“El riesgo cero no existe. Es contradictorio con el concepto de riesgo”, afirmó Giovanna Garzón de Cavard, data protection officer del Grupo Cibest (anteriormente Bancolombia). Según la experta, esta premisa es fundamental para entender que la labor de las organizaciones no es anular el riesgo, sino administrarlo de forma estratégica y consciente. Una tarea incesante en la lucha por la protección de datos.
Estas declaraciones se dieron como parte del panel central del Foro TIC ‘Del caos al control: Estrategias modernas de protección de datos’, un evento organizado por Impacto TIC y Techplus Cyber que contó con la participación de expertos de los sectores financiero y tecnológico.
La afirmación de Garzón de Cavard sostiene que cualquier pretensión de alcanzar una protección total es contradictoria con la naturaleza misma de los negocios y el intercambio de datos. Bajo esta perspectiva, las entidades deben enfocarse en el desarrollo de modelos de madurez que permitan identificar vulnerabilidades y establecer niveles de tolerancia aceptables según su sector y volumen de operación.
Luisa Valbuena, gerente senior de control interno y cumplimiento de Bancamía, coincidió en que alcanzar una calificación perfecta en el control es un objetivo complejo debido a las dinámicas de los entornos externos a las organizaciones. Valbuena señaló que, si bien la meta es aproximarse a la excelencia, las empresas están expuestas permanentemente a intentos de infiltración y manejos inadecuados de la información por parte de terceros o factores externos.
Por ello, Valbuena destaca que el control de los datos debe ser un sistema. “Si no logras tener un sistema vamos a seguir fragmentados en silos y cada uno pues defendiendo ‘eso no me toca’ o ‘eso es un tema de tecnología’ o ‘eso es un tema de cumplimiento’”, dijo Valbuena.
Josh Twaddle, director Latam de Cyera, coincide en ambas visiones y afirmó que: “Las mejores empresas saben lo que tienen, saben cómo protegerlo y cuando pasa algo responden muy rápido con la gente que confían”.
Índice de temas
Cultura organizacional y gestión de sistemas
Algo en lo que coinciden todos los voceros es que la protección de datos ha dejado de ser una simple tarea de cumplimiento normativo para convertirse en un sistema de gestión integral. Los panelistas resaltaron que no basta con seguir una lista de chequeo legal, sino que es necesario integrar la seguridad en el actuar cotidiano de los procesos.
En este escenario el factor humano fue identificado como el elemento más determinante para la sostenibilidad de cualquier estrategia de protección. Garzón de Cavard explicó que, aunque existan herramientas tecnológicas avanzadas, la conducta de los empleados y la toma de decisiones en la alta dirección son las que definen la eficacia real de los controles instalados en la infraestructura técnica.
Luisa Valbuena reforzó esta idea al mencionar que la cultura es lo que permite que la seguridad sea sostenible en el tiempo. Según la directiva de Bancamía, es crucial que cada responsable de un proceso se reconozca como el dueño de los datos y gestione sus propios riesgos, en lugar de delegar esta responsabilidad exclusivamente en las áreas de tecnología o cumplimiento normativo.
“Se debe volver al actuar cotidiano de los procesos, entendiendo que el responsable del dato no es el área de tecnología ni el área de cumplimiento —encargada, por ejemplo, de atender al regulador ante requerimientos de protección de datos—, sino cada uno como owner de esos procesos y de esos datos”, dijo Valbuena.
El impacto de la Inteligencia Artificial y la privacidad
“IA sin pensar es el nuevo vecino en el barrio de todos y no solamente IA, puede ser agentic AI”, dijo Twaddle y es que, según el vocero, la irrupción de la Inteligencia Artificial Generativa ha introducido nuevas variables en la ecuación de riesgo de las empresas.
Twaddle advirtió que el uso de agentes de Inteligencia Artificial sin la debida supervisión puede derivar en la exposición accidental de datos sensibles, como estructuras salariales o información corporativa confidencial, a través de plataformas externas que no cuentan con los filtros adecuados.
Frente a esta tecnología, los expertos sugirieron ver la Inteligencia Artificial como un aliado estratégico más que como una amenaza inevitable.La clave reside en entrenar adecuadamente los modelos de lenguaje y mantener un control humano sobre los resultados que estos generan. La Inteligencia Artificial puede potenciar la detección de riesgos y automatizar análisis que anteriormente requerían tiempos de ejecución mucho mayores para los equipos humanos.
Un aspecto relevante discutido fue la transición de la privacidad desde una función de mitigación de riesgos hacia un componente de generación de valor de negocio. Cuando los clientes perciben que sus datos están protegidos, aumenta su confianza y preferencia por la marca, lo que traduce la inversión en seguridad en rentabilidad directa y una ventaja competitiva sostenible en el mercado actual.
