que, en mi opinión, privacidad siempre ha sido un término muy reactivo, de connotaciones negativas, en la América corporativa. La gente piensa: ¡Oh!, es un responsable de privacidad. Me dirá lo qué no puedo hacer. En este sentido, personalmente, me gusta que mi rol sea el gobierno de la información, porque está creando buenas reglas y políticas y estructuras que nos permiten realizar nuestro trabajo.
Es un enfoque más positivo. Crea tanto el entorno de compartición de información interna que permite a nuestros empleados encontrar los datos y los recursos de información que necesitan, como unas buenas lentes a través de las cuales juzgar cómo nuestra información afecta directamente a los productos de ventas, al negocio. En GE, tenemos una enorme división TI de cuidados de la salud, una enorme división TI de seguridad y una completa fuerza de profesionales que realizan ofertas de productos en esta área.
Si más compañías empezaran a adoptar este modelo, ¿cómo sería el futuro perfil del CPO?
En él resultará crucial, sin duda, el entendimiento de los sistemas y activos técnicos: Nuestros holdings de datos e información abandonan sus cimientos originales, basados en papel, y aumenta sin parar la cantidad de activos que son soportados electrónicamente. ¿Necesitará esa persona también una comprensión del entorno regulativo? Seguro que sí. Pero siempre he tenido la firme convicción de que un responsable de privacidad no tiene que ser un abogado. Comprender los procesos, la gestión de riesgos y los sistemas de calidad, pueden ser incluso más importante; siempre he pensado que necesitamos poner en operación los valores que giran alrededor de la privacidad de los datos y su seguridad.
En resumen, resultará esencial disponer de un nivel de conocimiento suficiente para hacer una buena lectura de la ley, pero creo que un modelo de CPO más sostenible respondería al de un profesional que sepa cómo inculcar tales valores tanto en los activos técnicos y en la educación de nuestros empleados. El comportamiento humano, así como el comportamiento de los sistemas, serán más importantes que contar con un abogado o saber escribir memorandos.
Si se empieza a pedir a los CPO que adopten este enfoque holístico, que tenga en cuenta la dimensión TI, ¿podrían algunos ver tales tareas adicionales simplemente como una carga de responsabilidad más de la que tendrán que preocuparse?
Ciertamente es una opinión que he oído de algunos colegas de la parte legal y de conformidad. Pero probablemente se trata de lo mismo que este mismo tipo de profesionales decía sobre la privacidad hace diez o doce años. Yo no lo veo de esta forma, sino como la materialización de la visión de la información como un activo legítimo de las empresas.
En lugar de adoptar una actitud reactiva y resistirse al cambio, sintiéndonos en cierta medida agobiados por la responsabilidad sobre los datos o inseguros respecto de cómo crear un régimen alrededor de los valores vitales y la información, creo que debemos entender la situación como el reconocimiento de que, en la era de la información, ésta es uno de los mayores valores de cualquier entidad; y, por tanto, necesita ser tratada con un enfoque muy holístico, global, completo y detallado.
Exige una aproximación de principio a fin, y ser protegida tanto desde el punto de vista físico como tecnológico, con un enfoque coherente de todos los factores de los que su seguridad depende: educación de nuestros empleados, tiempo que se mantendrá cada tipo de datos, etc.
Los períodos de tiempo durante los que se conservan los materiales representan una función básica típica de los gestores de documentos. Pero resulta tremendamente importante a nivel directivo si tenemos en cuenta el coste de mantener cosas, tanto en soportes electrónicos como sobre papel. Por tanto, si no ha sido éste el enfoque de una empresa para valorar las cosas en el pasado, se abre una gran oportunidad de crecimiento para los trabajadores que hasta el momento han permanecido en la sombra, realizando correctamente su trabajo pero careciendo de ocasiones para ganar crédito y elevar su rol. Además, es la ocasión de encontrar algunas sinergias con otros responsables de la organización; por ejemplo, de las áreas legales y de TI.
En términos generales, la gente está adhiriéndose a nuestra propuesta de una aproximación global y completa a la información. Justo ahora estamos embarcados en una gran cantidad de búsquedas federadas, limpieza de datos, etc. Nuestra visión final es la de un espacio de trabajo colaborativo, un entorno colaborativo online, en tiempo real, global, en el que los empleados de GE, donde quiera que se encuentren, puedan obtener la información adecuada, en el momento justo en que la necesitan. Obviamente, el control de accesos y datos relacionados con quién accede a qué contenedor es importante, pero también lo es la disminución del tiempo de acceso al punto donde se encuentra la información adecuada, así como la eliminación de los datos inútiles que no sólo suponen una carga a nivel de recursos, sino que también enturbian la claridad del conocimiento corporativo.
CIO, USA