Cuanto mejor sea su información -ya sean los registros de clientes o los datos de sus empleados, la documentación de los procesos o los gastos diarios- mejor será su capacidad para planificar, tomar decisiones y gestionar sus operaciones.
Cualquier cosa que es importante es una fuente de riesgos. Si un ciberataque compromete datos confidenciales, su empresa se enfrentará a daños en la reputación, pérdidas económicas, multas cuantiosas, trastornos graves en el día a día de sus actividades y una inevitable pérdida de clientes. Por eso los riesgos relacionados con la seguridad de la información se han convertido en un punto prioritario de las agendas de la alta dirección y aparecen con frecuencia entre los principales riesgos identificados por las grandes aseguradoras [PDF - 4.2 MB] y por el Foro Económico Mundial en su informe de Riesgos Globales [PDF - 7.9 MB].
Sin embargo, nuestro estudio mundial elaborado entre 2.900 empresas indica que muchas de ellas no tienen una idea clara de los datos que poseen ni de su importancia general. Algo menos de dos de cada tres entidades (65%) están tomando medidas para comprender plenamente qué datos poseen; y apenas la mitad (56%) asignan un perfil de riesgos a su información.
Las conclusiones de nuestro informe plantean una sencilla pregunta: si las organizaciones no saben qué datos poseen o lo importantes que son, ¿están perdiendo tiempo y dinero protegiendo información de escaso valor mientras dejan expuestos sus activos más importantes?
Casi con toda seguridad, la respuesta es que sí. Alrededor de cuatro de cada cinco encuestados (78%) admiten que tienden a distribuir sus medidas de protección de manera uniforme entre todos sus datos. Sólo el resto de entidades han establecido mecanismos especiales para proteger su información más crítica de los ciberdelincuentes.
Creemos que el Principio de Pareto es aplicable al riesgo de la información, ya que el 20% de los datos de un negocio genera el 80% del riesgo.
Por algo se suele decir: "Protegerlo todo es no proteger nada". Resulta casi imposible que todos los sistemas de una organización sean a prueba de ataques informáticos, así que ¿por qué no centrarse en esa pequeña cantidad de datos cuya seguridad resulta crítica?
Con esto en mente, creemos firmemente que las empresas deben adoptar un programa estructurado para evaluar y comprender sus activos de datos, utilizando un proceso de categorización o clasificación. Posteriormente, podrán identificar cuáles son las "joyas de la corona" y construir un mecanismo de seguridad efectivo a su alrededor.
"El primer paso es reconocer que no todos los activos de información de su organización tienen el mismo valor", explica Johnny Lee, de Grant Thornton en Estados Unidos. "El segundo paso es admitir que realmente nuestra organización puede ser objeto de un ciberataque. Y por tanto debemos centrarnos en proteger los activos de mayor valor".
