Controle la gestión de la privacidad con Thirdera y ServiceNow

CCPA (Ley de Privacidad del Consumidor de California), RGPD, VCDPA (Ley de Protección de Datos del Consumidor de Virginia), FCRA (Ley de Información Crediticia Imparcial), FERPA (Ley de Derechos Educativos y Privacidad Familiar), la lista sigue. Y no, estas no son solo las últimas abreviaciones de moda en Internet. Todas ellas forman parte del listado creciente de normas sobre privacidad que las empresas del mundo hoy día deben conocer y cumplir. Probablemente, haya visto los extensos acuerdos de privacidad, a menudo omitidos, que acompañan a la contratación de nuevos productos y servicios y, a medida que aumenta la cantidad de datos que aceptamos compartir con nuestros dispositivos y servicios, también lo hará ese listado de normas. Ese aumento trae consigo una nueva demanda en el sector de la privacidad, y esa combinación de demanda de recursos más el aumento de la normativa pone a prueba a los equipos de gestión de la privacidad existentes. Afortunadamente, el mismo crecimiento de la tecnología que ha impulsado el crecimiento normativo ha dado lugar a avances en la tecnología que los gestores de la privacidad pueden aprovechar. Una de esas tecnologías es ServiceNow.

La plataforma de ServiceNow, que se dio a conocer inicialmente en el ámbito de la ITSM, dispone de un conjunto de productos en constante expansión que las organizaciones pueden aprovechar para satisfacer la demanda en varios sectores. Entre estos se incluyen áreas como los Recursos Humanos, el GRC, las Operaciones de Seguridad, la Atención al Cliente, la Privacidad y muchos más. Centralizar varias tareas y procesos empresariales en una sola herramienta tiene poder (y valor); y, con el consejero de seguridad adecuado, los equipos de gestión de la privacidad pueden aprovechar ese poder para combatir una serie de desafíos cada vez mayores en su espacio.

La importancia de rastrear la información de identificación personal

En la actualidad, uno de los principales desafíos a los que se enfrentan los gestores de la privacidad es el rastreo de la PII (información de identificación personal) en toda la organización. Comprender qué sistemas procesan y manejan datos de PII y, qué elementos de la PII manejan, es fundamental para determinar qué medidas deben tomarse contra esos sistemas para cumplir las normas. Y, aunque las herramientas de gestión de la privacidad en silos ciertamente pueden ayudar a administrar ese repositorio, ServiceNow combina esas características del repositorio con otros aspectos útiles y ampliamente utilizados de la plataforma: administración de activos (ITAM), administración de empresas (ITBM) y administración de servicios (ITSM). En el núcleo de todos esos servicios de la plataforma se encuentra el llamado CMDB (base de datos de administración de la configuración), que sirve como repositorio central de cosas como el hardware, el software, los servicios empresariales y las relaciones correspondientes entre esas cosas. El almacenamiento de esos datos en un lugar centralizado permite cosas como la asociación de tickets en la administración de servicios con hardware o software reales o la capacidad de comprender cómo las interrupciones de elementos o servicios únicos pueden afectar los procesos empresariales ascendentes. Desde el punto de vista de la privacidad, esa misma CMDB permitiría asignar esos objetos de PII a cualquiera de los elementos individuales de la organización, lo que incluye el hardware, el software, los servicios, los procesos, etc. Por lo tanto, para cualquier elemento que estemos rastreando como organización, podríamos ver todos los elementos de PII que toque, así como cualquier relación ascendente o descendente y la PII que tocan esos elementos relacionados. Los gestores de privacidad no tendrían que encargarse de mantener el repositorio real de activos, sino que podrían centrarse en utilizar ese repositorio existente para mantener sus asignaciones de PII. Incluso podríamos ir un paso más allá en la misma plataforma y hacer un seguimiento del cumplimiento del control de esos activos o enviar PIA (evaluaciones de impacto en la privacidad) de ellos, pero dejaré ese análisis para la próxima vez.Ejemplo de registro de aplicación empresarial en ServiceNow, que muestra una aplicación que consume PII. Tenga en cuenta los elementos de información (elementos de PII) que están en la sección «Elementos relacionados» en la parte inferior.

