Las empresas generan una cantidad increíble de datos todos los días. La forma más fácil y económica de almacenar toda esta información es adoptar el modelo del "vertedero", que implica guardar todo y subir la mayor parte posible a la nube. Pero a menudo vemos que muchas empresas hacen esto sin siquiera hacer un seguimiento de lo que tienen.
Nuestro estudio sugiere que menos de dos de cada tres empresas (65%) están tomando medidas para comprender los datos que poseen; en gran medida, no saben cuántos datos tienen, qué aportan y qué daño podría generar su robo o pérdida. Y si no tienen claras estas premisas básicas, ¿cómo pueden estar seguros de que los están gestionando de forma oportuna?
Más de una de cada tres (36%) organizaciones no asignan un perfil de riesgos a sus datos. Teniendo en cuenta lo que pueden llegar a perder si sus datos se ven comprometidos, este dato resulta sorprendente. Una explicación podría ser que, aunque los altos directivos saben que la ciberseguridad es un riesgo, no ven necesario respaldar plenamente los esfuerzos de mitigación. Otra explicación sería que el área de riesgos de las compañías se ha centrado tradicionalmente en una serie limitada de riesgos fácilmente gestionables a través de seguros comerciales. Por eso los equipos de riesgos tienen menos experiencia a la hora de predecir, gestionar y cuantificar las amenazas no físicas, como el robo o pérdida de datos. Esto tiene que cambiar.
Más de tres cuartas partes de las empresas (78%) están construyendo una base de ciberprotección sin establecer medidas específicas para salvaguardar sus datos más valiosos. En el peor de los casos, esto significa que están gastando recursos innecesarios en costosos cortafuegos que protegen datos de escaso valor, mientras que sus activos más críticos –los que son clave para que el negocio desarrolle su función principal– están más expuestos de lo que deberían.
Para la mayoría de las organizaciones, sería prácticamente imposible evaluar y clasificar cada hoja de cálculo, correo electrónico o archivo de datos que se generan a diario. Además, es un proceso que no se puede automatizar completamente: comprender el riesgo y valor de los datos exige aplicar el criterio humano.
Para dar con el equilibrio adecuado se necesita imaginación: debemos ser capaces de pensar como un hacker e identificar los datos que más afectarían al negocio en caso de robo.
Sin embargo, los planteamientos cualitativos también deben sopesarse con análisis cuantitativos. ¿Cuál sería el impacto económico de una pérdida grave de datos? ¿Sería el impacto siempre el mismo? ¿Y cuál es la probabilidad estadística de que ocurra?
La gestión de datos requiere tiempo y, para acometerla con éxito, es necesario integrarla en el día a día del negocio. Esto significa asignar responsables de esta actividad a nivel de empresa, y establecer "propietarios" específicos para los activos de datos. Sin embargo, para muchos empleados, esta responsabilidad se añadirá a una carga de trabajo ya de por sí muy elevada, y posiblemente traten de eludirla.
En el peor de los casos, algunos empleados se limitarán a identificar determinados datos como de "bajo riesgo" para evitar el trabajo extra. Por tanto, para gestionar el ciberriesgo de forma eficaz, las empresas deben anticiparse a todo esto y tomar medidas para evitar que se produzcan reacciones de este tipo.
En primer lugar, la seguridad de los datos debe abordarse de manera sistemática como un riesgo con alcance a toda la empresa; deberá estar liderado por la alta dirección y ser aplicado por los empleados a nivel operativo. En segundo lugar, la comprensión de los datos debe integrarse en los proyectos desde el inicio, creando equipos multidisciplinares que establezcan las principales amenazas aplicables a la empresa. Por último, toda interacción - ya sean comunicaciones de la alta dirección o sesiones de formación - deben dotarse de un enfoque "humano" y no técnico.
