En el actual mundo digital resulta enormemente difícil controlar todos los datos que se crean y se recopilan día a día en su organización.
IBM calcula que el 90% de los datos existentes en todo el mundo se han creado en los últimos dos años. También existen evidencias que indican que para el año 2020 viviremos en un planeta que contenga 40 zettabytes de datos - suficiente material de lectura para 50.000 millones de personas a lo largo de toda su vida.
¿Cómo puede identificar las joyas de la corona de su organización y los datos más sensibles entre tanto byte? ¿En qué consisten los datos de alto, medio y bajo riesgo? ¿Y contra qué ciberamenazas -desde agentes financiados por gobiernos y adolescentes descontentos hasta delincuentes organizados, empleados enfadados y "hacktivistas"- deben dirigir su defensa?
En primer lugar, no es realista tratar de categorizar cada hoja de cálculo, correo electrónico o archivo de datos de su organización. Y no es posible automatizar completamente este proceso: hay herramientas que facilitan la gestión e identificación de datos, pero en algún momento es necesario aplicar el criterio humano. En última instancia, es necesario que la alta dirección y el personal de riesgos valoren activamente los diferentes tipos de datos que poseen; de este modo, podrán identificar por separado los activos que deban examinarse más de cerca.
"Hemos creado cuestionarios para que nuestro personal pueda tomar una decisión por sí sólo", dice el vicepresidente de tecnología de un banco global. "Es algo subjetivo. Al fin y al cabo, una persona tomará la decisión."
En el siguiente capítulo, recomendamos una serie de métodos prácticos para garantizar que sus empleados se involucren en estas actividades, ¿pero cuáles son los aspectos más críticos que deben identificar?
Muchas organizaciones adoptan un modelo dinámico que evalúa los datos de acuerdo a los criterios CID (confidencialidad, integridad y disponibilidad), los cuales pueden adaptarse para reflejar los cambios que se produzcan en la importancia o relevancia de los datos en el tiempo.
"Los documentos de estrategia del Consejo son confidenciales hasta el momento en que se hacen públicos y deben ser protegidos", dice Manu Sharma de Grant Thornton en Reino Unido, explicando el enfoque CID. "En cuanto a la integridad, la información puede estar disponible para todo el mundo, pero tiene que ser exacta - el precio de sus acciones en bolsa sería un buen ejemplo. Por disponibilidad entendemos si la gente que necesita los datos puede acceder a ellos y usarlos, como puedan ser las listas de potenciales clientes del área de marketing".
Otra forma de identificar sus riesgos de datos más críticos consiste en pensar como un hacker y considerar cuál es el máximo daño que podría ocasionarse a la organización.
"El entorno actual de seguridad de la información evoluciona constantemente y se suceden nuevas amenazas y vulnerabilidades", afirma Vishal Chawla de Grant Thornton en Estados Unidos. "Los altos directivos tienen que estar dispuestos a ponerse en el lugar de los ciberdelincuentes, entender las amenazas que generan y proponer estrategias proactivas para proteger los intereses de sus organizaciones".
¿Qué correos electrónicos (o hilos de correos antiguos) podría filtrar un ex-empleado para poner en evidencia a sus antiguos jefes? ¿Qué propiedad intelectual y secretos comerciales serían de interés para una potencia extranjera? ¿Y cómo podría utilizar un ciberdelincuente nuestros datos para extorsionarnos? Estas son sólo algunas de las preguntas que se deben plantear.
