Cómo aborda Trimble la privacidad y la seguridad
Ville Rousu comparte sus pensamientos sobre la evolución digital de Trimble, incluido el trabajo de la empresa con GDPR e ISO 27001. Ville es un director sénior que dirige nuestro grupo de ingeniería de cartera estratégica.
He trabajado con los productos de software Tekla de Trimble durante 26 años. Durante este tiempo, he visto de primera mano cómo ha evolucionado el enfoque de privacidad y seguridad de la empresa a medida que cambian los tiempos. Tener políticas y procesos de confianza hacia los clientes y en nuestras propias operaciones es ahora más crítico que nunca.
El trabajo remoto realmente despegó junto con las restricciones de Covid, cambiando a menudo la forma en que las empresas deben administrar el acceso a sus activos de datos. La digitalización ahora está en auge, con diversas herramientas y flujos de datos que aumentan la complejidad de la gestión de los procesos de seguridad. Los enfoques manuales tradicionales de listas de tareas pendientes ya no son suficientes.
Nuestro enfoque principal solía ser establecer procesos excelentes, particularmente en la racionalización de nuestro trabajo de desarrollo, pero en los últimos cinco años comenzamos a ver un gran impacto de la legislación de privacidad que surge de Europa. El Reglamento General de Protección de Datos (GDPR) de la UE realmente ha obligado a las empresas a comenzar a ver la información de manera diferente. Formé parte del comité directivo que designamos para establecer cómo cumpliríamos con estas nuevas reglas de privacidad.
Una base sólida para la privacidad
Trimble siempre ha tenido buenas políticas sobre cómo manejamos la información, específicamente la información de identificación personal, pero GDPR realmente elevó la importancia de esto.
Contratamos a consultores externos para ayudar con el proceso de cumplimiento del RGPD, como suele recomendarse, y trabajamos con ellos para identificar los activos y definir las políticas de la empresa. Esto incluyó especificar la naturaleza de cualquier información que debamos almacenar, dónde se encuentra, quién puede acceder a ella y cuáles son nuestras políticas de cara al cliente para manejarla.
El cumplimiento de GDPR básicamente se reduce a asignar responsabilidades en su organización; es decir, definir quiénes son los custodios de datos y los procesos que siguen, y luego enviar el mensaje correcto a toda la empresa. Estas regulaciones tienen mucho sentido y son una buena "higiene digital".
Después de mi trabajo inicial en la automatización de procesos internos de Trimble, lidiar con el cumplimiento de GDPR fue una buena segunda fase de mi viaje de privacidad y seguridad. El trabajo aumentó mi comprensión general de lo que significa la madurez digital en el mundo actual y me preparó para la tercera ola de mis crecientes responsabilidades de ciberseguridad.
Puede ser difícil de creer, pero todas las organizaciones son un objetivo de ciberataque. Estamos sujetos a ataques ligeros o pesados todo el tiempo. Las filtraciones de datos o los ataques de ciberseguridad no necesariamente afectan directamente a sus procesos principales. Pueden golpearlo en los bordes, donde aún puede perder información de una manera que es muy dañina para su empresa.
Es una carrera sin fin con el lado oscuro de la digitalización, por lo que durante mucho tiempo, Trimble también ha estado desarrollando políticas cada vez más estrictas sobre cómo operamos.
Hacemos esto principalmente a través de nuestro marco Trimble Secure Development Life Cycle. También he sido parte del equipo responsable de seguir cómo se adoptan estos controles y cómo son parte del proceso de certificación ISO para nuestro portafolio de productos. Aquí he estado ayudando a establecer los comités de planificación de continuidad comercial necesarios para cada división comercial para lograr la certificación ISO.
Nuestra base para este trabajo proviene de las mejores prácticas de la industria ampliamente adoptadas. Este gran grupo de controles se divide en 10 categorías principales, que incluyen todo, desde el control de activos hasta la realización de varios análisis. La mayoría de estos análisis se pueden realizar con software de terceros diseñado para estos fines. También realizamos auditorías externas de nuestros procesos de desarrollo, políticas y respuestas a incidentes, y contamos con una amplia gama de pautas para diferentes roles.
Privacidad y seguridad en el centro
En Trimble, una gran parte de nuestros controles de marco de seguridad están alineados con los requisitos de certificación ISO 27001, el estándar internacional para administrar la seguridad de la información. Obtener la certificación requiere la recopilación de pruebas de que se han implementado los procesos y controles de ciberseguridad requeridos. Nuestro marco de seguridad define esos controles y la certificación ISO valida que seguimos las mejores prácticas de la industria.
Uno de los requisitos de ISO 27001 es que aborde la seguridad a través de un equipo de primer nivel que cubra todas las funciones de una organización. En las empresas medianas, este equipo normalmente incluiría al director ejecutivo y a los subordinados directos. En una empresa más grande, como Trimble, cubrimos esta responsabilidad a través de comités en diferentes niveles.
Estos comités tienen, entre otras responsabilidades, planes de recuperación ante desastres que incluyen los elementos centrales sobre qué hacer cuando ocurre un ataque de seguridad cibernética. Tal plan de recuperación no se trata solo de ciberseguridad. También puede cubrir otros tipos de desastres, como si la oficina se quema y no puede acceder a algunos servicios críticos. Siempre debe tener un plan sobre cómo su empresa sobrevive a este tipo de situaciones, ya que la supervivencia no se puede dar por sentada.
Considerándolo todo, creo que la optimización de los procesos, la garantía del cumplimiento y el mantenimiento de una buena postura de seguridad cibernética juntos conducen a una organización que funciona bien, madura y confiable. Esta es también la razón por la que debe hacer que la privacidad y la seguridad sean fundamentales para la cultura y la marca de su empresa. Tanto sus empleados como sus clientes necesitan ver que se toma estos asuntos en serio.
Estamos trabajando muy duro en todas estas cosas para que todos entiendan que Trimble es una empresa en la que se puede confiar.
Para obtener más detalles sobre privacidad y seguridad en los productos de Tekla, visite el Tekla Trust Center y vea Tekla security white papers.