"Hemos creado cuestionarios para que nuestro personal pueda tomar una decisión por sí sólo", dice el vicepresidente de tecnología de un banco global. "Es algo subjetivo. Al fin y al cabo, una persona tomará la decisión."
En el siguiente capítulo, recomendamos una serie de métodos prácticos para garantizar que sus empleados se involucren en estas actividades, ¿pero cuáles son los aspectos más críticos que deben identificar?
Muchas organizaciones adoptan un modelo dinámico que evalúa los datos de acuerdo a los criterios CID (confidencialidad, integridad y disponibilidad), los cuales pueden adaptarse para reflejar los cambios que se produzcan en la importancia o relevancia de los datos en el tiempo.
"Los documentos de estrategia del Consejo son confidenciales hasta el momento en que se hacen públicos y deben ser protegidos", dice Manu Sharma de Grant Thornton en Reino Unido, explicando el enfoque CID. "En cuanto a la integridad, la información puede estar disponible para todo el mundo, pero tiene que ser exacta - el precio de sus acciones en bolsa sería un buen ejemplo. Por disponibilidad entendemos si la gente que necesita los datos puede acceder a ellos y usarlos, como puedan ser las listas de potenciales clientes del área de marketing".
Pensar como un hacker
Otra forma de identificar sus riesgos de datos más críticos consiste en pensar como un hacker y considerar cuál es el máximo daño que podría ocasionarse a la organización.
"El entorno actual de seguridad de la información evoluciona constantemente y se suceden nuevas amenazas y vulnerabilidades", afirma Vishal Chawla de Grant Thornton en Estados Unidos. "Los altos directivos tienen que estar dispuestos a ponerse en el lugar de los ciberdelincuentes, entender las amenazas que generan y proponer estrategias proactivas para proteger los intereses de sus organizaciones".