Es hora de empezar a tomarse los RR. HH. en serio

Si bien el seguimiento de la PII es una característica extraordinaria de la plataforma de ServiceNow, no es la única que ServiceNow ofrece a los equipos de privacidad. Además de la necesidad de saber qué sistemas procesan información personal, los equipos de privacidad se encargan de garantizar que los procesos dentro de la organización que realmente incorporan PII se ejecuten de manera que cumplan las normas. Como hemos mencionado, con el aumento del número y de la extensión de las normas y con un mayor escrutinio en este ámbito, los equipos de privacidad deben asegurarse de que su organización no meta la pata en ningún sector. Uno de esos sectores que a menudo se pasa por alto en el manejo de la PII es el de los RR. HH. Los datos de los empleados y solicitantes también contienen PII, y los departamentos de RR. HH. (que a menudo están más ocupados que nunca) no siempre son plenamente conscientes de todo lo que deben hacer para garantizar el cumplimiento normativo en el tratamiento de esos datos.

Afortunadamente, la plataforma de ServiceNow también puede ayudar con ello. Con un conjunto sólido de características en el ámbito de la gestión de Recursos Humanos (RR. HH.), ServiceNow ha introducido flujos de trabajo destinados a ayudar con muchos asuntos habituales de RR. HH. Si bien las aplicaciones de RR. HH. pueden hacer mucho por la organización en varias fases de Recursos Humanos, (como la contratación, las comunicaciones y la desvinculación), un área en la que pueden ayudar, específicamente, a los equipos de privacidad es en la recopilación organizada de información de RR. HH.

Para facilitar los aspectos del conjunto de características de RR. HH. y en relación con la recopilación de información de los nuevos empleados (que como se mencionó, a menudo es PII), ServiceNow presenta un portal de servicios de RR. HH. a la organización. Además de algunas funciones interesantes, como el almacenamiento de documentos de RR. HH., la capacidad de encontrar o realizar preguntas sobre RR. HH. o la posibilidad de chatear con el departamento de RR. HH., el Portal de Servicios de RR. HH. puede servir como lugar central para recopilar información de nuestros nuevos empleados de una manera más estructurada y organizada. Podemos eliminar las copias en papel y los correos electrónicos que contienen formularios críticos cargados de PI y, en cambio, hacer que los usuarios se descarguen, carguen e incluso completen, directamente, formularios e información en este portal. Del mismo modo, los usuarios obtienen acceso para solicitar directamente y realizar un seguimiento de las solicitudes de servicios de RR. HH., como prestaciones, reembolsos o depósitos directos. Una vez más, menos correos electrónicos y procesos más centralizados significan que podemos optimizar y proteger mejor la información que se transfiere en estos procesos. Por lo tanto, con RR. HH. de ServiceNow, sus usuarios obtienen una mecánica más fácil para todo lo relacionado con RR. HH., y el equipo de privacidad puede estar más tranquilo sabiendo que la organización ha disminuido los riesgos asociados a la gestión de toda la recopilación de PI que conlleva el proceso de nuevas contrataciones: ¡todos ganan! 

Además del aspecto de recopilación de nuevas contrataciones facilitado por el portal de RR. HH., también es útil tener los procesos de RR. HH., y los demás datos recopilados de esos procesos, en una plataforma central (e idealmente la misma plataforma desde la que ejecutamos nuestras actividades de cumplimiento). Con esos datos centralizados en ServiceNow, podemos configurar parámetros, informes y seguimiento automatizado (como los indicadores de ServiceNow) para garantizar que cumplimos con todas las facetas de nuestro programa de RR. HH. que procesa PII. Pongamos, por ejemplo, la recopilación de datos del solicitante, o clientes potenciales, que se derivarían de una búsqueda de contratación estándar. Muchas normativas clave de privacidad, como el RGPD, tienen regulaciones sobre lo que puede recopilarse, la duración del almacenamiento y más. Con los datos centralizados en ServiceNow, podemos utilizar los informes de la plataforma y el seguimiento automatizado para asegurarnos de que estamos haciendo lo correcto para cumplir con estos requisitos y con las normas de privacidad. Si por alguna razón no es así, la plataforma de ServiceNow tiene la capacidad de notificarnos o incluso de generar problemas de cumplimiento para solucionarlos. La centralización de los procesos en ServiceNow puede producir resultados tangibles para demostrar el cumplimiento y reducir la carga manual del seguimiento de esos resultados.

