Las empresas deben comprender mejor sus datos, pero se enfrentan a muchos obstáculos y desafíos en el camino. A continuación, incluimos una serie de recomendaciones para que las organizaciones puedan reconocer la importancia de sus datos y, en última instancia, lograr un enfoque más maduro con respecto a la gestión de riesgos de la información.
La seguridad de la información debe tratarse como una cuestión de gestión de riesgos que afecta a toda la entidad y que se aplica de manera sistemática. Esto significa nombrar a un responsable a nivel de sistema -a menudo el director de ventas o el director financiero, si es que no hay un director de seguridad de la información en la organización- y un propietario "de facto" a nivel operativo. Para ello es necesario aceptar que sus datos son un activo estratégico que deben ser ponderados por su riesgo e incorporados a un registro de riesgos.
El hecho de contar con un responsable de la gestión del riesgo de información con alcance a toda la entidad hace que resulte más fácil incorporar a los proyectos una categorización o evaluación eficaz de los datos desde el inicio.
Es necesario que haya diversas partes involucradas en la seguridad desde el inicio. Por ello deben participar distintas funciones en el proceso de evaluación y establecimiento de políticas, y no sólo los "propietarios" o responsables individuales de los datos.
La destrucción responsable de datos reduce la probabilidad de una pérdida o robo de datos. "Se debe establecer una política sobre el mantenimiento de los registros de transacciones y presentaciones comerciales, que especificará cuánto tiempo deben conservarse", dice una de las organizaciones consultadas en el marco de nuestro estudio. "Pero luego hay que tomar medidas para asegurarse de que los datos innecesarios efectivamente se destruyen. Todo lo que se guarda en carpetas de correo electrónico, o lo que no se conserva en ningún registro, se purga y se borra automáticamente".
Sunil Chand, de Grant Thornton en Canadá, cree que la destrucción es una práctica necesaria en cualquier sistema de gestión de datos. "La utilidad de los datos dependerá de las necesidades del negocio, de la legislación, de la regulación y de posibles litigios en curso", afirma. "El mejor enfoque -lo cual resulta muy sencillo- es contar con una política de destrucción de datos que incorpore controles manuales o automatizados que se apliquen por defecto, a menos que se indique expresamente que se necesita dicha información o que se necesitará en el futuro".
Para que sus empleados aprecien mejor la realidad de las ciberamenazas es necesario involucrarles y evitar la terminología técnica y la jerga informática. Desarrolle equipos de IT que puedan cerrar esa brecha de comunicación que existe entre los usuarios y las herramientas técnicas utilizando un lenguaje claro y sencillo.
La formación desempeña un papel clave en la mejora de la sensibilización y la resiliencia de los empleados, especialmente para ayudarles a internalizar estos procesos y a que gestionen los riesgos de datos como una pieza clave de su trabajo. "Cualquier hacker sabe que el punto más débil de un sistema son las personas", advierte Andrew Harbison de Grant Thornton. "Así que hay que dar formación, formación y más formación."
Los beneficios de contar con una mejor comprensión de los datos van más allá de la propia ciberseguridad. Las empresas pueden motivar a sus empleados para que comprendan sus datos identificando el valor adicional que pueden obtener durante este proceso.
Teniendo en cuenta que los ciberriesgos van a ir en aumento a medida que se generalicen las nuevas tecnologías, la mayoría de las organizaciones son conscientes de que deben mejorar en la gestión de estas amenazas. Los ciberriesgos deben abordarse desde una actitud de mejora continua, y nuestra opinión es que esto no es posible a menos que también se cuente con una imagen clara y fiable de los datos de que se dispone.
Por encima de todo, los datos deben considerarse un activo crítico para el negocio - y sin embargo, nuestro estudio sugiere que muchas organizaciones no los perciben así. No están haciendo lo suficiente para entender lo que tienen y cómo deben protegerlo. E incluso cuando toman medidas, a menudo lo hacen con herramientas y enfoques tradicionales que no son suficientes para medir, gestionar y cuantificar los riesgos no físicos.
Sin embargo, las empresas tienen al alcance de su mano el poder adoptar un enfoque viable y eficaz. En primer lugar, deben aceptar que sus datos son demasiado grandes - y demasiado importantes - para ignorarlos. Más allá de esto, tienen que ser pragmáticos. Si dan por sentado que alguien, en algún momento, encontrará una manera de hackear sus sistemas, harán lo posible para que sus datos más valiosos estén a salvo.
En última instancia, esto significa comprender cuáles son las joyas de la corona de su organización – dependiendo de su sector, de su perfil de riesgos y de sus objetivos de negocio – y asignar controles específicos. Sin duda, no es tarea sencilla, ni siquiera finita, pero es parte indispensable de la gestión de riesgos en la era digital.
