Una proporción relativamente alta de organizaciones no comprende sus datos ni gestiona con éxito los riesgos relacionados con ellos. Algo menos de dos de cada tres entidades (65%) están tomando medidas para comprender plenamente qué datos poseen; y apenas la mitad (56%) asignan un perfil de riesgos a su información más crítica.
Sin embargo, la gestión de los datos no es fácil y no se puede tomar a la ligera. A medida que tratan de comprender sus datos, las empresas deben superar diversos desafíos.
En muchas empresas, el área de riesgos se creó para controlar, medir y mitigar una lista definida de riesgos de negocio asegurables. Estos equipos tradicionales suelen tener menos experiencia a la hora de gestionar otros riesgos no físicos que evolucionan a gran velocidad. Por eso, puede que las filtraciones y pérdidas de datos no estén tan arraigadas en su estrategia de mitigación de riesgos como otras amenazas más físicas. Esto explica por qué un número relativamente bajo de empresas de todo el mundo asignan un perfil de riesgos a sus datos.
Al igual que sucede con otras iniciativas y procesos internos, es probable que parte de los empleados que ya están muy ocupados con sus tareas diarias se muestren reticentes a asumir una carga de trabajo adicional. Y no es de sorprender que algunos traten de eximirse de sus nuevas responsabilidades.
Es difícil dar con el equilibrio adecuado en este sentido: si nos pasamos de seguros y aplicamos controles muy rígidos, corremos el riesgo de generar una cultura de trabajo desagradable que motive una elevada rotación de empleados. Pero si somos excesivamente laxos en la implantación, la gente puede ignorar nuestra recomendaciones o clasificar procesos como de "baja prioridad" solo para no complicarse la vida.
Si no se consigue un grado de compromiso adecuado al más alto nivel, es probable que fracase cualquier iniciativa de datos. Esto no sólo se debe a que la alta dirección puede aportar su liderazgo y dar al programa el nivel de importancia que le corresponde, sino que también garantiza que quienes participen en la evaluación de los datos tengan clara la relevancia estratégica de su función. Más allá de la alta dirección, puede que sea necesario involucrar a personas de todas las áreas de la organización.
A pesar de las directrices establecidas (como el modelo CID mencionado en el capítulo 3), es difícil que las grandes organizaciones logren que su personal aborde las cuestiones de datos con una coherencia adecuada. Este problema se agrava por el hecho de que el riesgo asociado a un conjunto de datos puede variar con el tiempo en función de su relevancia para las prioridades actuales de la organización.
Para algunas organizaciones, la principal amenaza de ciberriesgos es la pérdida de datos de clientes y el daño a la reputación ocasionado por la cobertura negativa de los medios de comunicación. Pero, en muchos casos, el resultado no ha sido tan perjudicial como se esperaba, por lo que algunas entidades tienden ahora a minimizar los daños que puede ocasionar un ciberataque.