Ejemplo de captura de pantalla del portal de RR. HH. (Fuente: https://docs.servicenow.com/bundle/sandiego-employee-service-management/page/product/human-resources/concept/c_UseTheHRSMPortal.html)

Mejore la recopilación de datos de clientes con CSM

Hemos establecido que ServiceNow puede ayudar con un repositorio de PII y con el cumplimiento de las normas en torno a la PII de los procesos de contratación, pero también puede ayudar a recopilar algunos de los datos de PII que provienen de los clientes. Esta asistencia se proporciona a través de la aplicación y el portal de Administración de Atención al Cliente (CSM) de ServiceNow. Si bien las funciones principales de la aplicación de CSM son automatizar los flujos de trabajo relacionados con la atención al cliente y permitir que los clientes formulen solicitudes a la organización (que son extremadamente útiles en sí mismas), la aplicación también puede aprovecharse para ofrecer a los clientes un lugar donde completar la información que necesita recopilar. Esa funcionalidad puede ayudar a aliviar la carga manual de la recopilación de información y, a su vez, rectificar muchos de los problemas asociados con los procesos de recopilación de datos manuales o deficientes. Un ejemplo de ello son los silos de datos. Al recopilar datos de clientes, los datos en silos pueden dejar áreas de exposición más abiertas y, lo que es peor, pueden provocar filtraciones de datos con tiempos de respuesta lentos ante las mismas. Al centralizar los datos en la plataforma de ServiceNow, podemos reducir la cantidad de aplicaciones que necesitamos mantener y, por lo tanto, disminuir los posibles puntos de vulnerabilidad. Al hacer que los clientes proporcionen datos directamente en la plataforma con la aplicación de CSM, podemos ir un paso más allá limitando la recopilación por intermediarios o la mencionada recopilación e introducción manual. En ese sentido, una vez que los datos ya no estén aislados, podemos aprovechar la capacidad básica de la plataforma de ServiceNow para abordar otros problemas comunes con la recopilación de datos, como contraseñas poco seguras o un acceso demasiado amplio (mediante el establecimiento de políticas de contraseñas y la gestión de roles). Para cerrar el ciclo, recuerde que también podemos asociar esos datos recopilados con las aplicaciones que necesitarán procesarlos, lo que permite a nuestro equipo de privacidad evaluar los controles adecuados contra las aplicaciones o los servicios pertinentes.

Palabras de despedida

Esperamos que esto haya ayudado a visualizar cómo ServiceNow está abordando algunas áreas clave de interés de los gestores de la privacidad. La administración de repositorios de datos, los Recursos Humanos y los datos de Atención al Cliente son áreas clave de interés que la plataforma de ServiceNow puede ayudar a remediar. Y si bien estas son características extraordinarias, no son, desde luego, todo lo que ServiceNow ofrece. Con aplicaciones líderes del sector en IRM (cumplimiento, riesgo, auditoría, privacidad y más) y Operaciones de Seguridad (respuesta a vulnerabilidades, respuesta a incidentes de seguridad y más), ServiceNow puede manipular la totalidad de sus necesidades de gestión de la privacidad y de cumplimiento. Romper los silos y estandarizar los procesos en una plataforma tiene su poder, y ServiceNow es una excelente opción para ayudar a hacer realidad ese poder. Por lo tanto, afortunadamente, a pesar de que aumente la cantidad de normas y desafíos a los que se enfrentan los equipos de privacidad, existe tecnología que puede aprovecharse para contrarrestarlos.

Permanezca atento a los contenidos complementarios sobre cómo Thirdera y ServiceNow facilitan el cumplimiento de las normas. Mientras tanto, hable con uno de nuestros expertos en ServiceNow para saber cómo podemos ayudarle a cumplir sus objetivos de gestión de la privacidad.